組策略對象
組策略對象
組策略對象,GPO(Group Policy Object),實際上就是組策略設置的集合。
組策略的設置結果是保存
在GPO中的(在Microsoft Windows XP 中,可以使用組策略為用戶和計算機組定義用戶和計算機配置。通過使用組策略 Microsoft Management Console (MMC) 管理單元,您可以為特定的用戶和計算機組創建特定的桌面配置。您創建的組策略設置包含在組策略對象中,後者進而與選定的Active Directory 容器(如站點、域或組織單位 (OU))關聯)。
GPO中包含用於特定用戶或計算機的策略信息和配置。可以將其看成是組策略工具所生成的文檔,它在原理上同.txt或.doc這類文檔沒有什麼差別。
如果客戶端擴展失敗,相關的GPO設置將無法應用。桌面管理員可以通過內置的Windows工具來檢查是否應用了某個特定的GPO及其設置。其中一些工具也可以用於遠程計算機。
GPResult是一款強大的命令行工具,可以將Windows設備上應用的組策略設置生成報告。該工具從Windows 2000時出現,支持以下參數:
• GPResult /R——報告中只包括用戶和計算機賬戶中應用的GPO。用於查看某個特定的GPO。輸出顯示在屏幕上。
• GPResult /Z——可以使用/Z參數查看計算機上應用的GPO和策略設置。
• GPResult /H ——/H參數將所有組策略中的GPO生成報告,並以ReportFileName.HTML格式輸出。如果想查看本地電腦上的GPO和策略設置,可以使用/H參數。
• GPResult /S ——指示命令獲取遠程計算機上的GPResult。
GPResult雖然提供了/S參數來檢查遠程計算機上的GPO及其設置,但最好的方法是使用遠程命令執行工具,如PSExec.exe或者Windows Management Instrumentation Command line(WMIC)。
PSExec.exe和WMIC工具在遠程計算機上交互運行。因為GPResult是命令行工具,可以用來編寫操作腳本並在多台計算機上運行。
RSOP.MSC是一款圖像用戶界面(GUI)工具,是用來檢查本地或遠程計算機上應用的GPO和設置的首選工具。可以使用RSOP.MSC快速確定在通過活動目錄域控制器應用GPO的過程中是否存在問題。
如果想在幾個Windows計算機上執行腳本任務,GPResult.exe比RSOP.MSC更合適。
為了檢查本地或遠程計算機是否成功應用了組策略,可以只使用註冊表編輯器(Registry Editor)。注意,其只顯示已應用的GPO。換句話說,GPO策略設置存儲在註冊表的多個地方,除非知道GPO策略設置在註冊表中如何存儲以及存儲的位置,否則很難知道應用了哪些設置。
計算機上應用的GPO信息位於HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History。該鍵值包含子鍵,子鍵包含了已經應用的GPO名稱。
管理員還可以通過註冊表編輯器連接到遠程計算機的註冊表,前提是該遠程計算機上有運行“遠程註冊表”服務。連接到遠程註冊表,導航到上述的註冊表位置,就可以檢查該遠程計算機上的GPO應用。
當然,可以使用GPResult.exe和RSOP.MSC獲得Windows計算機的GPO應用結果,但是微軟在Windows PowerShell中也提供了相同的功能。GPO PowerShell cmdlets可以作為遠程伺服器管理工具的一部分運行在Windows 7和更高的操作系統版本上。
有許多PowerShell cmdlets能夠用於執行GPO相關任務,其中Get-GPResultantSetOfPolicy PowerShell cmdlet可以幫助用戶從本地或遠程計算機上生成GPO設置。
該cmdlet能夠以最快和最容易的方法獲得用戶、計算機或本地以及遠程計算機上的GPO RSOP數據。Get-GPResultantSetOfPolicy cmdlet與RSOP.MSC類似,但是它支持XML格式的GPO RSOP報告,以及從命令行運行遠程計算機上執行命令。執行以下命令可以檢查本地計算機上應用的GPO和策略設置:
• Get-GPResultantSetOfPolicy -ReportType XML -path C:\MyReports\GPOReport.XML
如果是在遠程計算機上運行並且想將結果保存在本地計算機上,執行以下命令:
• Get-GPResultantSetOfPolicy -ReportType HTML -Computer PC1.TechTarget.com -Path C:\MyReports\GPOReport_PC1.html
同樣的,下面的命令為TechTarget.com域中的PC1,用戶名為James的計算機生成報告:
• Get-GPResultantSetOfPolicy -User James -Computer TechTarget.com\PC1 -ReportType html –Patch C:\MyReports\PC1_GPOReport.html
Get-GPResultantSetOfPolicy支持–Computer參數,可以指定一個計算機名稱。在多個計算機上執行該命令時,可以使用ForEach PowerShell cmdlet讀取計算機名稱,然後再執行Get-GPResultantSetOfPolicy命令。