组策略命令行工具使用之GPOTOOL

newxhy

<>    域组策略对象检查工具――GPO TOOL</P>

<>    Windows Resource Kit Tools工具软件。Gpotool号称组策略的“医生”，用于检查域控制器上的组策略对象的健康状况。主要完成一下功能：</P>

<>    ●检查组策略对象的一致性。读取必须的和可选的目录服务属性（版本、友好名称、扩展 GUID和Windows 2000系统卷（SYSVOL）数据（GPT.ini）），比较目录和SYSVOL版本号，执行其他的一致性检查。若果扩展属性包含GUID，则功能版本必须2，用户/计算机版本必须要大于0。</P>

<P>    ●检查组策略对象复制。它从每个域控制器读取GPO实例并对它们进行比较（选定组策略容器属性与组策略模板进行完全递归比较）。</P>

<P>    ●浏览GPO。可根据友好名称或GUID搜索策略。名称和GUID也都支持部分匹配。</P>

<P>    ●首选域控制器。在默认情况下，将使用域中所有可用的与控制器；这可从命令行中用所提供域控制器列表进行改写。</P>

<P>    ●提供跨域支持。有一个用于检查不同域中的策略的命令行选项。</P>

<P>    ●在详细模式下运行。如果所有的域策略都正常，则该工具显示一条验证消息；如果有误，则显示有关被损坏策略信息。某个命令行选项可打开有关正在处理的每个策略的详细信息。</P>

<P>    1、检测当前域上所有组策略的正常配置，在命令提示符下键入：gpotool 回车，运行后的结果显示如下图：</P>

<P>    </P>

<P align=center><IMG onclick='window.open("http://blog.51cto.com/viewpic.php?refimg="   this.src)' alt="" src="/bbs/attachments/computer/20081214/20081214118397877801.jpg" border=0 twffan="done"></P>

<P>    在测试中发现目前是系统域控制器，所有的组策略（2条系统默认策略）测试陈功，检测通过。</P>

<P>    假如我们在子域控制器上，我们要检测根域上所有组策略的正常配置，我们可以使用这个命令：在命令提示符下键入：gpotool /domain:zhp.com</P>

<P>    2、检测根域上所有组策略的详细信息，输出到c:\test.txt文件文本中，并且使用及时打开test.txt文件。在命令提示符下键入：gpotool /verbose &gt;test.txt回车，运行结果显示如下图</P>

<P>    <IMG onclick='window.open("http://blog.51cto.com/viewpic.php?refimg="   this.src)' alt="" src="/bbs/attachments/computer/20081214/200812141183917177802.jpg" border=0 twffan="done"></P>

<P>    查找到输出的文件，并用记事本打开，可在文件中看到相关组策略的详细信息，如下图</P>

<P>    <SPAN style="COLOR: black; FONT-FAMILY: 宋体; mso-ascii-theme-font: minor-fareast; mso-fareast-theme-font: minor-fareast; mso-hansi-theme-font: minor-fareast; mso-fareast-font-family: 宋体" twffan="done"><IMG onclick='window.open("http://blog.51cto.com/viewpic.php?refimg="   this.src)' alt="" src="/bbs/attachments/computer/20081214/200812141183976577803.jpg" border=0 twffan="done"></SPAN></P>

<P></p><p align='center'><b>[1] [2] 下一页 </b></p> <

                </P>

<P>    3、Gpotool 命令语法格式为：</P>

<P>    Gpotool [/gpo:GPO[,GPO]…]</P>

<P>    [/domainNSname ] [/dc:{DomainController}[,{DomainController}] [/checkacl]  [/verbose]</P>

<P>    参数说明：</P>

<P>    /gpo:GPO[,GPO]… ――需要检查的GPO；可以指定GUID或者GPO名；默认为当前域的所有GPO。<BR>    /domainNSname  ――GPO所在域的域名<BR>    /dc:{DomainController}[,{DomainController}  ――处理GPO的域控制器名称列表。<BR>    /checkacl  ――在每台服务器上对sysvol验证ACL<BR>    /verbose  ――在处理过程中显示详细信息。</P>

<P>  <STRONG>  注意：</STRONG></P>

<P><STRONG>    在域控制器上，须向警告事件1202与错误事件1000.这通常意味着一个域控制器已从域控制器OU移到另一个与默认域控制器GPO链接的OU。</STRONG></P>

<P><STRONG>    当管理员尝试打开某个默认GPO时，返回以下错误：未能打开组策略对象。这通常意味可能没有适合的权限。</STRONG></P>

<P><STRONG>    在事件日志中，出现1000、1001和1004事件。这是因为registry.pol文件被损坏所致。通过删除SYSVOL下的registry.pol文件、重新启动后对服务器进行更改，这些错误将消失。</STRONG></P>

<P>本文出自 “<U>周海鹏微软技术社区</U>” 博客，请务必保留此出处<U>http://zhouhaipeng.blog.51cto.com/447669/105479</U><BR></P></p><p align='center'><b>上一页  [1] [2] </b></p> <