所有 DC:Windows 2003 SP2
Windows 2003 上的 DFL 和 FFL
在我们的环境中,我们有 500 多个 GPO,我想知道哪些组/用户被授予了编辑 GPO 的权限。并且我们需要每个 GPO 的列表。
第二个问题是我们如何通过脚本改变这些权利。
可以通过脚本完成吗?
答案1
组策略管理控制台提供了一个 API(请参阅http://msdn.microsoft.com/en-us/library/dd901424(VS.85).aspx),您可以用它来做您想做的事情。有许多 Powershell命令调用这些 API,因此如果您习惯使用 Powershell,那么您就可以放心使用了。
这是一篇过时的文章:使用 Powershell 管理组策略:http://technet.microsoft.com/en-us/magazine/2007.05.grouppolicy.aspx (我说“过时”是因为根据前面的链接,有新的 API 和 cmdlet 可用,但本文未涉及。)
答案2
您可以通过导航到 GPMC 中的组策略对象、选择 GPO 并单击右侧窗格中的委派选项卡来查看每个 GP 上的“权限”。
我不知道这是否可以编写脚本。
答案3
您可以查看每个 GPO 的父文件夹上的文件夹权限(可使用 cacls 或 xcacls 编写脚本),以查看存储每个 GPO 组件的文件夹上的 NTFS 权限。由于每个 GPO(GPO 模板)的一部分都是由组策略客户端扩展处理的文件系统对象,因此列出的 NTFS 权限应该反映每个用户\组对 GPO 的权限(读取、编辑等)。任何具有完全权限的实体都可以编辑、删除和修改 GPO 上的安全性。任何具有读取权限的实体都可以读取 GPO(应用 GPO 的设置)。任何具有特殊访问权限的实体都可以编辑 GPO。