图A：在名为RAS服务器上的管理员RSoP

　　正如你所见，默认的域策略被Windows管理体系结构（WMI，Windows Management Instrumentation）过滤器所拒绝，原因是WMI出错。这给出了确定组策略 问题出在何处的重要的第一步。在这种情况下，策略并没有被应用，因为WMI过滤器认为在用户登录Windows XP Professional时策略仅仅会被应用到该用 户上。而该特定用户现在正登录到一台Windows Server 2003计算机，由此造成了过滤失效。图2显示了WMI过滤器所引发的GPO应用程序在Windows Server 2003上的失效。

图2：WMI过滤器指示Windows XP Pro

　　作为一种选择，你可以使用gpresult.exe Windows Server 2003 Resource Kit命令行工具来查看RsoP操作的详细情况。因为GPMC功能如此强大且易于使用， 我将不会在本文中讨论gpresult.exe。


　　2.即使没有通过WMI过滤器测试，策略还是被应用到Windows 2000计算机上



　　这是一个容易解决的问题。WMI过滤器仅在Windows XP和Windows Server 2003客户端下得到支持。Windows 2000并不支持WMI过滤器，因此无论如何策略 都会被应用。

　　3.策略没有被应用到Windows NT或Windows 9x计算机上

　　只有运行Windows 2000或更新的操作系统的计算机才可以使用组策略。早期的系统并不支持组策略。

　　4.无法管理GPO

　　类似于其他绝大多数的对象，组策略对象具有同其相关的安全许可权限。如果在处理GPO时遇到了麻烦，或许是因为你并没有合适的权限来管理它。要 检查谁具备管理GPO的权限可以采取如下步骤。启动组策略管理控制台并选择你所工作域下的GPO。然后选择Delegation（授权）选项卡来查看允许对 GPO进行操作的用户和组。

　　如图3所示，Authenticated User可以读取GPO。这条信息很有用，因为它不会被应用到其他地方。否则其他各种对象都会有权限对GPO进行编辑、删除， 以及执行其他的操作。

图3：GPO安全信息

　　要解决这一问题，你需要作为具有修改GPO权限的用户登录。登录后，你就可以修改GPO以完成所需的操作，或是赋予原始用户对象改变GPO的权利。 在理论上，应当把没有修改GPO权限的管理员用户对象添加到一个拥有修改GPO权限的组中使用户对象拥有相关权限，而不是直接将权限指定给用户对象。

　　5.已经应用了GPO的更新，但客户并没有获得更新结果

　　假设你已经确定计算机通过了RsoP测试，并且客户获得了策略设置情况。如果出现了这种问题，有以下几个可能：

　　首先，如果你有多个域控制器，你应当等待一段时间，这样可以确保策略有足够的时间被复制到网络上其他所有的域控制器上。如果时间太短，这就可 能引发问题。

　　如果已经有一段时间了，但新的策略设置还没有生效，那么可以使用GPOTool来检查复制状态。GPOTool将从每个域控制器中读取所有的组策略信息并对 其进行比较。GPOTool可以作为Windows Server 2003 Resource Kit的一部分从微软站点下载。你可以通过在命令提示符下输入gpotool来使用这一工具。在输 入命令后，你可以看到类似的文字：

C:\Documents and Settings\Administrator>gpotool
Validating DCs...
Available DCs:
ras.example.com
Searching for policies...
Found 2 policies
======================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Policy
Policy OK
======================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Controllers Policy
Policy OK
======================================

Policies OK

[1] [2] 下一页