Condividi tramite

Linee guida per la risoluzione dei problemi relativi all’applicazione di Criteri di gruppo

  • Articolo

Provare l'agente virtuale: consente di identificare e risolvere rapidamente i problemi comuni di replica di Active Directory

Questa guida fornisce i concetti fondamentali usati per risolvere i problemi relativi a Criteri di gruppo. Si apprenderà:

  • Come individuare nuove informazioni sulla risoluzione dei problemi.
  • Come usare il Visualizzatore eventi per filtrare informazioni specifiche di Criteri di gruppo.
  • Come leggere e interpretare i dati degli eventi.
  • Metodi corretti per individuare il punto di errore.

Elenco di controllo per la risoluzione dei problemi

  1. Per iniziare, leggere gli eventi di Criteri di gruppo registrati nel registro eventi di sistema.

    • Gli eventi di avviso forniscono ulteriori informazioni da seguire per garantire che il servizio Criteri di gruppo rimanga integro.
    • Gli eventi di errore forniscono informazioni che descrivono l'errore e le probabili cause.
    • Usare il collegamento Altre informazioni incluso nel messaggio dell'evento.
    • Usare la scheda Dettagli per visualizzare i codici di errore e le descrizioni.

  2. Usare il log operativo di Criteri di gruppo.

    • Identificare l'ID attività dell'istanza di elaborazione dei Criteri di gruppo da risolvere.
    • Creare una vista personalizzata del log operativo.
    • Dividere il log in fasi: pre-elaborazione, elaborazione e post-elaborazione.
    • Consolidare ogni evento iniziale con il corrispondente evento finale. Esaminare tutti gli eventi di avviso e di errore.
    • Isolare e risolvere i problemi del componente dipendente.
    • Utilizzare il comando di aggiornamento dei Criteri di gruppo (GPUPDATE) per aggiornare i Criteri di gruppo. Ripetere questi passaggi per verificare se l'avviso o l'errore persistono.

Importante

L'aggiornamento di Criteri di gruppo modifica l'ID attività nella visualizzazione personalizzata. Assicurarsi di aggiornare la visualizzazione personalizzata con l'ID attività più recente durante la risoluzione dei problemi.

Determinare l'istanza dell'elaborazione di Criteri di gruppo

Prima di visualizzare il log operativo di Criteri di gruppo, è necessario determinare l'istanza dell'elaborazione di Criteri di gruppo non riuscita.

Per determinare un'istanza dell'elaborazione di Criteri di gruppo, seguire questa procedura:

  1. Aprire il Visualizzatore eventi.
  2. In Visualizzatore eventi (locale) selezionare Sistema log>di Windows.
  3. Fare doppio clic sull'avviso o sull'evento di errore di Criteri di gruppo che si desidera risolvere.
  4. Selezionare la scheda Dettagli e quindi selezionare Visualizzazione descrittiva. Selezionare Sistema per espandere il nodo Sistema .
  5. Trovare ActivityID nei dettagli del nodo di sistema. Questo valore viene usato (senza le parentesi graffe di apertura e chiusura) nella query. Copiare questo valore nel Blocco note in modo che sia disponibile in un secondo momento e selezionare Chiudi.

Creare una visualizzazione personalizzata di un'istanza di Criteri di gruppo

Un computer ha spesso più di un'istanza dell'elaborazione di Criteri di gruppo. I computer dedicati all'esecuzione di Servizi terminal in genere hanno più di un'istanza dell'elaborazione di Criteri di gruppo e funzionano contemporaneamente. È quindi importante filtrare il registro eventi operativi di Criteri di gruppo per visualizzare solo gli eventi per l'istanza che si sta risolvendo.

Utilizzare la procedura seguente per creare una visualizzazione personalizzata di un'istanza di Criteri di gruppo. A tale scopo, usare una query Visualizzatore eventi. Questa query crea una visualizzazione filtrata del log operativo di Criteri di gruppo per un'istanza specifica dell'elaborazione di Criteri di gruppo.

Per creare una visualizzazione personalizzata di un'istanza di Criteri di gruppo, seguire questa procedura:

  1. Aprire il Visualizzatore eventi.

  2. Fare clic con il pulsante destro del mouse su Visualizzazioni personalizzate e quindi scegliere Crea visualizzazione personalizzata.

