組策略命令行工具使用之GPOTOOL

域組策略對象檢查工具――GPO TOOL
    Windows Resource Kit Tools工具軟件。Gpotool號稱組策略的“醫(yī)生”，用于檢查域控制器上的組策略對象的健康狀況。主要完成一下功能：
    ●檢查組策略對象的一致性。讀取必須的和可選的目錄服務(wù)屬性（版本、友好名稱、擴(kuò)展 GUID和Windows 2000系統(tǒng)卷（SYSVOL）數(shù)據(jù)（GPT.ini）），比較目錄和SYSVOL版本號，執(zhí)行其他的一致性檢查。若果擴(kuò)展屬性包含GUID，則功能版本必須2，用戶/計(jì)算機(jī)版本必須要大于0。
    ●檢查組策略對象復(fù)制。它從每個域控制器讀取GPO實(shí)例并對它們進(jìn)行比較（選定組策略容器屬性與組策略模板進(jìn)行完全遞歸比較）。
    ●瀏覽GPO?？筛鶕?jù)友好名稱或GUID搜索策略。名稱和GUID也都支持部分匹配。
    ●首選域控制器。在默認(rèn)情況下，將使用域中所有可用的與控制器；這可從命令行中用所提供域控制器列表進(jìn)行改寫。
    ●提供跨域支持。有一個用于檢查不同域中的策略的命令行選項(xiàng)。
    ●在詳細(xì)模式下運(yùn)行。如果所有的域策略都正常，則該工具顯示一條驗(yàn)證消息；如果有誤，則顯示有關(guān)被損壞策略信息。某個命令行選項(xiàng)可打開有關(guān)正在處理的每個策略的詳細(xì)信息。
    1、檢測當(dāng)前域上所有組策略的正常配置，在命令提示符下鍵入：gpotool 回車。
    在測試中發(fā)現(xiàn)目前是系統(tǒng)域控制器，所有的組策略（2條系統(tǒng)默認(rèn)策略）測試陳功，檢測通過。
    假如我們在子域控制器上，我們要檢測根域上所有組策略的正常配置，我們可以使用這個命令：在命令提示符下鍵入：gpotool /domain:zhp.com
    2、檢測根域上所有組策略的詳細(xì)信息，輸出到c:\test.txt文件文本中，并且使用及時打開test.txt文件。在命令提示符下鍵入：gpotool /verbose >test.txt回車。
    查找到輸出的文件，并用記事本打開，可在文件中看到相關(guān)組策略的詳細(xì)信息。
    3、Gpotool 命令語法格式為：
    Gpotool [/gpo:GPO[,GPO]…]
    [/domain:DNSname ] [/dc:{DomainController}[,{DomainController}] [/checkacl] [/verbose]
    考試大提示參數(shù)說明：
    /gpo:GPO[,GPO]… ――需要檢查的GPO；可以指定GUID或者GPO名；默認(rèn)為當(dāng)前域的所有GPO。
    /domain:DNSname ――GPO所在域的域名
    /dc:{DomainController}[,{DomainController} ――處理GPO的域控制器名稱列表。
    /checkacl ――在每臺服務(wù)器上對sysvol驗(yàn)證ACL
    /verbose ――在處理過程中顯示詳細(xì)信息。
    注意：
    在域控制器上，須向警告事件1202與錯誤事件1000.這通常意味著一個域控制器已從域控制器OU移到另一個與默認(rèn)域控制器GPO鏈接的OU。
    當(dāng)管理員嘗試打開某個默認(rèn)GPO時，返回以下錯誤：未能打開組策略對象。這通常意味可能沒有適合的權(quán)限。
    在事件日志中，出現(xiàn)1000、1001和1004事件。這是因?yàn)閞egistry.pol文件被損壞所致。通過刪除SYSVOL下的registry.pol文件、重新啟動后對服務(wù)器進(jìn)行更改，這些錯誤將消失。