所有DC:Windows 2003 SP2
在Windows 2003的DFL和FFL
在我们的环境中,我们有500多个GPO,我想知道哪些组/用户有权编辑GPO。 我们需要每个GPO的列表。
次要的问题是如何通过脚本来改变这些权利。
可以通过脚本来完成吗?
组策略pipe理控制台提供了一个API(请参阅http://msdn.microsoft.com/zh-cn/library/dd901424(VS.85).aspx ),您可以使用它来执行所需的操作。 有许多Powershell cmdlet可以调用这些API,所以如果您使用PowerShell的话可能会免费。
这是一个过时的文章:使用Powershellpipe理组策略: http : //technet.microsoft.com/en-us/magazine/2007.05.grouppolicy.aspx (我说“过时”,因为有新的API和cmdlet可用,根据以前的链接,本文不包括)。
您可以通过导航到GPMC中的组策略对象,select一个GPO并单击右窗格中的委派选项卡,查看每个GP上的“权限”。
我不知道这是否可以编写脚本。
您可以查看每个GPO(使用cacls或xcacls编写脚本)的父文件夹的文件夹权限,以查看存储每个GPO组件的文件夹的NTFS权限。 由于每个GPO(GPO模板)的一部分都是由组策略客户端扩展处理的文件系统对象,因此列出的NTFS权限应反映每个用户\组在GPO上具有的权限(读取,编辑等)。 列出具有完全权限的任何实体都可以编辑,删除和修改GPO上的安全性。 列出具有读取权限的任何实体都可以读取GPO(应用GPO的设置)。 任何以特殊访问方式列出的实体都可以编辑GPO。