搜索组策略某项配置名称？_百度知道
搜索组策略某项配置名称？
2008R2域策略太多了，能不能以关键字进行搜索找到呢？而不用一个一个展开去看...
2008 R2 域策略太多了，能不能以关键字进行搜索找到呢？而不用一个一个展开去看
答题抽奖
首次认真答题后
即可获得3次抽奖机会，100%中奖。
panglao7459zhu
panglao7459zhu
采纳数：26
获赞数：15
擅长：暂未定制
汉江临眺(王维)终南别业(王维)
为你推荐：
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。启动方式/组策略
开始菜单->运行->输入“gpedit.msc”->确定直接打开：C:\WINNT\SYSTEM32\gpedit.msc
系统设置/组策略
禁止运行指定程序系统启动时一些程序会在后台启动，这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止，操作起来非常不便，通过组策略则非常方便，这对减少系统资源占用非常有效。通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。具体步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在左边的窗格依次单击“用户配置→管理模板→系统”，然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。图1双击“不要运行指定的Windows应用程序”(3)选中“已启用”，单击“显示”按钮(如图2所示)，添加要阻止的程序如“Wgatray.exe”即可。图2添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。当管理员需要执行一个包含在不允许运行列表中的应用程序时，需要先通过组策略编辑器将该应用程序从不运行运行列表中删除，在程序运行完成后，再将该程序添加到不允许运行程序列表中。需要注意的是，不要将组策略编辑器（gpedit.msc）添加到禁止运行程序列表中，否则会造成组策略的自锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。提示：如果没有禁止运行“命令提示符”程序的话，用户可以通过cmd命令，从“命令提示符”运行被禁止的程序，例如，将记事本程序(notepad.exe)添加不运行列表中，通过桌面和菜单运行该程序是被限制的，但是在“命令提示符”下运行notepad命令，可以顺利的启动记事本程序。因此，要彻底的禁止某个程序的运行，首先要将cmd.exe添加到不允许运行列表中。如果禁止程序后组策略无法使用可以通过以下方法来恢复设置：重新启动计算机，在启动菜单出现时按F8键，在Windows高级选项菜单中选择“带命令行提示的安全模式”选项，然后在命令提示符下运行mmc.exe。在打开的“控制台”窗口中，依次点击“文件→添加/删除管理单元→添加→组策略→添加→完成→关闭→确定”，添加一个组策略控制台，接下来把原来的设置改回来，然后重新进入Windows即可。锁定注册表编辑器注册表编辑器是系统设置的重要工具，为了保证系统安全，防止非法用户利用注册表编辑器来篡改系统设置，首先必须将注册表编辑器予以禁用。具体操作步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)依次展开“用户配置→管理模板→系统”。(3)在右侧窗格中双击“阻止访问注册表编辑工具”策略(如图3所示)。图3阻止访问注册表编辑工具(4)在弹出的对话框中，选择“启用”，将“是否禁用无提示regedit?”选择“是”(如图4所示)，按“确定”即可。图4双击“阻止访问注册表编辑工具”此策略被启用后，用户试图启动注册表编辑器(Regedit.exe 及 Regedt32.exe)的时候，系统会禁止这类操作并弹出警告消息。若要防止用户使用其他管理工具，请使用“只运行指定的 Windows 应用程序”设置。提示：解除注册表锁定与禁用注册表编辑器方法步骤相同，双击右侧窗格中的“阻止访问注册表编辑器”，在弹出的窗口中选择“已禁用”或“未配置”，点击“确定”按钮后退出组策略编辑器，即可为注册表解锁。