GPO 设备故障排除

欢迎阅读由七个短文组成的系列文章，其中将阐述 GPO（又名组策略对象）的各个方面 - Microsoft 用于自动配置 Windows 操作系统的框架。

在此处阅读全文，或使用本文底部的链接跳至上一篇文章。

GPO 设备故障排除

显然，由于与 GPO 处理相关的所有复杂性，最终您会遇到计算机似乎无法反映您的 GPO 设置的情况。有不同的方法和工具可以解决此问题。

以下部分介绍了用于对 GPO 设备进行故障排除的一些基本工具。

GP更新

您可以使用 GPUpdate 命令在系统上触发 GPO 处理。使用 /Force 参数确保完全处理并使用 /Target 参数限制范围，例如：

GPUpdate /Force /Target:Computer

GP结果

在客户端上，用于对 GPO 设备进行故障排除的第一个工具是 GPResult 命令。它采用各种参数，其中最常用的是/R 和/Scope。

例如，以下命令将显示（仅）与计算机设置相关的 GPO 设备信息：

GPResult /R /Scope:Computer

将计算机替换为用户以仅获取用户设置的 GPO 信息。完全省略 /Scope 参数以获取完整信息。

上述命令的输出包含各个部分的信息。每个部分都提供了对 GPO 处理进行故障排除的宝贵信息。

让我们看一下不同的部分及其提供的信息：

    CN=DC-01,OU=Domain Controllers,DC=gigacorp,DC=local
    Last time Group Policy was applied: 8/10/2020 at 8:48:31 PM
    Group Policy was applied from:      DC-01.gigacorp.local
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        GIGACORP
    Domain Type:                        Windows 2008 or later

本节主要信息：

• 您的计算机帐户位于哪个 OU（在 GPO 设备时）
• GPO 的申请时间
• 您的计算机从中接收 GPO 设置的 DC

如果您的计算机帐户最近从一个 OU 移动到另一个 OU 并且新设置未应用，则此信息特别有用。

    Applied Group Policy Objects
    -----------------------------
        Default Domain Controllers Policy
        Default Domain Policy
        Computer Certificate Autoenroll

此处的信息是应用于您的系统的 GPO 列表。显然，了解您是否从 GPO 接收到您期望的设置非常重要。

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        802.1x LAN Authentication
            Filtering:  Denied (Security)

        Local Group Policy
            Filtering:  Not Applied (Empty)

在这里您可以看到由于安全过滤而未应用的 GPO 列表。这可以让您确认您设置的安全过滤是否确实有效。

    The computer is a part of the following security groups
    -------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        BUILTIN\Pre-Windows 2000 Compatible Access
        BUILTIN\Users
        Certificate Service DCOM Access
        Windows Authorization Access Group
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        This Organization
        DC-01$
        Domain Controllers
        NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
        Authentication authority asserted identity
        Cert Publishers
        Denied RODC Password Replication Group
        System Mandatory Level

最后，您的计算机所属的安全组的列表。此信息可以帮助您解决安全过滤不起作用的情况。

仔细检查您的计算机是否确实是您在安全过滤器中使用的组的成员。如果该组不存在，请调查组成员身份的任何最近更改是否已复制到您从中收到 GPO 的 DC。

政策结果

另一个非常强大的 GPO 设备故障排除工具是策略结果集 (RSoP) 工具。 RSoP 允许您从远程系统收集 GPO 处理信息，并且是 GPMC 工具的一部分：

右键单击“组策略结果”并选择“组策略结果向导”。然后单击“下一步”并选择要分析的远程系统：

选择您想要收集 GPO 信息的用户 - 或者如果您只是调查计算机设置，则不选择任何用户：

RSoP 工具将为您提供我们从“摘要”选项卡中的 GPResult 工具看到的所有信息。当您单击“详细信息”选项卡时，事情会变得更加有趣。您可以在此处找到从 GPO 应用的所有设置的列表。展开任意部分可查看有关所应用内容以及设置来自哪个 GPO 的详细信息：

概括

我希望本文能帮助您消除有关 GPO 处理和故障排除的一些困惑。

通过安全过滤，您可以轻松测试任何新的 GPO，而不会影响实时用户和系统。

使用动态组完成 GPO 安全过滤。我们的免费工具将允许您根据用户和计算机属性自动进行设置。

在客户端或 RSoP 服务器端使用 GPResult，您可以快速排除 GPO 错误并成为当天的英雄 ?

还可以使用 PowerShell 的 GroupPolicy 模块来管理组策略。使用 PowerShell，您可以执行手动无法完成的任务。

作为如何使用 PowerShell 管理 GPO 的示例，请查看本文。它向您展示如何仅使用 PowerShell 和 Excel 快速分析域中的每个 GPO 以进行安全筛选和自定义委派。

« GPO 和 OU 设计