在Active Directory和SYSVOL中标识组策略对象
来源:互联网 发布:网络依赖症的危害 编辑:程序博客网 时间:2024/06/06 02:58
在对组策略的应用进行问题排查时,可能有必要验证 Active Directory 中是否有适当的对象,并验证文件结构在复制组策略 (GPO) 的每个域控制器上的 SYSVOL 中是否正确无误。
此过程中的一项关键内容是与 GPO 相关联的全局唯一标识符 (GUID)。本文讨论如何用 GPO 的 GUID 来标识 GPO。
如不访问给定 GPO 的属性,管理员还可以使用其他方法来获取已知 GPO 的 GUID,或者获取管理员拥有其相关 GUID 的 GPO 的友好名称。
如要将 GPO 名称解析为 GUID,请键入
输出结果显示找到的对象数(在本例中应该只有一个 - 一个特定的 GPO)并显示找到的各对象的 Name 属性的值。例如:
输出结果显示找到的对象数(在本例中应该只有一个 - 一个特定的 GPO)并显示找到的各对象的 DisplayName 属性的值(在“管理工具”中看到的友好名称)。例如:
或者,键入
此过程中的一项关键内容是与 GPO 相关联的全局唯一标识符 (GUID)。本文讨论如何用 GPO 的 GUID 来标识 GPO。
使用 GPO 的属性确定 GPO 的 GUID
1.使用“Active Directory 用户和计算机”或“Active Directory 站点和服务”管理工具,在 Active Directory 中的域、站点或组织单元对象的上下文菜单上单击属性。2.单击组策略选项卡,单击 GPO,然后单击属性。唯一的名称字段包含选定 GPO 的 GUID。另外还要注意域字段。这就是 GPO 的存储位置,即使它可能被其他域使用(被链接到其他域)。在系统卷上标识基于文件的 GPO 结构
1.在上面标识的域中的域控制器上,确定哪个驱动器托管系统卷 (Sysvol)。2.使用 Windows 资源管理器,打开 Sysvol 文件夹。3.其中包含以下文件夹:Domain、Staging、Staging Areas 和 Sysvol。更改到 Sysvol 文件夹。4.其中应该有一个名称为本地域控制器所属域的域名称的文件夹。更改到以下文件夹:Sysvol 的路径/Sysvol/域名/Policies。
应该存在与在域中创建的每个 GPO 相对应的、由其 GUID 作为标识的文件夹。5.打开由在本文的上一节中记下的 GPO 的 GUID 标识的文件夹。备注:系统卷上的组策略结构包含一个 Gpt.ini 文件,其中包含(GPO 的)版本信息和其他可选数据。另外,基于文件的策略分成 Machine 和 User 文件夹,每个文件夹都有相应的策略。正在使用软件策略(管理模板)时,还可能存在 Adm 文件夹。如不访问给定 GPO 的属性,管理员还可以使用其他方法来获取已知 GPO 的 GUID,或者获取管理员拥有其相关 GUID 的 GPO 的友好名称。
使用 Search.vbs 在 Active Directory 中标识 GPO
Search.vbs 是一种 Microsoft Visual Basic 脚本,它包括在 Windows 2000 零售光盘上的 Support/Tools/Support.cab 文件中。可使用此脚本在 Active Directory 中执行 LDAP 搜索,并显示结果或将结果输出到一个文本文件中。如要将 GPO 名称解析为 GUID,请键入
cscript search.vbs "LDAP://dc=mydomain,dc=com" /C:"&(objectClass=groupPolicyContainer)(displayName=Default Domain Policy)" /P:name /S:SubTree
其中 mydomain 和 com 是正确的域名。输出结果显示找到的对象数(在本例中应该只有一个 - 一个特定的 GPO)并显示找到的各对象的 Name 属性的值。例如:
Finished the query.
