组策略建模和组策略结果

2024-04-29
适用于: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

在 Active Directory 域服务环境中，使用组策略管理控制台 (GPMC) 中的组策略建模，模拟将组策略对象 (GPO) 部署到任何目标计算机。查看 GPO 实际应用的主要工具是在 GPMC 中使用组策略结果。

先决条件

若要使用 GPMC 并执行组策略建模，必须完成以下先决条件。

在运行 Windows Server 或 Windows 客户端操作系统的计算机上安装组策略管理功能。
对目录和 GPO 具有读取安全权限。
若要链接 GPO，需要对该站点、域或 OU 具有修改权限。默认情况下，只有域管理员和企业管理员具有此权限。
- 具有将 GPO 链接到特定站点、域或 OU 的权限的用户和组可以链接 GPO、更改链接顺序，并在该站点、域或者 OU 上设置阻止继承。

组策略建模

GPMC 中的组策略建模向导计算 GPO 的模拟净效果。组策略建模还可以模拟安全组成员身份、Windows Management Instrumentation (WMI) 筛选器评估以及将用户或计算机对象移动到其他 Active Directory 容器的影响等因素。在域控制器上运行的服务执行模拟。这些计算出的策略设置以 HTML 形式报告，并显示在 GPMC 中所选查询的详细信息窗格中的“设置”选项卡上。若要展开和隐藏每个项下的策略设置，请选择隐藏或全部显示，以便查看所有策略设置，或仅查看一些策略设置。若要执行组策略建模，必须对包含要在其上运行查询的对象的域或 OU 具有执行组策略建模分析权限。

若要模拟策略部署以进行规划和测试，请执行以下步骤。

若要打开 GPMC，请选择开始，在搜索框中输入组策略管理，然后选择组策略管理。
在 GPMC 控制台树中，右键单击组策略建模，选择组策略建模向导。
选择下一步以开始使用。
选择要建模的域，然后选择以下选项之一：

选项说明

任何运行 Windows 2003 或更高版本的可用域控制器最近的域控制器处理模拟。

此域控制器指定要处理模拟的域控制器。

选择其中一个单选按钮后，选择下一步。
选择用户所在的容器，或者使用用户的可分辨名称 (DN) 指定特定用户。可以选择浏览以搜索容器或用户，而不是输入 DN。对计算机容器或特定计算机重复此步骤，然后选择下一步。

选项	说明
任何运行 Windows 2003 或更高版本的可用域控制器	最近的域控制器处理模拟。
此域控制器	指定要处理模拟的域控制器。

选择下一步，或根据需要填写以下信息以模拟其策略设置：

选项	说明
网络连接慢（例如，拨号连接）	对慢速策略连接的响应因策略而异。策略可以指定对慢速链接的响应。例如，可以指定是否允许通过慢速网络连接进行脚本处理。
环回处理	选择替换或合并。若要了解环回处理模式，请参阅组策略处理。
场所	选择要模拟其策略设置的 Active Directory 站点。

选择其中一个单选按钮后，选择下一步。

选择下一步，或根据需要选择添加或删除，以模拟对用户组成员身份的更改的效果。确认要模拟的组后，选择下一步。
选择下一步，或根据需要选择添加或删除，以模拟对计算机组成员身份的更改的效果。确认要模拟的组后，选择下一步。

选择下一步，或（可选）要模拟应用于用户的 WMI 筛选器的更改的效果，请填写以下信息：

选项	说明
所有链接的筛选器	使用当前应用于任何链接策略的筛选器。
仅这些筛选器	选择列表筛选器以显示当前应用于任何链接的策略的筛选器。若要删除特定筛选器，请选择筛选器，然后选择删除。

确认要模拟的组后，选择下一步。

查看选择摘要屏幕，然后选择下一步以运行模拟。
选择完成以完成向导。

完成向导后，结果将显示为来自单个 GPO 的结果。它们也被保存为一个查询，该查询在 GPMC 的组策略建模中表示为一个新项目。在“入选 GPO”标题下，显示的内容还显示哪个 GPO 负责每个策略设置。还可以通过右键单击查询项目，然后选择高级视图，查看更详细的优先级信息（例如，哪些 GPO 试图设置策略设置，但没有成功）。 “高级视图”将打开“策略结果集”管理单元。在策略结果集中查看策略设置的属性时，每个策略设置都有一个“优先级”选项卡。

请记住，组策略建模不包括评估任何本地 GPO。因此，在某些情况下，模拟结果与实际结果之间可能存在差异。可以右键单击查询，然后选择保存报告，保存建模结果。

组策略结果

使用“组策略结果向导”可通过从目标计算机获取 RSoP 数据，来确定哪些组策略设置对用户或计算机有效。与组策略建模不同，组策略结果显示应用于目标计算机的实际组策略设置。

策略设置以 HTML 形式报告。该报告显示在 GPMC 浏览器窗口中所选查询的详细信息窗格中的“摘要”和“设置”选项卡上。可以通过单击“全部隐藏”或“全部显示”来展开和折叠每个项下的策略设置，以便查看所有策略设置，或仅显示一些策略设置。若要远程访问用户或计算机的组策略结果数据，必须对包含用户或计算机所在的域或 OU 具有远程访问组策略结果数据安全权限。若要配置权限，请先选择域、容器、OU，然后选择委派选项卡。从委派选项卡中，从下拉菜单中选择远程访问组策略结果数据。或者，你必须是相应计算机上本地管理员组的成员，并且必须具有与目标计算机的网络连接。

若要运行组策略结果向导，请执行以下步骤。

右键单击“组策略结果”项，然后选择组策略结果向导。
选择下一步以开始使用。
选择此计算机，然后选择下一步。（可选）可以选择另一台计算机，并输入计算机名称，然后选择下一步。
选择当前用户，然后选择下一步。（可选）可以选择选择特定用户，并从已登录到计算机的用户的列表中选择用户名。选择“下一步”继续。
查看选择摘要屏幕，然后选择下一步以运行组策略结果。
选择完成以完成向导。

GPMC 创建一个报告，其中显示了在向导中指定的用户和计算机的 RSoP 数据。在“入选 GPO”标题下，显示的内容显示哪个 GPO 负责“设置”选项卡上的每个策略设置。

可以右键单击查询，然后选择保存报告，保存结果。

从命令行评估策略设置

可以在本地计算机上运行 gpresult.exe，以获取与使用 GPMC 中的组策略结果向导获得的数据相同的数据。默认情况下，gpresult.exe 返回在其运行的计算机上生效的策略设置。 gpresult.exe 将其结果输出到 HTML 文件中，可以使用 Microsoft Edge 或其他 Web 浏览器打开该文件。