在一个具有多个OU阻塞inheritance的复杂的AD结构中,是否有一种有效的方法来确保某个设置实际上已经传播(即审计策略;某些registry键值等)到所有机器上?
在这一点上,我们通过gpresult检查每台电脑的设置,并将它们合并成一个大的报告。 一定有更好的方法。
审查个人资产是一个乏味的方式去做这件事。 使用Get-GPInheritance查看您的OU结构,并查找设置了GpoInheritanceBlocked那些结构。 这些是你需要关注的领域。 如果任何GPO不再需要该块,请考虑删除它。 如果需要的话,但并非所有GPO都将不应阻塞的重要GPO重新链接到这些OU,以便它们仍被应用。 这个PowerShell会给你一个inheritance被阻止的OU的列表。
#require module ActiveDirectory get-adObject -ldapfilter "(objectCategory=organizationalUnit)" | foreach { get-GPInheritance $_.distinguishedName | where { $_.GpoInheritanceBlocked -eq $true} | foreach { $_.Path } }
GPO不会传播。 如果您想知道某个GPO是否应用于特定的计算机或用户,请运行gpresult或运行组策略结果向导,以特定的计算机或用户为目标。