组策略命令行工具使用之GPOTOOL
域组策略对象检查工具-GPO工具
Windows资源工具包工具工具软件。Gpotool被称为组策略的“医生”,用于检查域控制器上组策略对象的健康状况。主要功能:
●检查组策略对象的一致性。读取必需和可选的目录服务属性(版本、友好名称、扩展GUID和Windows 2000系统卷(SYSVOL)数据(GPT.ini)),比较目录和SYSVOL版本号,并执行其他一致性检查。如果扩展属性包含GUID,则函数版本必须为2,并且用户/计算机版本必须大于0。
●检查组策略对象的复制。它从每个域控制器读取GPO实例并进行比较(在完全递归中,将选定的组策略容器属性与组策略模板进行比较)。
●浏览GPO。您可以按友好名称或GUID搜索策略。名称和GUID也支持部分匹配。
●首选域控制器。默认情况下,将使用域中所有可用的和控制器;这可以用提供的域控制器列表从命令行覆盖。
●提供跨域支持。有一个命令行选项用于检查不同域中的策略。
●以详细模式运行。如果所有域策略都正常,该工具会显示一条验证消息;如果有错误,将显示有关该损坏策略的信息。命令行选项可打开正在处理的每个策略的详细信息。
1。检查当前域中所有组策略的正常配置,并在命令提示符下键入:gpotool enter。
在测试中,发现它当前是一个系统域控制器,所有组策略(2个系统默认策略)都通过了测试。
如果我们在子域控制器上,并且希望检查根域中所有组策略的正常配置,我们可以使用此命令:在命令提示符下,键入:GPO tool/domain:zph p . com
2。检查根域中所有组策略的详细信息,将其输出到c:\test.txt文件的文本中,并使用。在命令提示符下,键入:gpotool /verbose >test.txt并输入。
找到输出文件,用记事本打开,可以看到相关组策略的详细信息。
3。Gpotool命令的语法格式为:
gpotool [/gpo: gpo [,GPO]…]
[/domain:DNS name][/DC:{ domain controller }[,{ domain controller }][/checkacl][/verbose]
考试大提示的参数描述:
/GPO: GPO [,GPO] … ―要检查的GPO;您可以指定GUID或GPO名称;默认为当前域的所有GPO。
/domain:DNS name――GPO的域名
/DC: {domaincontroller} [,{domaincontroller} ――处理GPO的域控制器名称列表。
/check ACL-验证每台服务器上sysvol的ACL
/verbose-在处理过程中显示详细信息。
注意:
在域控制器上,您必须警告事件1202和错误事件1000。这通常意味着一个域控制器已经从域控制器OU移动到链接到默认域控制器GPO的另一个OU。
当管理员尝试打开默认GPO时,会返回以下错误:无法打开组策略对象。这通常意味着可能没有适当的权限。
在事件日志中,会出现1000、1001和1004事件。这是因为registry.pol文件已损坏。通过删除SYSVOL下的registry.pol文件,并在重新启动后对服务器进行更改,这些错误将会消失。
0条评论