这项设置是一把双刃剑：如果设为“已禁用”，则有一些正常软件（大部分软件需要与注册表打交道）有可能不能使用，甚至无法安装；如果设置为“已启用”，则在杀毒软件的监护之外，为恶意程序留下隐患。阻止访问命令提示符命令提示符下有许多危险的操作，要阻止非法用户使用命令提示符窗口(Cmd.exe)，远离各种不可预料的风险，具体步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→系统”，在右侧窗格中双击“阻止访问命令提示符”(如图5所示)，打开目标策略属性设置对话框。图5双击“阻止访问命令提示符”(3)在“阻止访问命令提示符”属性对话框中勾选已启用(如图6所示)，按“确定”即可。图6“阻止访问命令提示符”属性对话框如果启用这个设置，用户试图打开命令窗口，系统会显示一个消息，解释设置阻止这种操作。这个设置还决定批处理文件(.cmd和.bat)是否可以在计算机上运行。提示：如果计算机使用登录、注销、启动或关闭批文件脚本，不能防止计算机运行批处理文件；也不能防止使用终端服务的用户运行批处理文件。禁止修改系统还原“系统还原”是Windows 7的一项很重要的功能，如果您对计算机的安全性要求很高，或是计算机是一台公用的计算机，有很多人会去使用，那么为了保证系统的可操作性，将“系统还原”所占用的磁盘空间设置得大一些很有必要。但是如果这个设置被人更改，就会造成以前创建的还原点中信息的丢失。您可以在“组策略”中禁止对“系统还原”的配置进行修改。具体操作步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→管理模板→系统→系统还原”，在右侧窗格中双击“关闭配置”(如图7所示)，打开目标策略属性设置对话框。图7双击“关闭配置”(3)在“关闭配置”属性对话框中勾选“已启用”，按“确定”。“系统还原”配置界面上配置系统还原的选项就会消失。如果选择“已禁用”(如图8所示)，则仍可看见配置界面，但是，所有系统还原配置默认值都有效。图8“关闭配置”属性对话框注意：该配置必须重新启动计算机才会生效。设置虚拟内存页面对于重要文件，您可以通过加密和设置权限以禁止其他无关人员访问，不过您可知道，如果真的有必要，他人完全可以通过其他途径获得您的机密信息，那就是虚拟内存页面文件。虚拟内存页面文件作为物理内存的补充，用途是在硬盘和内存之间交换数据，而虚拟内存页面文件本身就是硬盘上的一个文件，它位于系统所在硬盘分区的根目录中，文件名为pagefile.sys。一般情况下，当您运行程序时，这些程序的一部分内容可能会被临时保存到分页文件上，而如果您编辑完这个文件后立刻就关闭了系统，那么文件的一些内容仍然有可能被保存在虚拟内存页面文件中。在这种情况下，如果有人得到了这台电脑的硬盘，那么只要把硬盘拆出来，利用特殊的软件，就可以将虚拟内存页面文件中的机密信息读取出来。通过配置组策略，您可以避免这种潜在的危险。(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”，在右侧窗格中双击“关机：清除虚拟内存页面文件” (如图9所示)，打开目标策略属性设置对话框。图9双击“关机：清除虚拟内存页面文件”(3)在“关机：清除虚拟内存页面文件”属性对话框中勾选“已启用”(如图10所示)，按“确定”即可。图10“关机：清除虚拟内存页面文件”属性对话框启用这个策略后，关机的时候系统会将分页文件中的所有内容都用“0”或者“1”写满，这样所有的信息自然也都会消失。提示：这样做会减慢系统的关闭速度，如果不是非常必要，不建议您启用这个策略。防止菜单泄漏隐私在「开始」菜单中有一个“我最近的文档”菜单项，可以记录您曾经访问过的文件。这个功能可以方便用户再次打开该文件，但别人也可通过此菜单访问您最近打开的文档，为安全起见，可屏蔽此项功能。具体操作步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→「开始」菜单和任务栏”，分别在右侧窗格中双击“不要保留最近打开文档的历史”和“退出时清除最近打开的文档的历史”(如图11所示)，打开目标策略属性设置对话框。