KAPes Asked: 2009-10-23 10:01:01 +0800 CST2009-10-23 10:01:01 +0800 CST 2009-10-23 10:01:01 +0800 CST 在 GPO 上查找编辑权限 772 所有 DC:Windows 2003 SP2 Windows 2003 上的 DFL 和 FFL 在我们的环境中,我们有 500 多个 GPO,我想知道哪些组/用户已被授予编辑 GPO 的权限。我们需要每个 GPO 的这个列表。 第二个问题是我们如何通过脚本更改这些权利。 可以通过脚本完成吗? windows-server-2003 3 个回答 Voted Evan Anderson 2009-10-23T10:20:25+08:002009-10-23T10:20:25+08:00 组策略管理控制台提供了一个 API(请参阅http://msdn.microsoft.com/en-us/library/dd901424(VS.85).aspx),你可以用它来做你想做的事。有许多调用这些 API 的 Powershell cmdlet,因此,如果您对使用 Powershell 感到满意,那么您可能会无所事事。 这是一篇过时的文章:使用 Powershell 管理组策略:http ://technet.microsoft.com/en-us/magazine/2007.05.grouppolicy.aspx (我说“过时”是因为有根据上一个链接,本文未涵盖的新 API 和 cmdlet 可用。) joeqwerty 2009-10-23T10:10:53+08:002009-10-23T10:10:53+08:00 您可以通过导航到 GPMC 中的组策略对象、选择 GPO 并单击右侧窗格中的委派选项卡来查看每个 GP 的“权限”。 我不知道这是否可以编写脚本。 joeqwerty 2009-10-23T10:24:14+08:002009-10-23T10:24:14+08:00 您可以查看每个 GPO 的父文件夹的文件夹权限(可使用 cacls 或 xcacls 编写脚本),以查看存储每个 GPO 组件的文件夹的 NTFS 权限。由于每个 GPO(GPO 模板)的一部分是由组策略客户端扩展处理的文件系统对象,因此列出的 NTFS 权限应该反映每个用户\组在 GPO 上的权限(读取、编辑等) .)。列出的具有完全权限的任何实体都可以编辑、删除和修改 GPO 上的安全性。列出的任何具有读取权限的实体都可以读取 GPO(应用 GPO 的设置)。列出的任何具有特殊访问权限的实体都可以编辑 GPO。
组策略管理控制台提供了一个 API(请参阅http://msdn.microsoft.com/en-us/library/dd901424(VS.85).aspx),你可以用它来做你想做的事。有许多调用这些 API 的 Powershell cmdlet,因此,如果您对使用 Powershell 感到满意,那么您可能会无所事事。
这是一篇过时的文章:使用 Powershell 管理组策略:http ://technet.microsoft.com/en-us/magazine/2007.05.grouppolicy.aspx (我说“过时”是因为有根据上一个链接,本文未涵盖的新 API 和 cmdlet 可用。)
您可以通过导航到 GPMC 中的组策略对象、选择 GPO 并单击右侧窗格中的委派选项卡来查看每个 GP 的“权限”。
我不知道这是否可以编写脚本。
您可以查看每个 GPO 的父文件夹的文件夹权限(可使用 cacls 或 xcacls 编写脚本),以查看存储每个 GPO 组件的文件夹的 NTFS 权限。由于每个 GPO(GPO 模板)的一部分是由组策略客户端扩展处理的文件系统对象,因此列出的 NTFS 权限应该反映每个用户\组在 GPO 上的权限(读取、编辑等) .)。列出的具有完全权限的任何实体都可以编辑、删除和修改 GPO 上的安全性。列出的任何具有读取权限的实体都可以读取 GPO(应用 GPO 的设置)。列出的任何具有特殊访问权限的实体都可以编辑 GPO。