Продолжение  -                    Перейти к началу  статьи >>>

Код события 5320: Сведения о взаимодействии

Это событие регистрируется службой групповой политики и несет в себе информацию об ожидаемом или успешно завершившемся взаимодействии с зависимым компонентом. Многократное появление этого события в операционном журнале групповой политики является нормальным явлением. В зависимости от результата взаимодействия служба групповой политики может зарегистрировать в журнале одно из трех различных событий, перечисленных в следующей таблице.

Ниже приведен пример события с кодом 5320, зарегистрированного в процессе сбора информации об учетной записи.

12:41:16.632 5320 Attempting to retrieve the account information.

Код события 4017: Начало системного вызова

Это событие регистрируется службой групповой политики перед выполнением системного вызова. Часто служба групповой политики использует различные функции Windows для сбора информации, необходимой для обработки групповой политики. Когда один компонент Windows обращается к другому компоненту Windows для выполнения определенной задачи и получения информации, это называется системным вызовом. Служба групповой политики выполняет системные вызовы на всем протяжении работы экземпляра обработки групповой политики, поэтому многократное появление этого события в операционном журнале групповой политики является нормальным явлением.

Событие с кодом 4017, которое иногда называют событием трассировки, фиксирует начало системного вызова. Для каждого события с кодом 4017 должно регистрироваться одно из трех событий завершения соответствующего системного вызова. Эти события перечислены в следующей таблице.

События с кодами 5017, 6017 и 7017 содержат информацию о времени выполнения системного вызова. Кроме этого, события с кодами 6017 и 7017 содержат информацию о возникших ошибках, доступную для просмотра на вкладке Подробности. Ниже приведен пример событий начала и успешного завершения системного вызова, зарегистрированных в процессе сбора информации об учетной записи.

2006-09-14 12:41:16.632 4017 Making system call to get account information.
2006-09-14 12:41:17.022 5017 The system call to get account information completed.
CN=MSTEPVISTA,CN=Computers,DC=contoso,DC=com The call completed in 390 milliseconds.

Сценарий «Определение контроллера домена»

Поскольку служба групповой политики работает с объектами групповой политики Active Directory, ей необходимо выполнить обнаружение контроллера домена.

Наверх страницы

Код события 4326: Начало процесса обнаружения контроллера домена

Это событие фиксирует начало процесса обнаружения контроллера домена. Вслед за этим событием регистрируется событие с кодом 5320, которое записывает информацию о начале взаимодействия службы групповой политики с остальными компонентами операционной системы.

12:41:17.022 4326 Group Policy is trying to discover the Domain Controller information.
12:41:17.022 5320 Retrieving Domain Controller details.

Далее регистрируется событие начала системного вызова, содержащее информацию об обнаруженном службой групповой политики контроллере домена, а также одно из трех событий завершения системного вызова, перечисленных в следующей таблице.

12:41:19.376 5017 The LDAP call to connect and bind to Active Directory completed. hq-con-srv-01.contoso.com The call completed after 171 milliseconds.

После этого регистрируется событие завершения связи с контроллером домена.

Код события 5308: Установления связи с контроллером домена

События с кодами 5308, 6308 и 7308 содержат информацию о результатах установления связи между компонентами системы в процессе определения контроллера домена. Результатом может быть успешное установление связи, предупреждение или сообщение об ошибке. Каждое из этих событий также содержит дополнительную информацию, которая зависит от полученных результатов.

Событие об успешном установлении связи с контроллером домена содержит информацию, полученную от контроллера домена – имя в формате UNC и IP-адрес контроллера домена. Предупреждения и сообщения об ошибках содержат в описании события код ошибки, который можно посмотреть на вкладке Подробности.

12:41:19.376 5308 Domain Controller details: Domain Controller Name: \\hq-con-srv-01.contoso.com Domain Controller IP Address : \\192.168.0.1

Код события 5326: Завершение связи с контроллером домена

По окончании процесса обнаружения контроллера домена служба групповой политики регистрирует событие завершения связи. Это событие содержит информацию о результатах попытки обнаружения контроллера домена. Как и в случае с большинством других событий, результатом может быть успешное завершение связи, предупреждение или сообщение об ошибке.

Каждое из этих событий содержит информацию о времени взаимодействия службы групповой политики с контроллером домена. Ниже приведен пример всех событий, зарегистрированных в процессе определения контроллера домена.