图11双击“退出时清除最近打开的文档的历史”(3)分别在“不要保留最近打开文档的历史”和“退出时清除最近打开的文档的历史”属性对话框中勾选“已启用”，按“确定”即可。如果启用“退出时清除最近打开的文档的历史”设置，系统就会在用户注销时删除最近使用的文档文件的快捷方式。因此，用户登录时，「开始」菜单上的“最近的项目”菜单总是空的。如果禁用或不配置此设置，系统就会保留文档快捷方式，这样用户登录时，“最近的项目”菜单中的内容与用户注销时一样。提示：系统在“系统驱动器\Documents and Settings\用户名\我最近的文档”文件夹中的用户配置文件中保存文档快捷方式。当没有选择“从开始菜单删除最近的项目菜单”和“不要保留最近打开的文档的历史”策略任何一个相关设置时，此项设置才能使用。别让搜索泄露隐私快捷搜索框是Windows 7的一大特色，尤其在执行文件夹搜索时非常方便。不过这一功能有时也特别令人尴尬，那就是会自动保存下所有历史搜索，而且并没有提供清除功能，其中一些隐私内容就会挥之不去。使用组策略随时清空搜索历史是一个很好的补救措施，具体步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右侧窗格中双击“在Windows资源管理器搜索框中关闭最近搜索条目的显示”(如图12所示)，打开目标策略属性设置对话框。图12双击“在Windows资源管理器搜索框”(3)选择“已启用”(如图13所示)，按“确定”之后搜索历史即被清空，当然以后也就不会自动保存了。图13选择“已启用”设置桌面小工具现在的病毒和木马真是十分的狡猾，竟然能够利用桌面小工具（Windows Vista中称边栏小工具）入侵系统，虽然系统能够检测到如：“天气与生活”这款小工具没有得到微软认可的有效数字签名，但用户只要单击“安装”按钮，即可顺利完成安装进程。如何防止这些没有签证的桌面小工具给系统可能带来的潜在危险呢？通过组策略可以拒绝使用没有签证的桌面小工具，具体操作步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→管理模块→windows组件→桌面小工具”，在右侧窗格中双击“限制未经数字签名的小工具的解包和安装”(如图14所示)，打开目标策略属性设置对话框。图14双击“限制未经数字签名的小工具的解包和安装”(3)在“限制未经数字签名的小工具的解包和安装”属性对话框中勾选“已启用”(如图15所示)，按“确定”，则 Windows 桌面小工具不会提取未经数字签名的任何小工具。图15“限制未经数字签名的小工具的解包和安装”提示：默认情况下，Windows 桌面小工具是可以安装未签名的工具软件，但是如果启用上述设置，Windows桌面小工具将不会再允许用户安装未经签名的软件，包括一些压缩文件。这将给用户的系统带来一定的安全保障。完全禁止使用U盘现在U盘已经相当普及，电脑里面的资料很容易被复制，这对电脑中的资料无疑是一种威胁。如果您的电脑中有一些重要的资料，那就要小心了。难道要把USB端口给拆下来吗？当然不是。其实运用Windows 7系统本身的禁止使用USB设备的功能，就能彻底解决这一问题。具体操作步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→管理模板→系统→可移动存储访问”，在右侧窗格中双击“所有可移动存储类：拒绝所有权限”，打开目标策略属性设置对话框（如图16所示）。图16打开“所有可移动存储类：拒绝所有权限”(3)在“所有可移动存储类：拒绝所有权限”属性对话框中勾选“已启用”(如图17所示)，按“确定”按钮就可以完全禁止USB存储类设备了。图17“所有可移动存储类：拒绝所有权限”属性框10.禁止数据写入U盘如果您不准备完全禁止USB设备，希望能读取U盘的内容，只是禁止数据写入U盘。具体操作步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→管理模板→系统→可移动存储访问”，在右侧窗格中双击“可移动磁盘：拒绝写入权限”(如图18所示)，打开目标策略属性设置对话框。图18双击“可移动磁盘：拒绝写入权限”(3)在“可移动磁盘：拒绝读取权限”属性对话框中勾选“已启用”(如图19所示)，按“确定”按钮即可。