Эффективная проверка изменений политики на всех компьютерах?
В запутанной структуре AD с множественными OU, блокирующими наследование, существует ли эффективный способ гарантировать определенный параметр фактически распространился (например, политики аудита, некоторый ключ реестра и т. д. ) ко всем машинам?
На этом этапе мы просматриваем настройки каждого компьютера через gpresult и объединяем их в один большой отчет. Должен быть способ получше.
Просмотр отдельных активов - утомительный способ решить эту проблему. Просмотрите структуру своего подразделения с помощью Get-GPInheritance и найдите те, для которых установлено значение GpoInheritanceBlocked . Это те области, на которых вам нужно сосредоточиться. Если блок больше не нужен ни для одного объекта групповой политики, рассмотрите возможность его удаления. Если это необходимо для некоторых, но не для всех объектов групповой политики, повторно связывайте важные объекты групповой политики, которые не следует блокировать, с этими подразделениями, чтобы они по-прежнему применялись. Эта оболочка PowerShell предоставит вам список подразделений, наследование которых было заблокировано.
#require module ActiveDirectory
get-adObject -ldapfilter "(objectCategory=organizationalUnit)" | foreach {
get-GPInheritance $_.distinguishedName | where { $_.GpoInheritanceBlocked -eq $true} | foreach {
$_.Path
}
}
Объекты групповой политики не распространяются. Если вы хотите узнать, применяется ли объект групповой политики к определенному компьютеру или пользователю, запустите gpresult или мастер результатов групповой политики, выбрав конкретный компьютер или пользователя.