使用Winlogon组件诊断并解决GPO设置丢失问题

日期: 2014-06-18 作者:Nirmal Sharma翻译:杨旭 来源:TechTarget中国 英文

一个加入域的Windows客户端计算机可能不接收在活动目录域配置的所有组策略设置。因此,一些终端可能无法应用丢失的组策略对象设置,但是Winlogon可以帮助诊断并解决这个问题。 例如,活动目录管理员可能已经在组策略对象(GPO)中配置了要应用在Windows机器上的壁纸和无线设置。你注意到用户能完美地接收壁纸设置,但无法通过GPO中的“无线网络(IEEE 802.11)策略”节点使用无线配置策略。

桌面管理员必须找到组策略设置丢失的常见原因。 GPO架构中实现两种类型的组件:服务器端组件与客户端组件。服务器端组件包括组策略编辑器,活动目录管理员可以使用组策略编辑器配置GPO的设置。客户端组件在……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

一个加入域的Windows客户端计算机可能不接收在活动目录域配置的所有组策略设置。因此,一些终端可能无法应用丢失的组策略对象设置,但是Winlogon可以帮助诊断并解决这个问题。

例如,活动目录管理员可能已经在组策略对象(GPO)中配置了要应用在Windows机器上的壁纸和无线设置。你注意到用户能完美地接收壁纸设置,但无法通过GPO中的“无线网络(IEEE 802.11)策略”节点使用无线配置策略。桌面管理员必须找到组策略设置丢失的常见原因。

GPO架构中实现两种类型的组件:服务器端组件与客户端组件。服务器端组件包括组策略编辑器,活动目录管理员可以使用组策略编辑器配置GPO的设置。客户端组件在Windows客户端实现GPO的设置。客户端组件也被称为客户端扩展(CSE)。

Winlogon组件作为进程运行在Windows电脑上,处理GPO设置过程。在计算机启动时,Winlogon进程调用CSE处理GPO设置、用户登录和组策略刷新间隔。每个CSE都作为动态链接库(DLL)存在,并且每个CSE可以决定不执行GPO设置过程。

Winlogon如何知道哪个CSE负责处理GPO设置?

Windows注册表是一个巨大的信息储藏室。大多数应用和操作系统组件将Windows组件活动的必要信息存储到注册表数据库。

每个客户端扩展从Winlogon组件注册

每个客户端扩展从Winlogon组件注册

例如,当一台Windows电脑启动时,会检查页面文件在注册数据库中的位置,并在启动过程中将其初始化。同样的,在指示CSE DLL开始处理组策略设置之前,Winlogon进程使用注册表来确定该CSE的位置。

每个CSE在下列注册表主键位置:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonGPExtensions。

如上面的截图所示,GPO的“无线组策略”设置由“wlgpclnt.dll”DLL处理,将GUID分配给它。一些常见的CSE和GUID及其Dell名称如以下所示:

一些常见的CSE和GUID及其Dell名称

在处理和应用策略设置之前,客户端设备必须存在GPO节点相应的CSE DLL。例如,如果CSE DLL "Dskquota.dll"不存在或损坏,那么与Disk Quotas相关的GPO的设置不会被应用或进行相关处理。

Windows XP的CSE比Windows 8和Windows 7少。例如,Windows XP设备不知道如何处理与Drive Maps相关的设置,因为Windows XP设备中没有相关的CSE来处理GPO中“Drive Maps”节点的设置。

如果你需要Windows XP设备处理 "Drive Maps" 设置和首选项设置,你必须下载并安装CSE。

计算机启动时启用CSE

如前所述,Winlogon进程触发CSE来处理GPO节点的策略设置。当电脑启动时,会发生以下事件:

  1. Windows客户端计算机加入一个活动目录域。
  2. 客户端验证活动目录域控制器。
  3. Winlogon进程调用本身并开始处理GPO每个节点的策略设置。
  4. Winlogon进程需要确定处理GPO节点设置的CSE。其确定CSE DLL在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonGPExtensions注册表的位置。Winlogon根据GUID确定CSE。
  5. Winlogon指示相应的CSE处理GPO设置。例如,对于“Administrative Templates”GPO节点,“userenv.dll”CSE负责对GPO中的"Administrative Templates" 节点执行相关处理并应用设置。同样,“Dskquota.dll”CSE负责处理GPO节点的“Disk Quota”策略设置。
  6. 注意:这里的GPO处理由单独的CSE负责。Winlogon的任务是指导CSE对GPO处理采取必要行动。
  7. CSE生成Event ID 4016,这表明CSE处理已经开始。
  8. 处理完成之后,Event ID 5016登录应用程序日志,表明CSE已经成功处理了GPO设置。
  9. 为了防止CSE处理过程中出现问题,Event ID 6016或7016将登录到Application Event Log来显示CSE处理过程中出现的问题。CSE处理可能会导致下面的警告或错误:
    • 上述注册表位置中的CSE或GUID丢失。
    • Winlogon可以找到GUID但不能获得CSE DLL的位置。
    • Winlogon无权访问上述注册表主键。
    • CSE DLL丢失或损坏。
    • 没有相应的CSE来处理GPO设置。

Winlogon进程使用注册表数据库确定CSE的位置来处理GPO节点设置。正如你所看到的,如果没有相应的CSE来处理GPO设置,或如果CSE DLL损坏,GPO节点的策略设置将不适用。这就是为什么Windows客户端可能会丢失一些GPO设置。

作者

Nirmal Sharma
Nirmal Sharma

TechTarget投稿作者

相关推荐

  • Azure Active Directory Connect是如何协助管理员工作的?

    Azure的AD Connect工具可以协助管理员在本地Active Directory环境中顺利工作,也有助于从Azure云中获取管理资源。

  • Active Directory数据库太杂乱?ADSI Edit来清理

    随着Active Directory数据库老化,系统会在局部删除用户账号、安装应用程序失败或者其他管理上的失误后积累乱七八糟的东西,以及出现崩溃现象。本文介绍如何使用ADSI Edit来清理Active Directory数据库。

  • 如何执行活动目录备份和恢复?

    我需要做活动目录备份,但我不确定该使用哪个方法。哪一种才是比较容易的备份和恢复方法呢?

  • Azure进阶教程

    微软从未放松其云战略脚步,作为其云计算平台,Azure今年已增加了众多更新,受人瞩目。本期技术手册将深入介绍Azure更多相关知识,涉及Azure新功能、Azure监控与管理,以及Azure的安全措施等等。