gpresult.exe是显示计算机策略(RSOP)结果集
组策略结果(gpresult.exe)命令行工具可以用于面向特定用户或计算机验证各种策略设置的有效性。管理员在控制台上运行任意一台在可控制范围内的远程计算机上的gpresult。缺省情况下,gpresult
将返回当前计算机上的所有有效策略设置。
组策略是一种基于活动目录(Active Directory)的功能,它设计的主要目的是为了有效的控制Windows Server 2000和Windows Server 2003域中的用户和计算机环境,也是确定域中各个客户机安全的重要工具。
当多条组策略被应用到同一个用户身上时,就非常容易让人产生迷惑,而且这些组策略又往往会有一些矛盾的设置,当矛盾发生的时候,你需要知道哪一条策略被应用,哪一条策略被覆盖了!我们知道系统是按照以下的这个顺序来执行应用这些组策略的,首先是本地计算机,然后是站点,第三是域,最后者是组织单位(OU),也就是说越到最后被应用的策略优先性越高,而且组策略的最后执行结果是累加起来的。
例子
我们来说一个例子,希望这样能表达得更加清楚一些
1、我们对域的默认组策略进行设置(Default Domain Policy),设置启用“禁用和删除关机命令”策略,然后又对该域下的“行政部”OU设置禁用“禁用和删除关机命令”策略,当策略被执行的时候,你会发现OU为“行政部”的用户最终的策略为禁用“禁用和删除关机命令”。
2、好我们再来举一个例子,同样,我们对Default Domain Policy,设置启用“隐藏外观选项卡”策略,然后又对该域下名为“行政部”的OU中,设置启用“隐藏设置选项卡”策略,当组策略应用之后,你会发现名为“行政部”的OU中的所有用户,同时都不能使用“外观”和“设置”选项卡。
好了,说到这里,估计你可能会明白点了,但现在的问题是,我们怎样才知道,那些策略被应用到了客户机上,或者说我的域客户机上被应用了哪些策略,这些策略又都是来自哪里?是域,还是OU!
GpResult是一个命令行工具,位于c:windowssystem32,它提供关于最近向计算机应用组策略的时间、所应用的GPO和应用顺序的统计信息.此工具还提供有关通过筛选应用的任何GPO的信息.该工具工具可以远程使用或在客户端计算机上本地使用。
