在复杂的 AD 结构中,有多个 OU 阻止继承,是否存在高效的确保某个设置确实已经传播(即审计策略、某些注册表项等)到所有机器的方法?
此时,我们通过 gpresult 查看每台计算机的设置,并将它们合并为一份大型报告。一定有更好的方法。
答案1
审查单个资产是一种繁琐的方法。使用以下命令审查您的 OU 结构Get-GPInheritance
并查找GpoInheritanceBlocked
已设置的资产。这些是您需要关注的领域。如果任何 GPO 不再需要阻止,请考虑将其删除。如果某些但不是所有 GPO 都需要阻止,请将不应阻止的重要 GPO 重新链接到这些 OU,以便它们仍然适用。此 PowerShell 将为您提供已阻止继承的 OU 列表。
#require module ActiveDirectory
get-adObject -ldapfilter "(objectCategory=organizationalUnit)" | foreach {
get-GPInheritance $_.distinguishedName | where { $_.GpoInheritanceBlocked -eq $true} | foreach {
$_.Path
}
}
答案2
GPO 不会传播。如果您想知道 GPO 是否应用于特定计算机或用户,请运行 gpresult 或运行组策略结果向导,以特定计算机或用户为目标。