管理员们常用GPO (Group Policy Object)对Windows系统环境进行安全设置,它有效实用自动,但有时我们需要确定GPO的安全设置甚至GPO本身是否出了问题?在GPO泱泱五千多项设置中有上百个安全设置,其内容可通过GPMC打开GPO找到节点Computer Configuration\Policies\Windows Settings\Security Settings看到,这里的安全设置项目涉及注册表、用户权限、files/folders/Registry权限、无线安全、组成员等,这些设置多数都可由客户端进行控制。如它们设置失败,则后果堪忧,以下介绍三种诊断方式。
一种诊断方式是,在任何机器上用管理员权限打开GPMC,运行内嵌在其中的工具Group Policy Results,在控制台底部就可看到节点Group Policy Results,选择“user account”和“computer account”就可看到相关结果;为此可右点Group Policy Results节点,从显示界面上我们可以检验已应用的GPOs的包括设置在内诸多方面,在右侧面板会显示出多项结果。这里我们可以确定应用的GPO是否生效,还可以验证有关安全Component Status是否有错,最后点击Security Settings区域的Settings栏目就可看到诊断结果。
第二种诊断方式,在目标机运行RSOP.msc可看到和第一种方法中相同的信息,仅是显示格式不同而已。为看到有关GPOs更多信息和客户端扩展内容,我们需要更深进入该界面:右点Computer Configuration节点,选择菜单选项Properties,然后就能看到已应用GPOs,从显示信息可以发现GPO相关设置内容。先择Error Information栏目还可看到客户端相关信息,从这里可以了解为何某些CSE为何没有生效,以及在RSOP.msc界面中没有出现的设置的信息。
第三种诊断方式,既然我们仅关心目标机安全设置,可以在其上运行secpol.msc ,然后就会看到我们关心的内容。但secpol.msc可让我们看到该机系统所有安全设置内容。

文章如转载,请注明转载自:http://www.5iadmin.com/post/738.html