trouble shooting 一定要可以重现才算解决问题
trouble shooting的步骤:
1.界定:症状,日志,隔离(用其他计算机或账号测试),复核,问题描述
2.分析:研究(log,kb),测试,重现
3.解决:提出解决方案,确定方案是否解决问题,可行性,绕过方法,问题根源,如何避免
4.总结:书面总结并解决潜在问题
GPresult.exe:拿到哪些GPO
Gpupdate.exe:winxp或win2003刷新
secedit.exe:win2000刷新或导出安全策略
gpotool.exe:检查域控制器是否完整
mps_report:检查DC

c:\windows\debug\userenv.log:
HKEY_LOCAL_MACHINE\Software\Microsoft\windowsNT\currentVersion\Winlogon
建立"新建DWORD值"：UseerenvDebugLevel = 0x00000002(记录详细消息）

c:\windows\security\logs\winlogon.log:
先激活:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
新建DWORD值:ExtensionDebuglevel = 2

案例一,source:scecli eventID:1202
用winlogon.log找到是没有域用户的原因

案例二,userenv 1058
mpsrpt->c:\windows\mpsreports->可以发现DFS服务停止,这样sysvol就不能访问

案例三,登录后加载桌面慢
通过userenv.log检查,关注执行时间->错误信息是5,标识access deny->可找到exe.
如:userenv(798,79c) 16:01:30:222 ..............793,79c向上查能找到类似
userenv(798.79c) 16:01:22:322 LibMain process name: c:\windows\system32\userinit.exe,就可以知道它的进程了

案例四,scecli 1001 security policy cannot be propagated. cannot delet GP cache.
将cache文件夹deny,(c:\windows\security\templates\policies)
winlogon.log可发现访问拒绝提示,找正确的上一次是做本地副本

案例五,脚本执行失败 userenve 1005
kb816045/227369/227260,
userenv.log->发现pingcomputer: pingbuffersize set as 2048

记录标识符Guid在GPO的Details中可找到