12:41:17.022 4326 Group Policy is trying to discover the Domain Controller information.
12:41:17.022 5320 Retrieving Domain Controller details.
12:41:19.206 4017 Making LDAP calls to connect and bind to Active Directory. hq-con-srv-01.contoso.com
12:41:19.376 5017 The LDAP call to connect and bind to Active Directory completed. hq-con-srv-01.contoso.com The call completed after 171 milliseconds.
12:41:19.376 5308 Domain Controller details: Domain Controller Name : \\hq-con-srv-01.contoso.com Domain Controller IP Address : \\192.168.0.1
12:41:19.376 5326 Group Policy successfully discovered the Domain Controller in 2354 milliseconds.

Сценарий «Определение роли компьютера»

В этом сценарии служба групповой политики определяет роль компьютера, на основании чего определяется информация о том, является ли компьютер:

• изолированной рабочей станцией или изолированным сервером;

• членом домена, поддерживающим службы каталогов;

• контроллером домена;

• членом домена, не поддерживающим службы каталогов.

Данная информация необходима для применения групповой политики на основании роли компьютера.

Наверх страницы

Код события 5309: Получение информации о компьютере

После попытки определения роли компьютера регистрируется одно из трех событий.

Событие успешного получения информации содержит числовой код роли компьютера и имя сети. Вы можете определить роль компьютера на основании ее кода с помощью следующей таблицы.

Ниже приведен пример события, зарегистрированного в процессе определения роли компьютера.

12:41:19.416 5309 Computer details: Computer role : 2 Network name :

Сценарий «Определение участника безопасности»

Групповая политика может применяться к компьютерам и к пользователям. В качестве объекта применения групповой политики система безопасности Windows определяет либо пользователя, либо компьютер. Для применения правильных параметров служба групповой политики должна знать, является ли участник безопасности пользователем, или же он является компьютером.

Наверх страницы

Код события 5310: Получение информации об участнике безопасности

После попытки определения текущего участника безопасности, которым может являться компьютер или пользователь, регистрируется одно из трех событий.

События с кодами 5310 и 6310 содержат следующую информацию об участнике безопасности:

• Различающееся имя учетной записи участника безопасности.

• Имя домена, содержащего учетную запись.

• Имя контроллера домена, использовавшегося для определения сведений об учетной записи.

• Имя домена, которому принадлежит контроллер домена.

Ниже приведен пример события, зарегистрированного в процессе определения участника безопасности.

12:41:19.416 5310 Account details: Account Name:CN=MSTEPVISTA,CN=Computers,DC=contoso,DC=com Account Domain Name : contoso.com DC Name : \\hq-con-srv-01.contoso.com DC Domain Name : contoso.com

Сценарий «Определение режима обработки замыкания на себя»

Обработка групповой политики в режиме замыкания на себя изменяет способ применения политик пользователя. При обычной обработке политик пользователя считываются параметры объектов GPO, областью действия которых является пользователь. При обработке групповой политики в режиме замыкания на себя параметры пользователя, областью действия которых является пользователь, объединяются (режим объединения) либо замещаются (режим замены) параметрами пользователя, областью действия которых является компьютер.

Наверх страницы

Код события 5311: Определение режима обработки замыкания на себя

После попытки определения режима обработки замыкания на себя регистрируется одно из трех событий.

Данные события содержат текстовое описание режима обработки замыкания на себя.

• Режим без замыкания на себя: обработка на себя не выполняется.

• Слияние: выполняется обработка на себя в режиме объединения. Служба групповой политики объединяет параметры пользователя, областью действия которых является пользователь, и параметры пользователя, областью действия которых является компьютер.

• Замена: выполняется обработка на себя в режиме замены. Служба групповой политики замещает параметры пользователя, областью действия которых является пользователь, параметрами пользователя, областью действия которых является компьютер.

Ниже приведен пример события, зарегистрированного в процессе определения режима обработки замыкания на себя.

12:41:19.486 5311 The loopback policy processing mode is "No loopback mode".