  3. Selezionare la scheda XML e quindi selezionare la casella di controllo Modifica query manualmente . Nella Visualizzatore eventi viene visualizzata una finestra di dialogo che spiega che la modifica manuale di una query impedisce di modificare la query tramite la scheda Filtro. Selezionare .

  4. Copiare la query Visualizzatore eventi (fornita alla fine di questo passaggio) negli Appunti. Incollare la query nella casella Query .

    <QueryList><Query Id="0" Path="Application"><Select Path="Microsoft-Windows-GroupPolicy/Operational">*[System/Correlation/@ActivityID='{INSERT ACTIVITY ID HERE}']</Select></Query></QueryList>

  5. Copiare l'ActivityID salvato in precedenza dalla sezione Determinare l'istanza dell'elaborazione di Criteri di gruppo negli Appunti. Nella casella Query evidenziare "INSERT ACTIVITY ID HERE" (INSERISCI ID ATTIVITÀ QUI) e premere CTRL+V per incollare l'ActivityID sul testo.

    Note

    Assicurarsi di non incollare le parentesi graffe iniziali e finali ({ }). Per il corretto funzionamento della query, è necessario includere queste parentesi graffe.

  6. Nella finestra di dialogo Salva filtro in visualizzazione personalizzata digitare un nome e una descrizione significativi per la visualizzazione creata. Seleziona OK.

  7. Il nome della visualizzazione salvata viene visualizzato in Visualizzazioni personalizzate. Selezionare il nome della visualizzazione salvata per visualizzarne gli eventi nel Visualizzatore eventi.

Importante

Il servizio Criteri di gruppo assegna un ID attività univoco per ogni istanza dell'elaborazione dei criteri. Ad esempio, il servizio Criteri di gruppo assegna un Id attività univoco quando si verifica l'elaborazione dei criteri utente durante l'accesso dell'utente. Quando Criteri di gruppo viene aggiornato, il servizio Criteri di gruppo assegna un altro Id attività univoco all'istanza di Criteri di gruppo responsabile dell'aggiornamento dei criteri utente.

Assicurarsi che i criteri di gruppo dispongano di tutte le impostazioni desiderate e che siano collegate correttamente. Di seguito sono riportate le schede che è necessario esaminare. Se tutti sembrano validi, passare al computer client problematico.

  1. Aprire un prompt dei comandi con privilegi elevati ed eseguire il comando seguente.

    gpresult /h gp.html

  2. Verificare l'output gpresult acquisito e cercare l'oggetto Criteri di gruppo con cui si verificano problemi. Verrà visualizzato un errore relativo al motivo per cui l'oggetto Criteri di gruppo non viene applicato.

  3. Se si verifica un errore nell'output gpresult , è possibile risolvere il problema in base al problema. In caso contrario, vai al passaggio successivo.

  4. Aprire il Visualizzatore eventi e passare ai registri eventi dell'applicazione e del sistema. Il registro eventi dell'applicazione fornisce i dettagli sul motivo per cui l'aggiornamento di Criteri di gruppo ha esito negativo.

  5. Aprire il registro eventi operativi per informazioni più dettagliate. Sono presenti eventi con l'elenco di oggetti Criteri di gruppo applicati e un elenco di oggetti Criteri di gruppo negati con il motivo.

La maggior parte dei problemi dell'oggetto Criteri di gruppo può essere risolta usando questi log di base.

File di log di Criteri di gruppo

È possibile abilitare la registrazione dettagliata ed esaminare i file di log risultanti. La registrazione dettagliata può ridurre le prestazioni e usare spazio su disco significativo, quindi, come procedura consigliata, abilitare la registrazione dettagliata solo quando necessario.

Abilitare la registrazione del servizio Criteri di gruppo (GPSvc)

Nel client in cui si verifica il problema dell'oggetto Criteri di gruppo seguire questa procedura per abilitare la registrazione di debug del servizio Criteri di gruppo.

  1. Aprire l'editor delRegistro di sistema.

  2. Individuare e selezionare la sottochiave seguente del Registro di sistema:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

  3. Scegliere Nuova>chiave dal menu Modifica.

  4. Digitare Diagnostica e quindi premere INVIO.

  5. Fare clic con il pulsante destro del mouse sulla sottochiave Diagnostica, selezionare Nuovo>valore DWORD (32 bit).

  6. Digitare GPSvcDebugLevel e quindi premere INVIO.

  7. Fare clic con il pulsante destro del mouse su GPSvcDebugLevel e quindi scegliere Modifica.

  8. Nella casella Dati valore digitare 30002 (esadecimale) e quindi selezionare OK.

  9. Uscire dall'editor del Registro di sistema.

  10. In una finestra del prompt dei comandi eseguire il gpupdate /force comando e quindi premere INVIO.

Visualizzare quindi il file Gpsvc.log nella cartella seguente: %windir%\debug\usermode

Note

Se la cartella usermode non esiste, crearla in %windir%\debug. Se la cartella usermode non esiste in %WINDIR%\debug\, il file gpsvc.log non verrà creato.