图19“可移动磁盘：拒绝读取权限”属性对话框提示：以上对U盘进行了禁止写入设置。如果要U盘禁止读取，而允许写入数据，那可以启用“可移动磁盘：拒绝读取权限”来实现。11.允许识别指定U盘以上“禁止使用U盘”和 “禁止数据写入U盘”两项设置，在保护自己电脑资料的同时也给自己带来了很大的不便，如何让系统只能使用指定的U盘或者移动硬盘呢？通过组策略“允许识别指定U盘”可能解决这一问题。操作步骤如下：(1)把U盘插入到Windows 7系统的USB接口中，让系统可以正常使用U盘，接着进入“控制面板”，双击“硬件和声音”、“设备管理器”(如图20所示)。图20双击“硬件和声音”、“设备管理器”(2)展开“便携设备”，可以看见里面有您刚刚插入的U盘，在上面点击鼠标右键来选择“属性”(如图21所示)。图21展开“便携设备”(3)在弹出的“属性”窗口中点击“详细信息”标签，然后在设备“属性”下拉框中选择“硬件 ID”，下面的“值”中会出现字符串，这个就是您的U盘的硬件ID，把它复制出来保存好。(4)复制“通用串行总线控制器”中“USB大容量存储设备”的硬件ID，在“设备管理器”中展开“通用串行总线控制器”列表，找到“USB大容量存储设备”(如图22所示)。图22找到“USB大容量存储设备”(5)在它的“属性”窗口中点击“详细信息”标签，复制出它的硬件ID(如图23所示)。图23复制出U盘硬件ID(6)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。依次展开“计算机配置→管理模板→系统→设备安装→设备安装限制”(如图24所示)。图24双击“禁止安装未由其他策略设置描述的设备”(7)双击右侧的“禁止安装未由其他策略设置描述的设备”，在弹出的窗口中选择“已启用”，再点击“确定”按钮，设置它可以来禁止策略没描述的USB设备(如图25所示)。图25禁止安装未由其他策略设置描述的设备(8)双击右侧的“允许安装与下列设备ID相匹配的设备”(如图26所示)，在弹出的窗口中选择“已启用”，单击“显示”按钮，将允许安装的U盘的硬件ID粘贴到其中，再点击“确定”按钮。图26允许安装与下列设备ID相匹配的设备12.禁止光盘自动播放光盘自动播放虽然能给您带来了许多便利，但有些时候也会带来不少麻烦。默认状态下，当您将光盘插入光驱时，系统就会自动读取光驱，并启动autorun.inf指定的应用程序。这一默认状态对系统来说是极不安全的，说不定自动运行的是一个木马程序。有时插入光盘仅仅是想查看一下光盘中的内容，自动播放功能会使您这一简单想法的实现变得复杂。关闭光盘自动播放实属明智之举。用组策略可以关闭光盘自动播放功能，具体操作步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→windows组件→自动播放策略”，在右侧窗格中双击“关闭自动播放”(如图27所示)，打开目标策略属性设置对话框。图27双击“关闭自动播放”(3)在“关闭自动播放”属性对话框中勾选“已启用”(如图28所示)，在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”项按“确定”即可。图28“关闭自动播放”对话框注意：插入光盘时按住shift键可禁止光盘自动播放。这种方式最好能成为使用陌生光盘时的一种操作习惯。此设置不阻止自动播放音乐CD。13.禁止安装移动设备如果不希望其他人在您的电脑上随便使用移动设备，则可以通过组策略禁止安装可移动设备。具体操作步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→管理模块→系统→设备安装→设备安装限制”，在右侧窗格中双击“禁止安装可移动设备”(如图29所示)，打开目标策略属性设置对话框。图29双击“禁止安装可移动设备”(3)在属性对话框中勾选“已启用”并按“确定”。如果启用了此设置，则不会安装可移动设备，而且无法更新现有可移动设备的驱动程序。如果未配置或禁用了此设置，那么，只要其他策略设置允许安装设备，就可以安装可移动设备和更新现有的可移动设备。提示：此策略设置比允许安装设备的任何其他策略设置的优先级都高。如果此策略设置禁止安装某个设备，那么，即使该设备与允许安装它的其他策略设置相匹配，也将无法安装或更新该设备。