在 Active Directory 域服务环境中,使用组策略管理控制台 (GPMC) 中的组策略建模,模拟将组策略对象 (GPO) 部署到任何目标计算机。 查看 GPO 实际应用的主要工具是在 GPMC 中使用组策略结果。
先决条件
若要使用 GPMC 并执行组策略建模,必须完成以下先决条件。
- 在运行 Windows Server 或 Windows 客户端操作系统的计算机上安装组策略管理功能。
- 对目录和 GPO 具有读取安全权限。
- 若要链接 GPO,需要对该站点、域或 OU 具有修改权限。 默认情况下,只有域管理员和企业管理员具有此权限。
- 具有将 GPO 链接到特定站点、域或 OU 的权限的用户和组可以链接 GPO、更改链接顺序,并在该站点、域或者 OU 上设置阻止继承。
组策略建模
GPMC 中的组策略建模向导计算 GPO 的模拟净效果。 组策略建模还可以模拟安全组成员身份、Windows Management Instrumentation (WMI) 筛选器评估以及将用户或计算机对象移动到其他 Active Directory 容器的影响等因素。 在域控制器上运行的服务执行模拟。 这些计算出的策略设置以 HTML 形式报告,并显示在 GPMC 中所选查询的详细信息窗格中的“设置”选项卡上。 若要展开和隐藏每个项下的策略设置,请选择隐藏或全部显示,以便查看所有策略设置,或仅查看一些策略设置。 若要执行组策略建模,必须对包含要在其上运行查询的对象的域或 OU 具有执行组策略建模分析权限。
若要模拟策略部署以进行规划和测试,请执行以下步骤。
若要打开 GPMC,请选择开始,在搜索框中输入组策略管理,然后选择组策略管理。
在 GPMC 控制台树中,右键单击组策略建模,选择组策略建模向导。
选择下一步以开始使用。
选择要建模的域,然后选择以下选项之一:
选项 说明 任何运行 Windows 2003 或更高版本的可用域控制器 最近的域控制器处理模拟。 此域控制器 指定要处理模拟的域控制器。 选择其中一个单选按钮后,选择下一步。
选择用户所在的容器,或者使用用户的可分辨名称 (DN) 指定特定用户。 可以选择浏览以搜索容器或用户,而不是输入 DN。 对计算机容器或特定计算机重复此步骤,然后选择下一步。
选择下一步,或根据需要填写以下信息以模拟其策略设置:
选项 说明 网络连接慢(例如,拨号连接) 对慢速策略连接的响应因策略而异。 策略可以指定对慢速链接的响应。 例如,可以指定是否允许通过慢速网络连接进行脚本处理。 环回处理 选择替换或合并。 若要了解环回处理模式,请参阅组策略处理。 场所 选择要模拟其策略设置的 Active Directory 站点。 选择其中一个单选按钮后,选择下一步。
选择下一步,或根据需要选择添加或删除,以模拟对用户组成员身份的更改的效果。 确认要模拟的组后,选择下一步。
选择下一步,或根据需要选择添加或删除,以模拟对计算机组成员身份的更改的效果。 确认要模拟的组后,选择下一步。
选择下一步,或(可选)要模拟应用于用户的 WMI 筛选器的更改的效果,请填写以下信息:
选项 说明 所有链接的筛选器 使用当前应用于任何链接策略的筛选器。 仅这些筛选器 选择列表筛选器以显示当前应用于任何链接的策略的筛选器。 若要删除特定筛选器,请选择筛选器,然后选择删除。 确认要模拟的组后,选择下一步。
查看选择摘要屏幕,然后选择下一步以运行模拟。
选择完成以完成向导。
完成向导后,结果将显示为来自单个 GPO 的结果。 它们也被保存为一个查询,该查询在 GPMC 的组策略建模中表示为一个新项目。 在“入选 GPO”标题下,显示的内容还显示哪个 GPO 负责每个策略设置。 还可以通过右键单击查询项目,然后选择高级视图,查看更详细的优先级信息(例如,哪些 GPO 试图设置策略设置,但没有成功)。 “高级视图”将打开“策略结果集”管理单元。 在策略结果集中查看策略设置的属性时,每个策略设置都有一个“优先级”选项卡。
请记住,组策略建模不包括评估任何本地 GPO。 因此,在某些情况下,模拟结果与实际结果之间可能存在差异。 可以右键单击查询,然后选择保存报告,保存建模结果。
组策略结果
使用“组策略结果向导”可通过从目标计算机获取 RSoP 数据,来确定哪些组策略设置对用户或计算机有效。 与组策略建模不同,组策略结果显示应用于目标计算机的实际组策略设置。
策略设置以 HTML 形式报告。 该报告显示在 GPMC 浏览器窗口中所选查询的详细信息窗格中的“摘要”和“设置”选项卡上。 可以通过单击“全部隐藏”或“全部显示”来展开和折叠每个项下的策略设置,以便查看所有策略设置,或仅显示一些策略设置。 若要远程访问用户或计算机的组策略结果数据,必须对包含用户或计算机所在的域或 OU 具有远程访问组策略结果数据安全权限。 若要配置权限,请先选择域、容器、OU,然后选择委派选项卡。从委派选项卡中,从下拉菜单中选择远程访问组策略结果数据。 或者,你必须是相应计算机上本地管理员组的成员,并且必须具有与目标计算机的网络连接。
若要运行组策略结果向导,请执行以下步骤。
右键单击“组策略结果”项,然后选择组策略结果向导。
选择下一步以开始使用。
选择此计算机,然后选择下一步。 (可选)可以选择另一台计算机,并输入计算机名称,然后选择下一步。
选择当前用户,然后选择下一步。 (可选)可以选择选择特定用户,并从已登录到计算机的用户的列表中选择用户名。 选择“下一步”继续。
查看选择摘要屏幕,然后选择下一步以运行组策略结果。
选择完成以完成向导。
GPMC 创建一个报告,其中显示了在向导中指定的用户和计算机的 RSoP 数据。 在“入选 GPO”标题下,显示的内容显示哪个 GPO 负责“设置”选项卡上的每个策略设置。
可以右键单击查询,然后选择保存报告,保存结果。
从命令行评估策略设置
可以在本地计算机上运行 gpresult.exe
,以获取与使用 GPMC 中的组策略结果向导获得的数据相同的数据。 默认情况下,gpresult.exe
返回在其运行的计算机上生效的策略设置。 gpresult.exe
将其结果输出到 HTML 文件中,可以使用 Microsoft Edge 或其他 Web 浏览器打开该文件。