Problemi noti e soluzioni

ID evento 1129

L'ID evento 1129 viene registrato quando i Criteri di gruppo non vengono applicati a causa di problemi di connettività di rete.

In questo caso, la connettività alla porta LDAP (Lightweight Directory Access Protocol) è bloccata nel controller di dominio. Il gpupdate comando ha esito negativo con l'errore seguente:

Quando si controlla il registro eventi, è possibile trovare la descrizione dell'evento seguente:

The processing of Group Policy failed because of lack of network connectivity to a domain controller. This may be a transient condition. A success message would be generated once the machine gets connected to the domain controller and Group Policy has successfully processed. If you do not see a success Message for several hours, then contact your administrator.

In questo caso, abilitare il log di debug gpsvc. Nel log gpsvc è possibile trovare l'output "GetLdapHandle: Failed to connect <DC> with 81".

Abilitare una traccia di rete per verificare:

  • È disponibile una query ldap eseguita a livello di sito.
  • La query restituisce due voci per il sito che contiene il ruolo del servizio ldap.
  • Per uno di essi, è possibile vedere che è in corso una risoluzione dei nomi.
  • Poiché la risoluzione dei nomi ha esito positivo, tenta di eseguire un'associazione LDAP ma ha esito negativo in caso di handshake TCP perché la porta 389 è bloccata.
  • Se non è disponibile alcuna risposta dal controller di dominio per l'handshake TCP sulla porta 389, i passaggi successivi sono coinvolgere il team di rete dei clienti e fornire queste informazioni.
  • Assicurarsi che, in questi scenari, si usino tutti i log specificati nel piano d'azione indicato in precedenza, correlarli e si porterà alla causa radice o almeno restringere il problema.

ID evento 1002

Ecco la descrizione dell'ID evento 1002:

The processing of Group Policy failed because of a system allocation failure. Please ensure the computer is not running low on resources (memory, available disk space). Group Policy processing will be attempted at the next refresh cycle.

Questo evento di errore viene in genere risolto quando il computer restituisce uno stato a basso consumo. Le possibili risoluzioni includono:

  1. Verificare che il computer non sia insufficiente nella memoria o nello spazio disponibile su disco.
  2. Riavviare il computer se è stato operativo per un periodo prolungato.

ID evento 1006

Ecco la descrizione dell'ID evento 1006:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the Details tab for error code and description.

Questo evento di errore viene in genere risolto dopo la correzione dell'associazione alla directory. Il servizio Criteri di gruppo registra un codice di errore visualizzato nella scheda Dettagli del messaggio di errore in Visualizzatore eventi. Il codice di errore (visualizzato come decimale) e i campi di descrizione dell'errore identificano ulteriormente il motivo dell'errore. Valutare il codice di errore con l'elenco seguente:

  • Codice di errore 5 (Accesso negato)

    Questo codice di errore potrebbe indicare che l'utente non dispone dell'autorizzazione per accedere ad Active Directory.

  • Codice errore 49 (credenziali non valide)

    Questo codice di errore potrebbe indicare che la password dell'utente è scaduta mentre l'utente è ancora connesso al computer. Per correggere le credenziali non valide:

    1. Modificare la password dell'utente.
    2. Bloccare/sbloccare la workstation.
    3. Controllare se sono presenti servizi di sistema in esecuzione come account utente.
    4. Verificare che la password nella configurazione del servizio sia corretta per l'account utente.

  • Il codice di errore è 258 (timeout)

    Questo codice di errore potrebbe indicare che la configurazione DNS non è corretta. Per correggere i problemi di timeout, usare lo nslookup strumento per confermare _ldap._tcp.<i record domain-dns-name> vengono registrati e puntano ai server corretti (dove <domain-dns-name> è il nome di dominio completo del dominio di Active Directory).

    Note

    Questi passaggi possono avere risultati variabili se la rete vincola o blocca i pacchetti ICMP (Internet Control Message Protocol).

