博客介绍了多种与 GPO 相关的操作,包括利用 GPO 属性确定其 GUID,在系统卷上识别基于文件的 GPO 结构,还提及使用 Search.vbs 和 Ldp.exe 在 Active Directory 中标识 GPO。
在对组策略的应用进行问题排查时,可能有必要验证 Active Directory 中是否有适当的对象,并验证文件结构在复制组策略 (GPO) 的每个域控制器上的 SYSVOL 中是否正确无误。
此过程中的一项关键内容是与 GPO 相关联的全局唯一标识符 (GUID)。本文讨论如何用 GPO 的 GUID 来标识 GPO。
备注:系统卷上的组策略结构包含一个 Gpt.ini 文件,其中包含(GPO 的)版本信息和其他可选数据。另外,基于文件的策略分成 Machine 和 User 文件夹,每个文件夹都有相应的策略。正在使用软件策略(管理模板)时,还可能存在 Adm 文件夹。
如不访问给定 GPO 的属性,管理员还可以使用其他方法来获取已知 GPO 的 GUID,或者获取管理员拥有其相关 GUID 的 GPO 的友好名称。
如要将 GPO 名称解析为 GUID,请键入
输出结果显示找到的对象数(在本例中应该只有一个 - 一个特定的 GPO)并显示找到的各对象的 Name 属性的值。例如:
输出结果显示找到的对象数(在本例中应该只有一个 - 一个特定的 GPO)并显示找到的各对象的 DisplayName 属性的值(在“管理工具”中看到的友好名称)。例如:
此过程中的一项关键内容是与 GPO 相关联的全局唯一标识符 (GUID)。本文讨论如何用 GPO 的 GUID 来标识 GPO。
使用 GPO 的属性确定 GPO 的 GUID
| 1. | 使用“Active Directory 用户和计算机”或“Active Directory 站点和服务”管理工具,在 Active Directory 中的域、站点或组织单元对象的上下文菜单上单击属性。 |
| 2. | 单击组策略选项卡,单击 GPO,然后单击属性。唯一的名称字段包含选定 GPO 的 GUID。另外还要注意域字段。这就是 GPO 的存储位置,即使它可能被其他域使用(被链接到其他域)。 |
在系统卷上标识基于文件的 GPO 结构
| 1. | 在上面标识的域中的域控制器上,确定哪个驱动器托管系统卷 (Sysvol)。 |
| 2. | 使用 Windows 资源管理器,打开 Sysvol 文件夹。 |
| 3. | 其中包含以下文件夹:Domain、Staging、Staging Areas 和 Sysvol。更改到 Sysvol 文件夹。 |
| 4. | 其中应该有一个名称为本地域控制器所属域的域名称的文件夹。更改到以下文件夹: Sysvol 的路径/Sysvol/域名/Policies。 应该存在与在域中创建的每个 GPO 相对应的、由其 GUID 作为标识的文件夹。 |
| 5. | 打开由在本文的上一节中记下的 GPO 的 GUID 标识的文件夹。 |
如不访问给定 GPO 的属性,管理员还可以使用其他方法来获取已知 GPO 的 GUID,或者获取管理员拥有其相关 GUID 的 GPO 的友好名称。
使用 Search.vbs 在 Active Directory 中标识 GPO
Search.vbs 是一种 Microsoft Visual Basic 脚本,它包括在 Windows 2000 零售光盘上的 Support/Tools/Support.cab 文件中。可使用此脚本在 Active Directory 中执行 LDAP 搜索,并显示结果或将结果输出到一个文本文件中。如要将 GPO 名称解析为 GUID,请键入
cscript search.vbs "LDAP://dc=mydomain,dc=com" /C:"&(objectClass=groupPolicyContainer)(displayName=Default Domain Policy)" /P:name /S:SubTree
其中 mydomain 和 com 是正确的域名。输出结果显示找到的对象数(在本例中应该只有一个 - 一个特定的 GPO)并显示找到的各对象的 Name 属性的值。例如:
Finished the query.
Found 1 objects.
name 1 = {31B2F340-016D-11D2-945F-00C04FB984F9}
To resolve a GUID to the name of a GPO, type Found 1 objects.
name 1 = {31B2F340-016D-11D2-945F-00C04FB984F9}
cscript search.vbs "LDAP://dc= mydomain ,dc= com " /C:"&(objectClass=groupPolicyContainer)(name={ 31B2F340-016D-11D2-945F-00C04FB984F9 })" /P:displayName /S:SubTree
将 mydomain 和 com 替换为正确的域名,将 31B2F340-016D-11D2-945F-00C04FB984F9 替换为相应的 GUID。输出结果显示找到的对象数(在本例中应该只有一个 - 一个特定的 GPO)并显示找到的各对象的 DisplayName 属性的值(在“管理工具”中看到的友好名称)。例如:
Finished the query.Found 1 objects. displayName 1 = Default Domain Policy
使用 Ldp.exe 在 Active Directory 中标识 GPO
备注:Ldp.exe 是资源工具包中的工具,它用于在 Active Directory 中查看并修改对象及其属性。还有其他工具可用于实现同样的目的。| 1. | 从 Windows 2000 零售光盘上的 Support/Reskit/Netmgmt/Dstool 文件夹运行 Ldp.exe。 |
| 2. | 在 Connection(连接)菜单上,单击 Connect(连接)。 |
| 3. | 键入服务器的名称,验证 port(端口)设置为 389,单击清除 Connectionless(无连接)复选框,然后单击 OK(确定)。在完成连接之后,特定于服务器的数据将显示在右窗格中。 |
| 4. | 在 Connection(连接)菜单上,单击 Bind(绑定)。在相应的框中键入用户名、密码和域名(采用 DNS 格式)(您可能需要选中 Domain(域)复选框),然后单击 OK(确定)。如果绑定成功,在右窗格中应该能看到类似于“Authenticated as dn:'YourUserID'”的消息。 |
| 5. | 在 Browse(浏览)菜单上,单击 Search(搜索)。 |
| 6. | 在 Base DN(基础 DN)框中,键入 dc=mydomain,dc=com 将 mydomain 和 com 替换为适当的域名。 |
| 7. | 在 Filter(筛选器)框中,键入 (&(objectClass=groupPolicyContainer)(name={ 31B2F340-016D-11D2-945F-00C04FB984F9 })) 如果您拥有 GUID 并且要查找 GPO 的友好名称,请将 31B2F340-016D-11D2-945F-00C04FB984F9 替换为相应的 GUID。或者,键入 (&(objectClass=groupPolicyContainer)(displayName= 默认组策略)) 如果您拥有友好名称且需要解析 GUID,请将默认组策略 替换为适当的 GPO 名称。 |
| 8. | 在 Scope(作用域)框中,单击 Subtree(子树)。 |
| 9. | 单击 Options(选项)。在 Attributes(属性)框中,如果您拥有 GUID 并且要查找友好名称,请键入 displayName,如果您拥有 GPO 名称且需要解析 GUID,请键入 name。 |
| 10. | 接受所有其他默认值,单击 OK(确定),然后单击 Run(运行)。在完成查询之后,所找到的对象的辨别名 (DN)(在本例中应该只有一个)以及在查询中请求的属性的值应显示在右窗格中。 |
扫一扫
931
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
