我想查找是否已在特定域/ AD 服务器上应用单个组策略设置。
在修改默认组策略的简单情况下,我可以通过以下方式查找策略设置:
- 注册表(本地或远程使用 WMI)
- 使用 ROOT\RSOP\Computer 命名空间中的 WMI 类 RSOP_PolicySetting。但是,这似乎只为我提供了您使用 WMI 连接的计算机的组策略设置。
但是,想象一下具有多个 OU 的 AD 配置,每个 OU 上都有自定义策略。例如,假设 OU 层次结构为:
- 雇员
- 营销
- 工程师
- 无人机
我如何查看所有 4 个 OU 以查看是否所有地方都应用了正确的策略?我想对 AD 服务器进行一次查询以找出此信息。
我认为另一种解决方案是找到所有 OU,从每个 OU 中挑选一台示例计算机,然后查询正确的策略。希望有更好的解决方案 :)
答案1
组策略处理可能受到许多因素的影响。其中包括
- 安全过滤
- WMI 筛选WMI Filtering
- 强制/阻止继承使用
您可以使用 GPMC 中的建模来确定在特定条件下会发生什么。但是,确保机器已收到设置的唯一方法是直接查询计算机的注册表或 RSOP WMI 命名空间,正如您已经通过各种方式确定的那样。
没有一个查询可以告诉您“正确”的策略是否在所有地方都适用。作为管理员,您能做的最好的事情就是确保它按照您期望的方式配置(即在正确的级别链接并过滤到目标受众)。
归根结底,您不应该查询 AD。您应该查询应该处理该策略的计算机。
高血压