ID evento 1030

Ecco la descrizione dell'ID evento 1030:

The processing of Group Policy failed. Windows attempted to retrieve new Group Policy settings for this user or computer. Look in the Details tab for error code and description. Windows will automatically retry this operation at the next refresh cycle. Computers joined to the domain must have proper name resolution and network connectivity to a domain controller for discovery of new Group Policy objects and settings. An event will be logged when Group Policy is successful.

Controllare se le porte LDAP sono aperte. In caso contrario, assicurarsi che le porte siano aperte nel firewall e localmente nel client e nel controller di dominio.

Come determinare il blocco di porte

Assicurarsi che la risoluzione dei nomi DNS in cui il client non sia in grado di risolvere un nome host

  • Se un client non riesce a risolvere un nome host, è consigliabile verificare la sequenza di risoluzione dei nomi host elencata in precedenza che il client deve usare. Se il nome non esiste in nessuna delle risorse usate dal client, è necessario decidere quale risorsa aggiungerla. Se il nome esiste in una delle risorse, ad esempio un server DNS o un server WINS (Windows Internet Name Service) e il client non risolve correttamente il nome, concentrarsi sulla risoluzione di tale risorsa specifica.
  • Verificare inoltre che il client stia tentando di risolvere un nome host e non un nome NetBIOS. Molte applicazioni hanno più metodi che possono usare per risolvere i nomi. Questo è particolarmente vero per le applicazioni di posta elettronica e database. L'applicazione può essere configurata per connettersi alle risorse tramite NetBIOS. A seconda della configurazione client, il client può ignorare la risoluzione dei nomi host. Da qui, sarà necessario modificare il tipo di connessione in socket TCP/IP o risolvere il problema come problema NetBIOS.

Autorizzazione contenitore Criteri di gruppo

Usare il cmdlet Di PowerShell Get-GPPermission seguente per ottenere il livello di autorizzazione per tutte le entità di sicurezza nell'oggetto Criteri di gruppo specificato:

Get-GPPermission -Name "TestGPO" -All

ID evento 1058

Ecco la descrizione dell'ID evento 1058:

The processing of Group Policy failed. Windows attempted to read the file %9 from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
1. Name Resolution/Network Connectivity to the current domain controller.
2. File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
3. The Distributed File System (DFS) client has been disabled.

Correggere la connettività al modello criteri di gruppo. Il servizio Criteri di gruppo registra il nome del controller di dominio e il codice di errore, visualizzato nella scheda Dettagli del messaggio di errore in Visualizzatore eventi. Il codice di errore (visualizzato come decimale) e i campi di descrizione dell'errore identificano ulteriormente il motivo dell'errore. Valutare il codice di errore con l'elenco seguente:

  • Codice errore 3 (Il sistema non riesce a trovare il percorso specificato)

    Questo codice di errore indica in genere che il computer client non riesce a trovare il percorso specificato nell'evento. Per testare la connettività client al sysvol del controller di dominio:

    1. Identificare il controller di dominio usato dal computer. Il nome del controller di dominio viene registrato nei dettagli dell'evento di errore.

    2. Identificare se l'errore si verifica durante l'elaborazione dell'utente o del computer. Per l'elaborazione dei criteri utente, il campo Utente dell'evento mostrerà un nome utente valido. Per l'elaborazione dei criteri computer, il campo Utente mostrerà "SYSTEM".

    3. Comporre il percorso di rete completo del gpt.ini come \\<dcName>\SYSVOL\<domain>\Policies\<guid>\gpt.ini dove <dcName> è il nome del controller di dominio, <dominio> è il nome del dominio e <guid> è il GUID della cartella dei criteri. Tutte le informazioni vengono visualizzate nell'evento .

    4. Verificare di poter leggere gpt.ini usando il percorso di rete completo ottenuto nel passaggio precedente. A tale scopo, aprire una finestra del prompt dei comandi e digitare <file_path>, dove <file_path> è il percorso costruito nel passaggio precedente e premere INVIO.

      Note

      È necessario eseguire questo comando come utente o computer le cui credenziali in precedenza non sono riuscite.

  • Codice di errore 5 (Accesso negato)

    Questo codice di errore indica in genere che l'utente o il computer non dispone delle autorizzazioni appropriate per accedere al percorso specificato nell'evento. Nel controller di dominio verificare che l'utente e il computer dispongano dell'autorizzazione appropriata per leggere il percorso specificato nell'evento. Per testare le credenziali del computer e dell'utente:

    1. Disconnettersi e riavviare il computer.
    2. Accedere al computer con le credenziali di dominio usate in precedenza.

