组策略命令行工具使用之组策略对象检查工具GPOTOOL

 
域组策略对象检查工具――GPO TOOL
Windows Resource Kit Tools工具软件。Gpotool号称组策略的“医生”,用于检查域控制器上的组策略对象的健康状况。主要完成一下功能:
●检查组策略对象的一致性。读取必须的和可选的目录服务属性(版本、友好名称、扩展 GUIDWindows 2000系统卷(SYSVOL)数据(GPT.ini)),比较目录和SYSVOL版本号,执行其他的一致性检查。若果扩展属性包含GUID,则功能版本必须2,用户/计算机版本必须要大于0
●检查组策略对象复制。它从每个域控制器读取GPO实例并对它们进行比较(选定组策略容器属性与组策略模板进行完全递归比较)。
●浏览GPO。可根据友好名称或GUID搜索策略。名称和GUID也都支持部分匹配。
●首选域控制器。在默认情况下,将使用域中所有可用的与控制器;这可从命令行中用所提供域控制器列表进行改写。
●提供跨域支持。有一个用于检查不同域中的策略的命令行选项。
●在详细模式下运行。如果所有的域策略都正常,则该工具显示一条验证消息;如果有误,则显示有关被损坏策略信息。某个命令行选项可打开有关正在处理的每个策略的详细信息。
1、检测当前域上所有组策略的正常配置,在命令提示符下键入:gpotool 回车,运行后的结果显示如下图:
组策略命令行工具使用之组策略对象检查工具GPOTOOL
在测试中发现目前是系统域控制器,所有的组策略(2条系统默认策略)测试陈功,检测通过。
假如我们在子域控制器上,我们要检测根域上所有组策略的正常配置,我们可以使用这个命令:在命令提示符下键入:gpotool /domain:zhp.com
2、检测根域上所有组策略的详细信息,输出到c:\test.txt文件文本中,并且使用及时打开test.txt文件。在命令提示符下键入:gpotool /verbose >test.txt回车,运行结果显示如下图
组策略命令行工具使用之组策略对象检查工具GPOTOOL
查找到输出的文件,并用记事本打开,可在文件中看到相关组策略的详细信息,如下图
组策略命令行工具使用之组策略对象检查工具GPOTOOL
3Gpotool 命令语法格式为:
Gpotool [/gpo:GPO[,GPO]…] 
[/domain:DNSname ] [/dc:{DomainController}[,{DomainController}] [/checkacl]  [/verbose]
参数说明:
/gpo:GPO[,GPO]… ――需要检查的GPO;可以指定GUID或者GPO名;默认为当前域的所有GPO
/domain:DNSname  ――GPO所在域的域名
/dc:{DomainController}[,{DomainController}  ――处理GPO的域控制器名称列表。
/checkacl  ――在每台服务器上对sysvol验证ACL
/verbose  ――在处理过程中显示详细信息。
注意:
在域控制器上,须向警告事件1202与错误事件1000.这通常意味着一个域控制器已从域控制器OU移到另一个与默认域控制器GPO链接的OU
当管理员尝试打开某个默认GPO时,返回以下错误:未能打开组策略对象。这通常意味可能没有适合的权限。
在事件日志中,出现100010011004事件。这是因为registry.pol文件被损坏所致。通过删除SYSVOL下的registry.pol文件、重新启动后对服务器进行更改,这些错误将消失。


本文转自 zhouhaipeng 51CTO博客,原文链接:http://blog.51cto.com/zhouhaipeng/105479,如需转载请自行联系原作者
上一篇:Java的synchronized关键字和锁升级过程详解(上)


下一篇:部署防火墙策略的十六条守则