|
域组策略对象检查工具――GPO TOOL Windows Resource Kit Tools工具软件Gpotool号称组策略的医生用于检查域控制器上的组策略对象的健康状况主要完成一下功能 ●检查组策略对象的一致性读取必须的和可选的目录服务属性(版本友好名称扩展 GUID和Windows 系统卷(SYSVOL)数据(GPTini))比较目录和SYSVOL版本号执行其他的一致性检查若果扩展属性包含GUID则功能版本必须用户/计算机版本必须要大于 ●检查组策略对象复制它从每个域控制器读取GPO实例并对它们进行比较(选定组策略容器属性与组策略模板进行完全递归比较) ●浏览GPO可根据友好名称或GUID搜索策略名称和GUID也都支持部分匹配 ●首选域控制器在默认情况下将使用域中所有可用的与控制器这可从命令行中用所提供域控制器列表进行改写 ●提供跨域支持有一个用于检查不同域中的策略的命令行选项 ●在详细模式下运行如果所有的域策略都正常则该工具显示一条验证消息如果有误则显示有关被损坏策略信息某个命令行选项可打开有关正在处理的每个策略的详细信息 检测当前域上所有组策略的正常配置在命令提示符下键入gpotool 回车运行后的结果显示如下图 在测试中发现目前是系统域控制器所有的组策略(条系统默认策略)测试陈功检测通过 假如我们在子域控制器上我们要检测根域上所有组策略的正常配置我们可以使用这个命令在命令提示符下键入gpotool /domain: 检测根域上所有组策略的详细信息输出到c:\testtxt文件文本中并且使用及时打开testtxt文件在命令提示符下键入gpotool /verbose >testtxt回车运行结果显示如下图 查找到输出的文件并用记事本打开可在文件中看到相关组策略的详细信息如下图 Gpotool 命令语法格式为 Gpotool [/gpo:GPO[GPO]…] [/domain:DNSname ] [/dc:{DomainController}[{DomainController}] [/checkacl] [/verbose] 参数说明 /gpo:GPO[GPO]… ――需要检查的GPO可以指定GUID或者GPO名默认为当前域的所有GPO /domain:DNSname ――GPO所在域的域名 /dc:{DomainController}[{DomainController} ――处理GPO的域控制器名称列表 /checkacl ――在每台服务器上对sysvol验证ACL /verbose ――在处理过程中显示详细信息 注意 在域控制器上须向警告事件与错误事件这通常意味着一个域控制器已从域控制器OU移到另一个与默认域控制器GPO链接的OU 当管理员尝试打开某个默认GPO时返回以下错误未能打开组策略对象这通常意味可能没有适合的权限 在事件日志中出现和事件这是因为registrypol文件被损坏所致通过删除SYSVOL下的registrypol文件重新启动后对服务器进行更改这些错误将消失 |