  • Codice di errore 53 (percorso di rete non trovato)

    Questo codice di errore indica in genere che il computer non è in grado di risolvere il nome nel percorso di rete specificato. Per testare la risoluzione dei nomi del percorso di rete:

    1. Identificare il controller di dominio usato dal computer. Il nome del controller di dominio viene registrato nei dettagli dell'evento di errore.
    2. Provare a connettersi alla condivisione netlogon nel controller di dominio usando il percorso \\<dcName>\netlogon dove <dcName> è il nome del controller di dominio nell'evento di errore.

ID evento 1053

Ecco la descrizione dell'ID evento 1053:

The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one or more of the following:
1. Name Resolution failure on the current domain controller.
2. Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).

Il servizio Criteri di gruppo registra il nome del controller di dominio e il codice di errore. Queste informazioni vengono visualizzate nella scheda Dettagli del messaggio di errore in Visualizzatore eventi. Il codice di errore (visualizzato come decimale) e i campi di descrizione dell'errore identificano ulteriormente il motivo dell'errore. Valutare il codice di errore con l'elenco seguente:

  • Codice di errore 5 (Accesso negato): questo codice di errore potrebbe indicare che la password dell'utente è scaduta mentre l'utente è ancora connesso al computer. Se l'utente ha modificato di recente la password, il problema potrebbe scomparire dopo aver consentito il completamento della replica di Active Directory.

    1. Modificare la password dell'utente.
    2. Bloccare/sbloccare la workstation.
    3. Controllare se sono presenti servizi di sistema in esecuzione come account utente.
    4. Verificare che la password nella configurazione del servizio sia corretta per l'account utente.

  • Codice di errore 14 (spazio di archiviazione insufficiente per completare l'operazione)

    Questo codice di errore potrebbe indicare che Windows non dispone di memoria sufficiente per completare l'attività. Esaminare il registro eventi di sistema per eventuali altri problemi specifici della memoria.

  • Codice di errore 525 (l'utente specificato non esiste)

    Questo codice di errore potrebbe indicare autorizzazioni non corrette per l'unità organizzativa. L'utente richiede l'accesso in lettura all'unità organizzativa che contiene l'oggetto utente. Analogamente, i computer richiedono l'accesso in lettura all'unità organizzativa che contiene l'oggetto computer.

  • Codice di errore 1355 (il dominio specificato non esiste o non è stato contattato)

    Questo codice di errore potrebbe indicare un errore o una configurazione non corretta con risoluzione dei nomi (DNS). Usare nslookup per confermare che è possibile risolvere gli indirizzi dei controller di dominio nel dominio utente.

  • Codice di errore 1727 (Chiamata di procedura remota non riuscita e non eseguita)

    Questo codice di errore potrebbe indicare che le regole del firewall impediscono la comunicazione con un controller di dominio. Se è installato software firewall di terze parti, controllare la configurazione del firewall o provare a disabilitarlo temporaneamente e verificare che i criteri di gruppo vengano elaborati correttamente.

ID evento 1097

Ecco la descrizione dell'ID evento 1097:

The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.

I computer di dominio eseguono l'autenticazione al dominio, come gli utenti di dominio. Windows richiede che il computer accersi prima di poter applicare Criteri di gruppo al computer. Le possibili risoluzioni includono:

  • Verificare che l'ora nel computer sia sincronizzata con l'ora nel controller di dominio.
  • Tenere conto di errori di configurazione del fuso orario se il computer è configurato in un fuso orario diverso dal controller di dominio.
  • Una differenza di tempo maggiore di cinque minuti tra il computer e il controller di dominio può causare la mancata autenticazione del computer con il dominio. Forzare la sincronizzazione dell'ora con il servizio ora usando il w32tm /resync comando .
  • Riavviare il computer.

ID evento 4016 e ID evento 5016

Durante l'aggiornamento periodico di Criteri di gruppo, il servizio usa le informazioni raccolte nella fase di pre-elaborazione per applicare ogni impostazione di criterio. Il servizio esegue questa operazione passando le informazioni raccolte in precedenza a ognuna delle estensioni lato client di sistema e non di sistema. Questa fase inizia registrando un evento di elaborazione dell'estensione lato client.This phase begins by recording a client-side extension (CSE) processing event.

