我知道有几种内置工具(或可从 Microsoft 下载的工具)可用于评估和修改应用于系统的安全策略。我或多或少熟悉以下几种工具:
- 安全警察管理系统
- rsop命令
- 管理控制台
然而,我发现它们各自显示的结果有时会有所不同。 secpol.msc
可能反映本地政策,而gpedit
或者rsop.msc
说应该实施 GPO 设置。
我希望看到的是本地政策、应用的 GPO 和现行政策之间的比较实际上对系统的影响。至少,我需要一些东西来向我展示其中的最后一个 - 无论是本地设置的策略还是推送到系统的策略,我都需要知道系统实际上是什么正在做。
有没有办法使用上述工具之一或其他内置或 Microsoft 提供的工具进行此比较?我应该在哪里找到有关系统采用什么策略的权威答案实际上坚持?
这适用于运行 Windows XP、2003、7 和 2008 的系统。
答案1
gpmc.msc
在其“组策略结果”工具中可以很好地查看这些信息。
该报告显示了有关哪些 GPO 以何种顺序应用的信息。此外,在报告的“设置”选项卡中,它显示了系统上应用的每个设置,以及“获胜 GPO”列,该列显示哪个 GPO(无论是本地策略还是源自域的策略)在应用该设置时优先。
gpmc.msc
包含在 Vista、2008 及更新版本的管理工具包中。它还适用于 Windows XP,网址为: https://www.microsoft.com/download/en/details.aspx?id=21895
答案2
尝试安全和合规性管理工具。您可以将当前有效配置(使用 localgpo.msi)导出为一组,并将其与策略所需的配置或 GPO 中的配置进行比较。如果您只想查看服务器组策略管理控制台将告诉您应用了什么内容以及从哪里应用(并生成报告)