Found 1 objects.
name 1 = {31B2F340-016D-11D2-945F-00C04FB984F9}
To resolve a GUID to the name of a GPO, type Found 1 objects.
name 1 = {31B2F340-016D-11D2-945F-00C04FB984F9}
cscript search.vbs "LDAP://dc= mydomain ,dc= com " /C:"&(objectClass=groupPolicyContainer)(name={ 31B2F340-016D-11D2-945F-00C04FB984F9 })" /P:displayName /S:SubTree
将 mydomain 和 com 替换为正确的域名,将 31B2F340-016D-11D2-945F-00C04FB984F9 替换为相应的 GUID。输出结果显示找到的对象数(在本例中应该只有一个 - 一个特定的 GPO)并显示找到的各对象的 DisplayName 属性的值(在“管理工具”中看到的友好名称)。例如:
Finished the query.Found 1 objects. displayName 1 = Default Domain Policy
使用 Ldp.exe 在 Active Directory 中标识 GPO
备注:Ldp.exe 是资源工具包中的工具,它用于在 Active Directory 中查看并修改对象及其属性。还有其他工具可用于实现同样的目的。 1.从 Windows 2000 零售光盘上的 Support/Reskit/Netmgmt/Dstool 文件夹运行 Ldp.exe。2.在 Connection(连接)菜单上,单击 Connect(连接)。3.键入服务器的名称,验证 port(端口)设置为 389,单击清除 Connectionless(无连接)复选框,然后单击 OK(确定)。在完成连接之后,特定于服务器的数据将显示在右窗格中。4.在 Connection(连接)菜单上,单击 Bind(绑定)。在相应的框中键入用户名、密码和域名(采用 DNS 格式)(您可能需要选中 Domain(域)复选框),然后单击 OK(确定)。如果绑定成功,在右窗格中应该能看到类似于“Authenticated as dn:'YourUserID'”的消息。5.在 Browse(浏览)菜单上,单击 Search(搜索)。6.在 Base DN(基础 DN)框中,键入dc=mydomain,dc=com
将 mydomain 和 com 替换为适当的域名。7.在 Filter(筛选器)框中,键入 (&(objectClass=groupPolicyContainer)(name={ 31B2F340-016D-11D2-945F-00C04FB984F9 }))
如果您拥有 GUID 并且要查找 GPO 的友好名称,请将 31B2F340-016D-11D2-945F-00C04FB984F9 替换为相应的 GUID。或者,键入
(&(objectClass=groupPolicyContainer)(displayName= 默认组策略))
如果您拥有友好名称且需要解析 GUID,请将默认组策略 替换为适当的 GPO 名称。8.在 Scope(作用域)框中,单击 Subtree(子树)。9.单击 Options(选项)。在 Attributes(属性)框中,如果您拥有 GUID 并且要查找友好名称,请键入 displayName,如果您拥有 GPO 名称且需要解析 GUID,请键入 name。10.接受所有其他默认值,单击 OK(确定),然后单击 Run(运行)。在完成查询之后,所找到的对象的辨别名 (DN)(在本例中应该只有一个)以及在查询中请求的属性的值应显示在右窗格中。 - 在Active Directory和SYSVOL中标识组策略对象
- 在Active Directory和SYSVOL中标识组策略对象
- 运行 GPMC 时的"在与 Active Directory 中不一致的 SYSVOL 文件夹被此 GPO 的权限"消息
- 在 Active Directory 中授权 DHCP 服务器
- Active Directory中组的管理策略的最佳实践-AGDLA
- Gpupdate 刷新本地和基于 Active Directory 的组策略设置
- 域安全篇:寻找SYSVOL里的密码和攻击GPP(组策略偏好)
- 初步理解组策略,Active Directory系列之二十一
- 初步理解组策略,Active Directory系列之 12
- 初步理解组策略,Active Directory系列之二十一
- 关于在活动目录(ACTIVE DIRECTORY)中创建组织单位和用户
- C#在活动目录(ACTIVE DIRECTORY)中创建组织单位和用户
- 灾难恢复:Active Directory用户和组
- Active Directory 对象的控制
- 在Windows 2003系统中卸载Active Directory
- 在Windows XP 中使用Active Directory(活动目录)
- Active Directory b2c通过策略获取用户信息
- 更新Active Directory中用户信息
- MYsql自定义分页
- Active Directory服务和Windows 2000或Windows Server 2003域
- ASP中JavaScript和VBScript混用与runat=server时脚本语言的执行优先级
- 创建Windows 2000 Active Directory Server
- 如何使用DNSLint对Active Directory复制问题进行故障排除
- 在Active Directory和SYSVOL中标识组策略对象
- 排除AD站点内部的复制故障
- 在Windows 2000中实施远程访问安全策略
- 组策略应用问题疑难解答
- 如何在Windows中定位域控制器
- netbios
- 关于23种设计模式的有趣见解
- 使用Secedit.exe强制重新应用组策略
- S60 V1版手机(N-Gage QD)和S60 V3版手机(N73)之间相互备份名片夹