对于此策略，当设备所连接到的设备驱动程序该设备可移动时，设备被认为是可移动设备。例如，设备连接到的 USB 集线器的驱动程序报告某个通用串行总线(USB)设备是可移动设备。如果此计算机是一台终端服务器，则启用此策略还会影响指定的设备从终端服务客户端重定向到此计算机。注意：禁止安装可移动设备对提高系统安装性能非常有效，使用此设置可防止可移动设备如U盘的使用。14.限制使用驱动器若要防止用户使用“我的电脑”访问所选驱动器的内容，可按以下步骤操作：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右侧窗格中双击“防止用户使用‘我的电脑’访问所选驱动器的内容”，打开目标策略属性设置对话框。(3)在“防止用户使用‘我的电脑’访问所选驱动器的内容”属性对话框中勾选“已启用”，并在下面列表框中选择一个驱动器或几个驱动器，按“确定”即可。如果启用此设置，则用户可以浏览“我的电脑”或 Windows 资源管理器中所选驱动器的目录结构，但是无法打开文件夹或访问其中的内容。此外，他们也无法使用“运行”对话框或“映射网络驱动器”对话框来查看这些驱动器上的目录。若要使用此设置，请从下拉列表中选择一个驱动器或多个驱动器的组合。若要允许访问所有驱动器目录，请禁用此设置或从下拉列表中选择“不限制驱动器”选项。注意: 代表指定驱动器的图标仍会出现在“我的电脑”中，但是如果用户双击这些图标，则会出现一条消息来解释设置防止这一操作。右侧窗格中“隐藏‘我的电脑’中的这些指定的驱动器”可配合使用，此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。15.我的桌面你别改若要禁止别人改动桌面某些设置，防止用户保存对桌面进行的某些更改。具体操作步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)依次展开“用户配置→管理模板→桌面”，然后在右侧对话框中选中并双击“退出时不保存设置”。(3)在弹出的对话框中点选“已启用”,按确定，用户将不能保存对桌面的更改。如果启用了此设置，那么，用户可以更改桌面，但是某些更改(如已打开窗口的位置、任务栏的大小及位置)在用户注销后不会保存。但是，桌面上的快捷方式始终得以保存。时，许多黄色或是暴力的内容会进入我们的视野，虽然有第三方软件和利用分级审查功能可以阻止这些内容，但只要拥有管理员权限，分级审查是可以更改的。利用组策略，可以禁止更改分级审查。具体操作步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→Windows组件→Internet Explorer”，在右侧窗格中双击“禁用更改分级设置”，打开目标策略属性设置对话框。(3)在“禁用更改分级设置”属性对话框中勾选“已启用”，按“确定”即可禁止更改分级审查。提示：禁用更改分级审查的前提是分级审查的设置已经完成。“禁用分级页”策略(位于“\用户配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板”中)可以在“控制面板”中，将“分级”选项卡从“Internet Explorer”删除，它优先于此策略。如果已启用，则会忽略此策略。
解决方法/组策略
方法1将Framedyn.dll文件从C:\Windows\System32\drivers目录下拷贝到C:\Windows\System32目录下，再重新注册一下gpedit.dll。方法：是【开始】—>【运行】输入regsvr32空格gpedit.dll后回车看看提示是否注册成功。方法21、在【开始】—>【运行】中依次运行以下命令：“regsvr32 fde.dll”、“regsvr32gpedit.dll”、“regsvr32 gptext.dll”、 “regsvr32 wsecedit.dll”分别注册这4个动态数据库。2、最后单击【开始】—>【运行】输入“gpedit.msc”便可以启动组策略了。
常用命令/组策略
