在 Active Directory 用户和计算机中创建了一个组,以向我们域中的某些用户授予本地管理员权限。从前一位员工手中接管此系统的管理后,我无法在组策略管理中找到哪些组策略对象应用于此特定组。
有什么方法可以搜索或查看应用于该组的 GPO?
答案1
- 使用 GPMC(组策略管理控制台)并运行组策略建模向导。这将使您能够详细了解可以/应该应用的内容,然后允许您导出设置结果以便在浏览器 HTML 文件中更轻松地搜索。
- 如果上面的 #1 不能满足您的要求,请在出现问题的计算机上使用
gpresult /z > results.txt
。这可能有助于确定,即使建模向导说它应该获取某个 GPO,客户端本身实际上发生了什么以及错误代码等。
答案2
您可能希望使用策略结果集 (RSOP) 工具,该工具概述于这篇 Technet 文章的底部。
1.在客户端计算机上,转到“开始/运行”,然后键入 mmc.exe 打开一个空白 MMC。
2.在空白的 MMC 控制台中,转到文件并选择添加/删除管理单元...。
3.在“添加或删除管理单元”窗口中,向下滚动直到看到“策略结果集”管理单元。突出显示它并选择“添加”按钮。
从这里开始,有两种模式。“规划”和“日志记录”。您可能正在寻找规划,这将允许您查看如果对象位于某个组或 OU 内,将应用哪些策略。
答案3
我编写了一个脚本,我认为它可以做到这一点:
$groupname = "domain.com\group.name"
$AllGPOs = Get-GPO -all | sort DisplayName #| Where-Object {$_.Displayname -like "whatever.*"}
Write-Host "Found $($AllGPOs.Count) GPOs in the domain!"
Foreach($gpo in $AllGPOs) {
Write-Host "Checking $($gpo.DisplayName)..."
get-gppermission -Guid $gpo.Id -TargetName $groupname -targettype Group -ErrorAction SilentlyContinue
}