HOW TO:在 Active Directory 和 SYSVOL 中标识组策略对象

文章翻译 文章翻译
文章编号: 216359 - 查看本文应用于的产品
本文的发布号曾为 CHS216359
展开全部 | 关闭全部

本文内容

概要

在对组策略的应用进行问题排查时,可能有必要验证 Active Directory 中是否有适当的对象,并验证文件结构在复制组策略 (GPO) 的每个域控制器上的 SYSVOL 中是否正确无误。

此过程中的一项关键内容是与 GPO 相关联的全局唯一标识符 (GUID)。本文讨论如何用 GPO 的 GUID 来标识 GPO。

使用 GPO 的属性确定 GPO 的 GUID

  1. 使用“Active Directory 用户和计算机”或“Active Directory 站点和服务”管理工具,在 Active Directory 中的域、站点或组织单元对象的上下文菜单上单击属性
  2. 单击组策略选项卡,单击 GPO,然后单击属性唯一的名称字段包含选定 GPO 的 GUID。另外还要注意字段。这就是 GPO 的存储位置,即使它可能被其他域使用(被链接到其他域)。

在系统卷上标识基于文件的 GPO 结构

  1. 在上面标识的域中的域控制器上,确定哪个驱动器托管系统卷 (Sysvol)。
  2. 使用 Windows 资源管理器,打开 Sysvol 文件夹。
  3. 其中包含以下文件夹:Domain、Staging、Staging Areas 和 Sysvol。更改到 Sysvol 文件夹。
  4. 其中应该有一个名称为本地域控制器所属域的域名称的文件夹。更改到以下文件夹:
    Sysvol 的路径\Sysvol\域名\Policies。
    应该存在与在域中创建的每个 GPO 相对应的、由其 GUID 作为标识的文件夹。
  5. 打开由在本文的上一节中记下的 GPO 的 GUID 标识的文件夹。
备注:系统卷上的组策略结构包含一个 Gpt.ini 文件,其中包含(GPO 的)版本信息和其他可选数据。另外,基于文件的策略分成 Machine 和 User 文件夹,每个文件夹都有相应的策略。正在使用软件策略(管理模板)时,还可能存在 Adm 文件夹。


如不访问给定 GPO 的属性,管理员还可以使用其他方法来获取已知 GPO 的 GUID,或者获取管理员拥有其相关 GUID 的 GPO 的友好名称。

使用 Search.vbs 在 Active Directory 中标识 GPO

Search.vbs 是一种 Microsoft Visual Basic 脚本,它包括在 Windows 2000 零售光盘上的 Support\Tools\Support.cab 文件中。可使用此脚本在 Active Directory 中执行 LDAP 搜索,并显示结果或将结果输出到一个文本文件中。

如要将 GPO 名称解析为 GUID,请键入
cscript search.vbs "LDAP://dc=mydomain,dc=com" /C:"&(objectClass=groupPolicyContainer)(displayName=Default Domain Policy)" /P:name /S:SubTree
其中 mydomain com 是正确的域名。

输出结果显示找到的对象数(在本例中应该只有一个 - 一个特定的 GPO)并显示找到的各对象的 Name 属性的值。例如:
Finished the query.
Found 1 objects.
name 1 = {31B2F340-016D-11D2-945F-00C04FB984F9}
To resolve a GUID to the name of a GPO, type
cscript search.vbs "LDAP://dc= mydomain ,dc= com " /C:"&(objectClass=groupPolicyContainer)(name={ 31B2F340-016D-11D2-945F-00C04FB984F9 })" /P:displayName /S:SubTree
mydomain com 替换为正确的域名,将 31B2F340-016D-11D2-945F-00C04FB984F9 替换为相应的 GUID。

输出结果显示找到的对象数(在本例中应该只有一个 - 一个特定的 GPO)并显示找到的各对象的 DisplayName 属性的值(在“管理工具”中看到的友好名称)。例如:
Finished the query.Found 1 objects. displayName 1 = Default Domain Policy

使用 Ldp.exe 在 Active Directory 中标识 GPO

备注:Ldp.exe 是资源工具包中的工具,它用于在 Active Directory 中查看并修改对象及其属性。还有其他工具可用于实现同样的目的。
  1. 从 Windows 2000 零售光盘上的 Support\Reskit\Netmgmt\Dstool 文件夹运行 Ldp.exe。
  2. Connection(连接)菜单上,单击 Connect(连接)。
  3. 键入服务器的名称,验证 port(端口)设置为 389,单击清除 Connectionless(无连接)复选框,然后单击 OK(确定)。在完成连接之后,特定于服务器的数据将显示在右窗格中。
  4. Connection(连接)菜单上,单击 Bind(绑定)。在相应的框中键入用户名、密码和域名(采用 DNS 格式)(您可能需要选中 Domain(域)复选框),然后单击 OK(确定)。如果绑定成功,在右窗格中应该能看到类似于“Authenticated as dn:'YourUserID'”的消息。
  5. Browse(浏览)菜单上,单击 Search(搜索)。
  6. Base DN(基础 DN)框中,键入
    dc=mydomain,dc=com
    mydomain com 替换为适当的域名。
  7. Filter(筛选器)框中,键入
    (&(objectClass=groupPolicyContainer)(name={ 31B2F340-016D-11D2-945F-00C04FB984F9 }))
    如果您拥有 GUID 并且要查找 GPO 的友好名称,请将 31B2F340-016D-11D2-945F-00C04FB984F9 替换为相应的 GUID。

    或者,键入
    (&(objectClass=groupPolicyContainer)(displayName= 默认组策略))
    如果您拥有友好名称且需要解析 GUID,请将默认组策略 替换为适当的 GPO 名称。
  8. Scope(作用域)框中,单击 Subtree(子树)。
  9. 单击 Options(选项)。在 Attributes(属性)框中,如果您拥有 GUID 并且要查找友好名称,请键入 displayName,如果您拥有 GPO 名称且需要解析 GUID,请键入 name
  10. 接受所有其他默认值,单击 OK(确定),然后单击 Run(运行)。在完成查询之后,所找到的对象的辨别名 (DN)(在本例中应该只有一个)以及在查询中请求的属性的值应显示在右窗格中。

属性

文章编号: 216359 - 最后修改: 2004年3月25日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
关键字:?
kbhowtomaster kbtool kbenv KB216359
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com