Сценарий «Определение объектов групповой политики»

Служба групповой политики определяет список объектов GPO, применяемых к компьютеру или пользователю. После того, как список объектов GPO определен, служба групповой политики проверяет доступность каждого объекта, считывая файл gpt.ini, расположенный в системном разделе ранее определенного контроллера домена. В результате этой проверки в операционном журнале групповой политики регистрируется ряд событий начала и завершения системных вызовов (событий трассировки), в процессе которых считываются файлы gpt.ini. Событие начала системного вызова имеет код 4017. В зависимости от результата чтения файла gpt.ini, для каждого события начала системного вызова регистрируется одно из трех событий завершения соответствующего системного вызова. Эти события перечислены в следующей таблице.

Ниже приведен пример событий начала и завершения системного вызова, зарегистрированных в процессе определения объектов групповой политики.

12:41:19.636 4017 Making system calls to access specified file. \\contoso.com\SysVol\contoso.com\Policies\{9F1DE622-0635-4F10-8A0B-4AEAEB5C3B79}\gpt.ini
12:41:20.307 5017 The system calls to access specified file completed. \\contoso.com\SysVol\contoso.com\Policies\{9F1DE622-0635-4F10-8A0B-4AEAEB5C3B79}\gpt.ini The call completed in 671 milliseconds.

В процессе дальнейшего выполнения сценария регистрируется событие определения списка примененных объектов GPO.

Наверх страницы

Код события 5312: Определение списка примененных объектов групповой политики

После проверки файлов gpt.ini каждого объекта GPO регистрируется одно из трех событий, перечисленных в следующей таблице. Событие с кодом 5312 содержит имена объектов GPO, применяемых к компьютеру или пользователю.

Ниже приведен пример события успешного определения списка примененных объектов GPO.

12:41:20.958 5312 List of applicable Group Policy objects: Removable Devices Policy
Power Management Policy
Folder Redirection Policy
Default Domain Policy

В процессе дальнейшего выполнения сценария регистрируется событие определения списка отфильтрованных объектов GPO.

Код события 5313: Определение списка отфильтрованных объектов групповой политики

На последней стадии определения объектов GPO регистрируется одно из трех событий, перечисленных в следующей таблице. Событие с кодом 5313 содержит имена отфильтрованных объектов GPO. Служба групповой политики не применяет эти объекты GPO к компьютеру или пользователю.

Ниже приведен пример всех событий, зарегистрированных в процессе определения объектов групповой политики.

12:41:19.636 4017 Making system calls to access specified file. \\contoso.com\SysVol\contoso.com\Policies\{9F1DE622-0635-4F10-8A0B-4AEAEB5C3B79}\gpt.ini 12:41:20.307 5017 The system calls to access specified file completed. \\contoso.com\SysVol\contoso.com\Policies\{9F1DE622-0635-4F10-8A0B-4AEAEB5C3B79}\gpt.ini The call completed in 671 milliseconds. 12:41:20.307 4017 Making system calls to access specified file. \\contoso.com\SysVol\contoso.com\Policies\{1AAEB8CD-E71C-4D7F-A658-A5331ED8FEF0}\gpt.ini 12:41:20.598 5017 The system calls to access specified file completed. \\contoso.com\SysVol\contoso.com\Policies\{1AAEB8CD-E71C-4D7F-A658-A5331ED8FEF0}\gpt.ini The call completed in 290 milliseconds. 12:41:20.598 4017 Making system calls to access specified file. \\contoso.com\SysVol\contoso.com\Policies\{898264CC-84A5-4A77-95F6-402B30778048}\gpt.ini 12:41:20.648 5017 The system calls to access specified file completed. \\contoso.com\SysVol\contoso.com\Policies\{898264CC-84A5-4A77-95F6-402B30778048}\gpt.ini The call completed in 51 milliseconds. 12:41:20.648 4017 Making system calls to access specified file. \\contoso.com\SysVol\contoso.com\Policies\{CBBCB787-7FE6-45B3-89D3-38D74D658BA3}\gpt.ini 12:41:20.668 5017 The system calls to access specified file completed. \\contoso.com\SysVol\contoso.com\Policies\{CBBCB787-7FE6-45B3-89D3-38D74D658BA3}\gpt.ini The call completed in 20 milliseconds. 12:41:20.668 4017 Making system calls to access specified file. \\contoso.com\sysvol\contoso.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini 12:41:20.848 5017 The system calls to access specified file completed. \\contoso.com\sysvol\contoso.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini The call completed in 180 milliseconds. 12:41:20.958 5312 List of applicable Group Policy objects: Removable Devices Policy Power Management Policy Folder Redirection Policy Default Domain Policy 12:41:20.958 5313 The following Group Policy objects were not applicable because they were filtered out : Local Group Policy Not Applied (Empty) Shell Restriction Policy Not Applied (Empty)

