最近有人問我是否可以阻止我的老闆自動套用他的代理設定。我們的代理設定是由群組原則設定的,因此我認為應該很容易確定它是哪個 GPO,只需將其從 GPO 範圍用於應用它的群組中刪除即可。
我們的群組原則相當複雜,有相當多不同的 GPO 應用於各種使用者和電腦。
那麼問題是如何找到應用該設定的 GPO,而不必逐一檢查並確定它是否適用於他的使用者/電腦帳戶?
我已經為他的使用者帳戶和電腦運行了群組原則建模精靈(以防萬一),但我找不到任何特定於他的資訊。與代理設定有關的唯一 GPO 位於用戶 OU 中,而他的帳戶不在其中。
有任何想法嗎?有沒有一種工具可以更好地告訴我他的帳戶上正在設定哪些設定?可以透過powershell查詢嗎?
答案1
您可以gpresult /h c:\temp\policy.htm在目標電腦上執行以取得結果策略。您也可以使用遠端運行它執行程式(使用cmd指令)或電源外殼。
另一個選擇是運行rsop.msc在目標計算機上。
注意: gpresult 和 rsop 都應在受影響的使用者下完成,以收集應用於其帳戶的策略。
在 Powershell 中,您需要使用任一命令列開關取得 GPResultantSetOfPolicy帶參數 -電腦和-使用者
Get-GPResultantSetOfPolicy -user someuser -computer contoso.com\computer-08 -reporttype html -path c:\reports\UserAndComputerReport.html
注意:要執行 Get-GPResultantSetOfPolicy cmdlet,您必須使用提升的權限啟動 Windows PowerShell
或使用以下利用 COM 物件的 Powershell 程式碼:
$OutputFile = “C:\Temp\GPOExport.html”
$ComputerName = “test.contoso.com”
$UserName = “john”
$gpm = New-Object -ComObject GPMgmt.GPM
$constants = $gpm.GetConstants()
$gpmRSOP = $GPM.GetRSOP($Constants.RSOPModeLogging,$null,0)
$gpmRSOP.LoggingComputer = $ComputerName
$gpmRSOP.LoggingUser = $UserName
$gpmRSOP.CreateQueryResults()
$gpmRSOP.GenerateReportToFile($constants.ReportHTML,$outputfile)