域組策略對象檢查工具――GPO TOOL
Windows Resource Kit Tools工具軟件Gpotool號稱組策略的醫生用於檢查域控制器上的組策略對象的健康狀況主要完成一下功能
●檢查組策略對象的一致性讀取必須的和可選的目錄服務屬性(版本友好名稱擴展 GUID和Windows 系統卷(SYSVOL)數據(GPTini))比較目錄和SYSVOL版本號執行其他的一致性檢查若果擴展屬性包含GUID則功能版本必須用戶/計算機版本必須要大於
●檢查組策略對象復制它從每個域控制器讀取GPO實例並對它們進行比較(選定組策略容器屬性與組策略模板進行完全遞歸比較)
●浏覽GPO可根據友好名稱或GUID搜索策略名稱和GUID也都支持部分匹配
●首選域控制器在默認情況下將使用域中所有可用的與控制器這可從命令行中用所提供域控制器列表進行改寫
●提供跨域支持有一個用於檢查不同域中的策略的命令行選項
●在詳細模式下運行如果所有的域策略都正常則該工具顯示一條驗證消息如果有誤則顯示有關被損壞策略信息某個命令行選項可打開有關正在處理的每個策略的詳細信息
檢測當前域上所有組策略的正常配置在命令提示符下鍵入gpotool 回車運行後的結果顯示如下圖
在測試中發現目前是系統域控制器所有的組策略(條系統默認策略)測試陳功檢測通過
假如我們在子域控制器上我們要檢測根域上所有組策略的正常配置我們可以使用這個命令在命令提示符下鍵入gpotool /domain:
檢測根域上所有組策略的詳細信息輸出到c:\testtxt文件文本中並且使用及時打開testtxt文件在命令提示符下鍵入gpotool /verbose >testtxt回車運行結果顯示如下圖
查找到輸出的文件並用記事本打開可在文件中看到相關組策略的詳細信息如下圖
Gpotool 命令語法格式為
Gpotool [/gpo:GPO[GPO]…]
[/domain:DNSname ] [/dc:{DomainController}[{DomainController}] [/checkacl] [/verbose]
參數說明
/gpo:GPO[GPO]… ――需要檢查的GPO可以指定GUID或者GPO名默認為當前域的所有GPO
/domain:DNSname ――GPO所在域的域名
/dc:{DomainController}[{DomainController} ――處理GPO的域控制器名稱列表
/checkacl ――在每台服務器上對sysvol驗證ACL
/verbose ――在處理過程中顯示詳細信息
注意
在域控制器上須向警告事件與錯誤事件這通常意味著一個域控制器已從域控制器OU移到另一個與默認域控制器GPO鏈接的OU
當管理員嘗試打開某個默認GPO時返回以下錯誤未能打開組策略對象這通常意味可能沒有適合的權限
在事件日志中出現和事件這是因為registrypol文件被損壞所致通過刪除SYSVOL下的registrypol文件重新啟動後對服務器進行更改這些錯誤將消失
From:http://tw.wingwit.com/Article/os/xtgl/201311/8746.html