Ongelmat ryhmäkäytäntöasetusten voimaan asettumisessa ovat yleisin ryhmäkäytäntöjen yhteydessä esiintyvä ongelma. Alla on esitetty muutama asia jotka kannattaa tässä tilanteessa tarkastaa.
Käytän tässä kirjoituksessa seuraavia lyhenteitä:
OU = organisaatioyksikkö (Organizational Unit)
GPO = ryhmäkäytäntöasetus (Group Policy Object)
GPMC = ryhmäkäytäntöobjektien hallintakonsoli (Group Policy Management Console)
Onko ryhmäkäytäntöobjekti (GPO) käytössä? GPO otetaan käyttöön luomalla GPO linkki kohteena olevaan organisaatioyksikköön (OU). On kuitenkin mahdollista luoda GPO ilman aktiivista linkkiä. Usein käykin niin että GPO unohdetaan linkittää kohde OU:n. Jos linkkiä ei ole alun perinkään luotu, ei GPO ole käytössä. Linkki voidaan myös kytkeä pois “päältä”. Jos linkki ei ole päällä, ei myöskään GPO:n ole käytössä.
Onko GPO kohdistettu oikein? Onko GPO linkitetty siihen OU:n joka sisältää GPO asetuksen avulla määritettävän käyttäjän tai tietokoneen?
Jos GPO asetus on asetettu ns. tietokone puolella (Computer side setting) tulee GPO:n kohdistua linkin avulla siihen OU:n joka sisältää kohteena olevan tietokonetilin. Jos ryhmäkäytäntö asetus kohdistuu käyttäjään, tulee GPO:n kohdistua siihen OU:n joka sisältää kohtena olevan käyttäjätilin. Tietokonetiliin kohdistettu asetus on voimassa kaikilla kyseiseen tietokoneeseen kirjautuvilla käyttäjillä. Käyttäjään kohdistuva asetus on käytössä kaikissa tietokoneissa joihin käyttäjä kirjautuu (pois lukien ne tietokoneet joihin kohdistetaan loopback prosessointi)
GPO:a ei voida myöskään kohdistaa OU:n joka sisältää pelkästään käyttöoikeusryhmiä. Lisäksi GPO:a ei voida kohdistaa Active Directory toimialueen oletus säilöihin (Container) esim. Computers säilöön. Säilöt luodaan Active Directory toimialueen luomisen yhteydessä.
Onko GPO:n käyttöoikeudet määritetty oikein? Jotta GPO asetus asettuu voimaan, täytyy kohteena olevalla tilillä (käyttäjä tai tietokone) olla vähintään Read ja Apply Group Policy oikeudet kyseiseen GPO:n.
Oletusarvoisesti GPO:e määritetään automaattisesti oikeudet Authenticated User ryhmälle. Käyttöoikeudet voidaan tarkastaa GPMC kautta GPO:n Scope välilehdeltä. Authenticated Users ryhmä sisältää oletusarvoisesti toimialueen kaikki käyttäjä- ja tietokonetilit. Domain Users ryhmä sisältää toimialueen kaikki käyttäjätilit ja vastaavasti Domain Computers ryhmä sisältää kaikki toimialueen tietokonetilit.
Onko Apply Group Policy asetus asetettu tilaan Deny? Edellissä kohdassa kerrottiin, että ryhmäkäytännön voimaan astuminen edellyttää että kohteena olevalla tilillä on Read ja Apply Group Policy oikeudet ko. GPO:n On varsin yleistä että käyttöoikeusryhmä rajataan GPO asetuksen ulkopuolelle, asettamalla GPO asetuksista Delegation välilehden kautta (Advanced nappi) Apply Group Policy oikeus tilaan Deny. Joskus voi käydä että kohteena oleva tili (käyttäjä tai tietokone) sisältyy käyttöoikeus ryhmään joka on ns. Deny tilassa. GPO:a oleva asetus ei näin ollen asetu voimaan.
Onko GPO blokattu ? Oletusarvoisesti GPO:a olevat asetukset kohdistuvat siihen OU:n johon GPO linkki on muodostettu. Lisäksi GPO:a olevat asetukset asettuvat voimaan kaikkiin em. OU:n sisällä oleviin ali-OU:n. GPO:a olevat asetukset siis “valuvat alaspäin” OU rakenteessa (vrt. ntfs-käyttöoikeudet). Edellä mainittu tilanne saadaan kuitenkin estettyä asettamalla GPMC konsolissa OU tilaan Block Inheritance. Jos OU on tilassa Block Inheritance, eivät GPO:a olevat asetukset siis astu voimaan kyseisessä OU:a. Block Inheritance voidaan kuitenkin kumota asettamalla GPO:n asetuksista se tilaan Enforced. Enforced tilassa olevan GPO:n sisältämät asetukset asettuvat voimaan OU:a vaikka OU:n asetuksissa se olisi asetettu Block Inheritance tilaan. Enforced siis kumoaa Block Inheritance tilan.
