记录组策略

Question

作为一个IT组，我们将检查所有的组策略，并清理/增强它们。我正在尝试编译一个易于阅读的文档，说明配置了什么和没有配置什么。

我想问你们，你们如何记录你们在小组政策中所设定的内容。我在微软上找到了一个非常好的电子表格，它有Computer Configuration\Policies\Administrative Templates: Policy definitions\All Settings和User Configuration\Policies\Administrative Templates: Policy definitions\All Settings的所有设置。我只是为每个设置的状态添加了一列。

但是，我知道我们的一个组策略已经禁用了某些Windows服务。这并没有出现在我上面描述的列表中。然后，我注意到Computer Configuration\Policies\Windows Settings\*和Computer Configuration\Policies\Software Settings\*中没有任何内容包含在这个列表中。

有没有人建议如何记录这些设置，或者有人知道这些设置的列表在哪里，这样我就可以将它们合并到列表中了吗？

Answer 1

您可以对目标计算机使用RSOP.MSC或GPResult来查看各种策略如何影响该系统(以及指定的用户帐户)。

RSOP.MSC：

组策略管理的一个挑战是了解许多组策略对象(GPO)对任何给定计算机或用户的累积影响，或对组策略的更改(例如重新排序GPO的优先级或将计算机或用户移动到目录中的其他组织单元(OU) )如何影响网络。生成的策略集(RSoP)管理单元为管理员提供了一种解决方案。管理员使用RSoP插件查看多个组策略对象如何影响用户和计算机的各种组合，或预测组策略设置对网络的影响。

GPResult：

显示远程用户和计算机的生成策略集(RSoP)信息。

您还可以使用MS的组策略管理控制台获取如何应用策略和相互交互的报告。

GPMC通过简化组策略实现的理解、部署、管理和故障排除，简化了组策略的管理。GPMC还通过脚本实现组策略操作的自动化。

Answer 2

创建自文档化组策略对象

写出您的组策略，以便每个策略都做一件特定的事情，并给出描述性的名称。如果策略需要更多的解释，请将其写为对策略的注释。在编辑策略时，单击“操作”>“属性”>“注释”来编辑注释。当您选择组策略对象时，这些注释将显示在“详细信息”选项卡的“组策略管理控制台”中。

Answer 3

这是一种方法，但记录所有的GPO方式听起来非常手动和乏味。我们使用GPMC脚本选项来进行每周一次的备份&所有GPO的报告。这在过去几年中帮助了我们，因为您有一个备份，并且可以比较GPO的HTML报告来了解不同之处。除了设置计划的任务以每周运行脚本外，没有其他手动操作。

GetReportsForAllGPO

BackupAllGPO

http://msdn.microsoft.com/en-us/library/windows/desktop/aa814151%28v=vs.85%29.aspx