1、组策略命令行工具使用之 GPOTOOL 2008-10-15 14:42:34 来源: 中国 IT 实验室 作者 :佚名 点击: 2275 Windows Resource Kit Tools 工具软件。Gpotool 号称组策略的“ 医生”,用于检查域控制器上的组策略对象的健康状况。主要完成一下功能域组策略对象检查工具GPO TOOL Windows Resource Kit Tools 工具软件。Gpotool 号称组策略的“医生”,用于检查域控制器上的组策略对象的健康状况。主要完成一下功能:检查组策略对象的一致性。读取必须的和可选的目录服务属性(版本、友好名称、扩展 GUID 和 Win
2、dows 2000 系统卷(SYSVOL)数据(GPT.ini),比较目录和 SYSVOL 版本号,执行其他的一致性检查。若果扩展属性包含 GUID,则功能版本必须 2,用户/计算机版本必须要大于 0。检查组策略对象复制。它从每个域控制器读取 GPO 实例并对它们进行比较(选定组策略容器属性与组策略模板进行完全递归比较)。浏览 GPO。可根据友好名称或 GUID 搜索策略。名称和 GUID 也都支持部分匹配。首选域控制器。在默认情况下,将使用域中所有可用的与控制器;这可从命令行中用所提供域控制器列表进行改写。提供跨域支持。有一个用于检查不同域中的策略的命令行选项。在详细模式下运行。如果所有的域
3、策略都正常,则该工具显示一条验证消息;如果有误,则显示有关被损坏策略信息。某个命令行选项可打开有关正在处理的每个策略的详细信息。1、检测当前域上所有组策略的正常配置,在命令提示符下键入:gpotool 回车,运行后的结果显示如下图:在测试中发现目前是系统域控制器,所有的组策略(2 条系统默认策略)测试陈功,检测通过。假如我们在子域控制器上,我们要检测根域上所有组策略的正常配置,我们可以使用这个命令:在命令提示符下键入:gpotool /domain:2、检测根域上所有组策略的详细信息,输出到 c:test.txt 文件文本中,并且使用及时打开 test.txt 文件。在命令提示符下键入:gpo
4、tool /verbose test.txt 回车,运行结果显示如下图查找到输出的文件,并用记事本打开,可在文件中看到相关组策略的详细信息,如下图3、Gpotool 命令语法格式为: Gpotool /gpo:GPO,GPO/domain:DNSname /dc:DomainController,DomainController /checkacl /verbose参数说明:/gpo:GPO,GPO 需要检查的 GPO;可以指定 GUID 或者 GPO 名;默认为当前域的所有 GPO。/domain:DNSname GPO 所在域的域名/dc:DomainController,DomainCo
5、ntroller 处理 GPO 的域控制器名称列表。/checkacl 在每台服务器上对 sysvol 验证 ACL/verbose 在处理过程中显示详细信息。注意:在域控制器上,须向警告事件 1202 与错误事件 1000.这通常意味着一个域控制器已从域控制器 OU 移到另一个与默认域控制器 GPO 链接的 OU。当管理员尝试打开某个默认 GPO 时,返回以下错误:未能打开组策略对象。这通常意味可能没有适合的权限。在事件日志中,出现 1000、1001 和 1004 事件。这是因为 registry.pol 文件被损坏所致。通过删除 SYSVOL下的 registry.pol 文件、重新启动后对服务器进行更改,这些错误将消失。