Kumoaako GPO:a oleva asetus toisessa GPO:a olevan asetuksen? Yhteen OU:n voi kohdistua useampi kuin yksi GPO. Näissä GPO:a voi olla asetettuna sama asetus ristiriitaisella tavalla. Yksi GPO voi sallia toiminnon, kun taas toisessa GPO:a sama toiminto kielletään. Koska GPO:a olevat asetukset periytyvät OU rakenteessa alaspäin, voi kuhunkin OU:n siis kohdistua useampikin GPO. OU:n kohdistuvat eri OU tasoilla olevat GPO:t voi nähdä ko. OU:n ominaisuuksista Group Policy Inheritance välilehdeltä. Listassa ylimpänä (pienin Precedence arvo) olevan GPO:n asetus jää voimaan, mikäli asetettu sama asetus ristiriitaisella tavalla jossain listassa alempana olevassa GPO:a..
Eri tasoilla olevien GPO:n asetukset luetaan järjestyksessä paikallinen (Local), saitti (Site), toimialue (Domain), organisaatioyksikkö (OU). Näistä listan (L-S-D-OU) viimeisenä olevan (OU) GPO:n asetukset jäävät voimaan tilanteessa jossa sama asetus on asetettu eri tavoin ketjun edellisissä GPO:a. Tilanne näkyy em. Group Policy Inheritance välilehdellä.
Kuhunkin OU:n suoraan linkitetyt GPO:t voi nähdä OU:n asetuksista Linked Group Policy Object välilehdeltä. Mikäli suoraan linkitettyihin GPO:n on asetettu sama asetus eri tavoin, jää sen GPO:n asetus voimaan jonka Link Order arvo on pienempi (listalla ylempänä).
Vaikuttaako WMI-suodatin GPO asetuksen asettumiseen? GPO:n voimaan asettumista voidaan mukauttaa liittämällä niihin ns. WMI-suodattimia (WMI-filters). WMI eli Windows Management Instrumentation on järjestelmä jonka avulla laitteesta, käyttäjästä tai käyttöjärjestelmästä voidaan kerätä tietoa. Kerätyn tiedon perusteella GPO:n voimaan asettumista voidaan säädellä. Mahdolliset GPO:n toimintaan vaikuttavat WMI-filtterit näkyvät GPO:n ominaisuuksista Scope välilehdeltä kohdassa WMI-filtering.
Onko Loopback prosessointi (Loopback processing) käytössä? Ilman loopback prosessointia GPO asetukset luetaan siten että käyttäjään kohdistuvat GPO asetukset luetaan käyttäjätiliin kohdistuvan GPO:n käyttäjäasetuksista (User side setting). Kun Loopback prosessointi asetetaan käyttöön, käyttäjätiliin kohdistuvat asetukset luetaankin tietokonetiliin kohdistuvan GPO:n käyttäjäasetuksista. Loopback prosessoinin ansiosta saadaan aikaiseksi tilanne jossa käyttäjään kohdistuva (ja käyttäjäkohtainen) asetus on käytössä jokaisella kyseiseen työasemaan kirjautuvalla käyttäjällä. Loopback prosessoinnin avulla voidaan siis määrittää asetus käyttöön jokaiselle kyseiseen työasemaan kirjautuvalle käyttäjälle riippumatta siitä miten kyseinen asetus toimii muissa tietokoneissa joille ko. käyttäjä kirjautuu.
Loopback prosessointi ei käytössä
Loopback prosessointi käytössä
Oletko poistanut ominaisuuden asettamalla sen päälle? Lue huolellisesti ryhmäkäytäntö asetuksiin liittyvät ohjeet. Esimerkiksi jos järjestelmän äänet halutaan poistaa käytöstä asetuksen Disable audio avulla tulee se asettaa Enabled tilaan. Sama kääntäen, eli jos asetus Enable disk quotas otetaan pois käytöstä, asetetaan se Disabled tilaan.
Onko ryhmäkäytäntöasetus asettunut vielä voimaan? Normaalisti ryhmäkäytännöissä olevia asetuksia kysellään palvelimilta n. 90 min välein. Kyselyn yhteydessä otetaan käyttöön ainoastaan muuttuneet GPO asetukset. Tarvittaessa voidaan asetusten käyttöönottoa nopeuttaa komentokehotteesta komennolla gpupdate. Komento gpupdate /force ottaa käyttöön kaikki GPO asetukset riippumatta siitä onko niissä tapahtunut muutoksia vai ei. Lisäksi jotkut asetukset (varsinkin tietokoneasetukset) vaativat tietokoneen uudelleenkäynnistyksen tullakseen voimaan.
Onko SYSTEM käyttäjällä luku oikeutta rekisteriin HKLM\Software\Policies ? Kuten edellä on sanottu, eivät GPO:a olevat asetukset asetu voimaan mikäli GPO asetuksiin ei ole tarvittavia oikeuksia. Asetukset asettuvat tietokoneen rekisteriin. Mikäli rekisteriin ei ole tarvittavaa luku oikeutta, ei GPO:a määritetyt asetukset myöskään tule käyttöön. Tietokoneessa järjestelmänvalvojan oikeudet omaava käyttäjä voi kiertää GPO asetusten kautta tulevia käyttörajoituksia asettamalla System tunnuksen käyttöoikeudet tilaan Deny rekisteriavaimesta HKLM\Software\Policies.
