Windows - Csoportházirend hibaellenőrzés

Inkonzisztens, sérült csoportházirend objektumok előre láthatatlan hibákat képesek okozni: nem töltődnek le a kliensgépekre, letöltődnek, de nem jutnak teljes egészében érvényre, stb. A Resource Kit programcsomagban található egy segédprogram, mellyel ellenőrizhetők a házirendek és a tartományvezérlők elérhetőségei, kiszűrve az esetleges hibákat.
Alapvető feltételek
Az alábbiak végrehajtásához rendszergazdai jogosultság és a Windows 2000 Resource Kit csomagja szükséges.
Egy parancssori eszköz a csoportházirendek ellenőrzésére
Segédprogramunk parancssorból érhető el GPOTOOL néven. Feladata a csoportházirend objektumok konzisztenciájának ellenőrzése a SYSVOL megosztásban. Teszi ezt úgy, hogy beolvassa a meghatalmazásokat és az opcionális címtárszolgáltatások tulajdonságait (verziószámok, GUID számok, barátságos nevek (friendly name), stb.) és összehasonlítja a tényleges értékekkel.
Ellenőrzi ezen kívül a csoportházirend objektumok replikációját úgy, hogy beolvassa őket minden tartományvezérlőről és összehasonlítja a kapott eredményt.
Futtatásával nem csak magának a csoportházirendnek a teljessége tudható meg, hanem a gépek egymás közötti hálózati kapcsolatában lévő hibák is felszínre kerülnek.
Alkalmazható kapcsolók
Az alapértelmezett ellenőrzés futtatásához kapcsolók nélkül futtassuk a programot:
gpotool
Ekkor felderíti a tartományvezérlőket, felveszi velük a kapcsolatot, lekéri és ellenőrzi az összes házirendet, az eredményt a képernyőn láthatjuk, minimális információk megjelenítésével.
Ha nem akarunk minden házirendet feldolgozni, adjuk meg az ellenőrizendő nevét:
gpotool /gpo:gponame
Ahol a "gponame" a házirend neve vagy GUID száma.
Alapértelmezésben abban a tartományban történik a keresés, ahová a segédprogramot futtató felhasználó bejelentkezett (users domain), ettől eltérő tartomány vizsgálatához nem kell átjelentkezni másikba, elegendő a /domain kapcsoló után megadni a nevét:
gpotool /domain:domain_name
A "domain_name" a kérdéses tartomány neve. Feltétel, hogy a programot futtató felhasználó megfelelő jogosultsággal rendelkezzen a távoli és a helyi címtárban is (a vállalati rendszergazda (enterprise administrator) megfelel minden körülmények között).
A tartományvezérlőkkel ugyanez a helyzet: alapesetben mindegyiket lekérdezi a GPOTOOL, ha viszont csak az egyiket akarjuk, akkor a /dc kapcsoló után meg kell adni a nevét:
gpotool /dc:computer_name
Fent utaltunk rá, hogy minimális információk jelennek meg az ellenőrzés eredményéről, igazából csak annyit tudunk meg belőle, hogy minden rendben van-e vagy valahol hiba található. Részletesebb, tájékoztató jellegű információt a /verbose kapcsolóval kapunk:
gpotool /verbose
Külön kapcsolóval kell utasítás adnunk a SYSVOL mappa hozzáférési jogosultságának ellenőrzésére (ACL - Access Control List). Lehetséges időigényessége miatt az alapértelmezett metódusból kimarad. Nem megfelelő jogosultság kiosztás esetén a kliensek nem tudják letölteni a csoportházirendet és nem férnek hozzá a benne foglalt objektumokhoz:
gpotool /checkacl
Új csoportházirend létrehozása is lehetséges, bár szerkeszteni nem tudjuk:
gpotool /new:gpo_name
Meglévő törlése is lehetséges:
gpotool /del:gpo_name