Get-GPO组策略界面Get-GPO命令可以检索到每一个组策略对象（GPO）的所有信息。而且可以根据GPO的名称，GPO的GUID来检索组策略信息，也可以使用-all选项来检索域中的所有组策略。虽然通过GPMC也能获取这些信息，但是命令的输出还能列出一些通常会错过的信息，如GPO的所有者，创建时间，最后的修改时间以及启用还是禁用的信息。在网络中对于组策略问题进行排错时，这些信息将至关重要。Backup/Restore-GPO虽然可以通过系统状态的备份来对GPO进行备份，但是通过一个专门的任务对组策略进行单独备份也是一个不错的主意，毕竟这会让GPO的恢复变得更加容易。幸运的是，使用PowerShell命令backup-GPO就可以做到。与Get-GPO协作，可以根据GPO的名称，GUID或者使用-all选项来指定备份的GPO。这个命令最有用的部分是可以使用PowerShell脚本来定时进行备份：Backup-Gpo -Name CompanyGPO -Path C:\GPO-Backup -Comment "Monthly Backup"Restore-GPO命令可以将GPO还原到指定的域。然而，如果使用backup-GPO和restore-GPO命令来迁移组策略对象，需要保证Windows Server2008操作系统版本的一致性。也就是说，Windows Server 2008 R2的GPO将只能由Windows Server 2008 R2进行恢复。Get-ResultantSetOfPolicy很久以前，GPMC就都可以提供组策略的结果报告，这对于组策略的规划和记录来说都是一个非常有用的工具。如果你使用PowerShell命令get-ResultantSetOfPolicy，也可以迅速得到组策略的结果，而且报告可以是HTML的格式。例如，如果你想检查一个特定的用户在特定的计算机上组策略设置的结果，可以运行以下的命令，命令的结果会产生一个所有信息的HTML文档：Get-GPResultantSetofPolicy -user domain\domain.user -reporttype html -path c:\GPO-Reports\UserGPOReport.html使用所有提到的cmdlet，PowerShell还能够提供一种额外的管理能力，那就是将这些命令脚本化，并按照计划执行，这样就可以更有效的监控组策略基础架构的运行状况。Set/Remove – GPLinkGPLink的cmdlet可以创建和删除GPO与OU之间的关联关系。虽然在GPMC中执行这项任务也非常容易，但是cmdlet还可以提供另一个方便的管理工具。假如需要一个GPO只是在每个月的某一天运行，其它时间禁止运行。可以在这一天计划运行GP link命令将GPO和需要的OU关联起来，并在这一天结束前将GPO的关联删除，整个过程系统自动处理，无需手工运行。还可以使用其它GPO命令与GPLink的cmdlet进行组合，通过使用管道命令执行remote-GPLink，以下示例就是如何指定一条组策略或继承组策略，然后删除其链接：(Get-GPInheritance -Target "ou=CompanyOU,dc=domain,dc=com").GpoLinks | Remove-GPLinkGet-GPPermissions组策略有时会应用失败的原因之一是因为在GPO上不正确的权限设置。Get-GPPermissions cmdlet会生成详细的报告，报告中会显示GPO的访问控制列表（ACL）以及应用的权限。所以，如果想准确的了解谁对某个GPO有权限，可以使用下列命令：Get-GPPermissions -Name CompanyGPO -TargetName "Company" - TargetType Group命令会给出以下的输出：Trustee: Domain UsersTrusteeType: GroupPermissionLevel: GpoReadInherited: False
&|&相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于www.baike.com。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数：8次
参与编辑人数：7位
最近更新时间： 16:04:34
贡献光荣榜
扫码下载APP}