В запутанной структуре AD с несколькими подразделениями, блокирующими наследование, есть ли эффективный способ убедиться, что определенный параметр действительно распространился (например, политики аудита, какой-либо ключ реестра и т. д.) на все машины?
На этом этапе мы просматриваем настройки каждого компьютера с помощью gpresult и объединяем их в один большой отчет. Там должен быть лучший способ.
Просмотр отдельных активов - утомительный способ решить эту проблему. Проверьте структуру своего подразделения с помощью Get-GPInheritance и ищи те, где GpoInheritanceBlocked установлен. Это те области, на которых вам нужно сосредоточиться. Если блок больше не нужен для какого-либо объекта групповой политики, рассмотрите возможность его удаления. Если это необходимо для некоторых, но не для всех объектов групповой политики, повторно связывайте важные объекты групповой политики, которые не следует блокировать, с этими подразделениями, чтобы они по-прежнему применялись. Эта PowerShell предоставит вам список подразделений, наследование которых было заблокировано.
#require module ActiveDirectory
get-adObject -ldapfilter "(objectCategory=organizationalUnit)" | foreach {
get-GPInheritance $_.distinguishedName | where { $_.GpoInheritanceBlocked -eq $true} | foreach {
$_.Path
}
}
GPO не распространяются. Если вы хотите узнать, применяется ли объект групповой политики к определенному компьютеру или пользователю, запустите gpresult или запустите мастер результатов групповой политики, выбрав конкретный компьютер или пользователя.