ID evento Tipo di evento Spiegazione
4016 Informativo Il servizio Criteri di gruppo registra questo evento ogni volta che un'estensione lato client di Criteri di gruppo inizia l'elaborazione.
5016 Success Il servizio Criteri di gruppo registra questo evento quando un'estensione lato client di Criteri di gruppo completa correttamente l'elaborazione.

Quando si passa alla scheda Dettagli in ID evento 5016, è possibile trovare lo stato restituito seguente:

ErrorCode 2147483658 <-> 0x8000000a       -2147483638               E_PENDING                    "The data necessary to complete this operation is not yet available"

Note

Il valore restituito "-2147483638 (E_PENDING)" è previsto e da progettazione durante l'elaborazione dell'estensione lato client. Indica che un thread asincrono è stato avviato correttamente dal motore Criteri di gruppo per elaborare le informazioni sull'estensione di controllo. Significa anche che il valore restituito verrà registrato anche se le nuove impostazioni di controllo sono valide o applicate ai client.

Determinare l'elaborazione avanzata dell'estensione lato client audit (AuditCSE)

Dopo aver ricevuto il valore restituito 2147483658 dall'ID evento 5016, è possibile esaminare gli eventi di livello dettagliato dell'elaborazione AuditCSE nel registro eventi Security-Audit-Configuration-Client>Operational. Queste informazioni sono utili per osservare l'elaborazione delle impostazioni dei criteri di gruppo Audit avanzato e rilevare quindi eventuali errori o errori.

  1. Controlla estensione lato client (Auditcse.dll) elabora le estensioni lato client di controllo.
  2. Ha la propria registrazione nel log operativo Security-Audit-Configuration-Client>.

Seguire questa procedura per esaminare il registro eventi Security-Audit-Configuration-Client>Operational per la risoluzione dei problemi relativi alle impostazioni dei criteri di gruppo di controllo:

  1. Aprire Visualizzatore eventi.
  2. In Visualizzatore eventi (locale) selezionare Registri applicazioni e servizi di>Microsoft>Windows>Security-Audit-Configuration-Client>Operational.
  3. Fare doppio clic sugli eventi di avviso o errore per risolvere i problemi. Esaminare anche la scheda Dettagli per questi eventi per qualsiasi valore di errore .
  4. In caso contrario, esaminare l'evento informativo per acquisire l'elaborazione completa dell'estensione Audit.

Raccogliere informazioni sulla chiave prima di contattare supporto tecnico Microsoft

Prima di completare la richiesta di supporto, è consigliabile usare la funzionalità Windows Live Dump per salvare uno snapshot della memoria kernel nel computer interessato. A tale scopo, effettuare i passaggi seguenti:

  1. Acquisire la registrazione dettagliata del servizio Criteri di gruppo eseguendo i comandi seguenti:

    md %windir%\debug\usermode

reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00030002"

  2. Aggiornare le impostazioni di Criteri di gruppo locali e basate su AD usando il gpupdate /force comando .

    Suggerimento

    Usare uno dei comandi seguenti se si risolvono i problemi relativi alle impostazioni mancanti di un utente o di un computer specifico:

    • Gpupdate /force /target:computer
    • Gpupdate /force /target:user

  3. Salvare il report RSoP (Resultant Set of Policy) in un file HTML eseguendo il comando seguente:

    gpresult /h %Temp%\GPResult.htm

  4. Salvare i dati di riepilogo RSoP in un file txt eseguendo il comando seguente:

    gpresult /r >%Temp%\GPResult.txt

  5. Esportare le chiavi del Registro di sistema GPExtensions eseguendo il comando seguente:

    reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg

  6. Esportare i log del visualizzatore eventi operativi di Criteri di sistema, applicazione e Criteri di gruppo eseguendo i comandi seguenti:

    wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true

wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true

wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true

  7. Acquisire i file seguenti:

    • %Temp%\Application.evtx
    • %Temp%\System.evtx
    • %Temp%\GroupPolicy.evtx
    • %Temp%\GPExtensions.reg
    • %Temp%\GPResult.txt
    • %Temp%\GPResult.html
    • %windir%\debug\usermode\gpsvc.log

  8. Al termine, è possibile arrestare la registrazione del servizio Criteri di gruppo eseguendo il comando seguente:

    reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00000000" /f

Raccolta dei dati

Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di Criteri di gruppo.