Сценарий «Определение медленных подключений»

Для работы некоторых компонентов групповой политики требуется быстрое подключение к сети. Однако иногда быстрое сетевое подключение оказывается недоступным. Служба групповой политики ответственна за определение и оценку пропускной способности соединения между компьютером и контроллером домена. Служба групповой политики сравнивает полученное значение пропускной способности с заданным групповой политикой пороговым значением, соответствующим медленному подключению. Если значение, полученное при оценке пропускной способности, оказывается ниже порогового значения, служба групповой политики помечает сетевое подключение как медленное.

Служба групповой политики обменивается данной информацией со всеми клиентскими расширениями групповой политики. Для каждого из них предусмотрен особый режим работы, который включается по умолчанию при обнаружении медленного подключения. Например, расширения безопасности обрабатывают параметры групповой политики даже при медленном подключении, однако параметры перенаправления папок не будут обрабатываться на клиентских компьютерах в случае обнаружения медленного подключения.

Наверх страницы

Код события 5327: Оценка пропускной способности подключения

По завершении оценки пропускной способности сетевого подключения регистрируется одно из трех событий, перечисленных в следующей таблице.

События с кодами 5327 и 6327 содержат информацию о скорости подключения, выраженной в килобитах в секунду (кбит/с).

12:41:22.991 5327 Estimated network bandwidth on one of the connections: 1408 kbps.

По завершении оценки пропускной способности служба групповой политики регистрирует событие с информацией о состоянии сетевого подключения.

Код события 5314: Информация о состоянии сетевого подключения

По завершении оценки пропускной способности сетевого подключения регистрируется одно из трех событий, перечисленных в следующей таблице. События с кодами 5314 и 6314 содержат следующую информацию:

• Статус подключения (быстрое или медленное).

• Скорость подключения, выраженная в килобитах в секунду.

• Пороговое значение пропускной способности, соответствующее медленному подключению, также выраженное в килобитах в секунду.

Ниже приведен пример всех событий, зарегистрированных в процессе определения медленных подключений.

12:41:22.991 5327 Estimated network bandwidth on one of the connections: 1408 kbps.
12:41:22.991 5314 A fast link was detected. The Estimated bandwidth is 1408 kbps. The slow link threshold is 500 kbps.

Сценарий «Определение несистемных расширений групповой политики»

Служба групповой политики работает в связке с остальными компонентами ОС Windows Vista как часть хост-процесса общих служб. Такой режим работы служб повышает их быстродействие. Однако сторонние разработчики могут расширять функционал групповой политики, предоставляя дополнительные расширения, которые обрабатываются во время обработки групповой политики. Служба групповой политики обнаруживает такие несистемные расширения на стадии предварительной обработки групповой политики. В случае обнаружения несистемных расширений служба групповой политики изменяет свои настройки и работает в составе хост-процесса отдельной службы. Такой режим работы также известен как изолированный режим.

Служба групповой политики записывает информацию о своей работе в операционном журнале, регистрируя событие со статусом Сведения.

Наверх страницы

Код события 5320: Оперативные сведения

В операционном журнале групповой политики регистрируются события, содержащие дополнительную информацию о работе службы групповой политики. Данные события не являются специфичными для какой-либо определенной стадии или сценария обработки групповой политики. События, перечисленные в следующей таблице, могут содержать различную информацию.

Ниже приведен пример событий, зарегистрированных в процессе определения несистемных расширений групповой политики.

12:41:28.058 5320 Checking for Group Policy client extensions that are not part of the system.
12:41:28.058 5320 Service configuration update to standalone is not required and will be skipped.
12:41:28.058 5320 Finished checking for non-system extensions.

Стадия обработки групповой политики

На стадии предварительной обработки групповой политики собирается информация, необходимая для дальнейшей обработки параметров объектов GPO. Следующим этапом является стадия непосредственной обработки групповой политики. На стадии обработки служба групповой политики использует всю информацию, полученную на предыдущей стадии, и применяет все параметры групповой политики. В процессе применения параметров объектов GPO полученная информация передается каждому системному и несистемному клиентскому расширению групповой политики (Client-side Extension, CSE). Стадия обработки групповой политики начинается с регистрации начала обработки клиентского расширения.

Код события 4016: Начало обработки клиентского расширения

Данное событие регистрируется на начальном этапе обработки групповой политики и содержит следующую информацию: имя обрабатываемого расширения и список применяемых для этого расширения объектов GPO. Для данного события, как и для большинства других событий, существует соответствующее событие завершения обработки. Каждое клиентское расширение уведомляет службу групповой политики о завершении своей обработки. В этот момент в операционном журнале регистрируется событие завершения обработки клиентского расширения.

Код события 5016: Завершение обработки клиентского расширения

По завершении обработки клиентского расширения регистрируется одно из трех событий, перечисленных в следующей таблице. Событие с кодом 5016 содержит следующую информацию: имя клиентского расширения и время обработки этого расширения, выраженное в миллисекундах.

Ниже приведен пример событий, зарегистрированных в процессе обработки клиентских расширений групповой политики.

17:53:28.725 4016 Starting Registry Extension Processing. List of applicable Group Policy objects: (Changes were detected.) Removable Devices Policy Power Management Policy Default Domain Policy 17:53:37.912 5016 Completed Registry Extension Processing in 9188 milliseconds. 17:53:38.022 4016 Starting Scripts Extension Processing. List of applicable Group Policy objects: (Changes were detected.) User Logon Script Policy 17:53:38.537 5016 Completed Scripts Extension Processing in 516 milliseconds. 17:53:38.553 4016 Starting Security Extension Processing. List of applicable Group Policy objects: (Changes were detected.) Default Domain Policy 17:53:56.912 5016 Completed Security Extension Processing in 18359 milliseconds. 17:53:56.928 4016 Starting EFS recovery Extension Processing. List of applicable Group Policy objects: (Changes were detected.) EFS Recovery Agent Policy 17:53:57.365 5016 Completed EFS recovery Extension Processing in 437 milliseconds.

Стадия пост-обработки групповой политики

Обработка экземпляра групповой политики завершается на стадии пост-обработки. На этой стадии служба групповой политики регистрирует единственное событие – событие завершения обработки групповой политики.

Код события 8000: Завершение обработки групповой политики

События с кодами из интервала 8000-8007 означают успешное завершение обработки групповой политики на компьютере. Каждое из этих событий означает успешное завершение определенной части процесса обработки групповой политики.

Для каждого из вышеперечисленных событий имеются соответствующие события с уровнями Предупреждение и Ошибка. Коды этих событий формируются в соответствии с шаблоном, описанным выше в этом документе. Код соответствующего события с уровнем Предупреждение начинается с цифры 6, код события с уровнем Ошибка начинается с цифры 7. Последние три цифры кодов этих событий совпадают с цифрами кода события об успешном завершении. Точно также, три последних цифры кодов событий завершения обработки групповой политики совпадают с цифрами кодов событий начала обработки групповой политики. Например, если было зарегистрировано событие начала обработки групповой политики с кодом 4003, то при успешном завершении обработки экземпляра групповой политики будет зарегистрировано событие с кодом 8003. Если в процессе обработки групповой политики возникнут ошибки или же обработка не будет завершена, то будут зарегистрированы события с кодами 6003 и 7003 соответственно. Ниже приведен пример события успешного завершения обработки групповой политики.

12:41:30.922 8000 Completed computer boot policy processing for CONTOSO\WKST007$ in 14 seconds.

Краткое заключение относительно процесса обработки групповой политики

Процесс обработки экземпляра групповой политики можно разделить на три стадии: предварительная обработка, основная обработка и пост-обработка. На стадии предварительной обработки служба групповой политики собирает информацию, необходимую для последующей обработки параметров групповой политики. Далее наступает стадия обработки. На этой стадии происходит обмен полученной ранее информацией со всеми системными и несистемными клиентскими расширениями, которые используют эту информацию для обработки своих индивидуальных параметров, а затем возвращают управление службе групповой политики. После того, как каждое клиентское расширение обработает свою часть параметров, наступает заключительная стадия – пост-обработка групповой политики. На этой стадии служба групповой политики сообщает об успешном либо неудачном завершении обработки всего экземпляра групповой политики в целом, а также предоставляет информацию о времени, затраченном на обработку этого экземпляра.

Продолжение статьи >>>>