管理员们常用GPO (Group Policy Object)对Windows系统环境进行安全设置，它有效实用自动，但有时我们需要确定GPO的安全设置甚至GPO本身是否出了问题？在GPO泱泱五千多项设置中有上百个安全设置，其内容可通过GPMC打开GPO找到节点Computer Configuration\Policies\Windows Settings\Security Settings看到，这里的安全设置项目涉及注册表、用户权限、files/folders/Registry权限、无线安全、组成员等，这些设置多数都可由客户端进行控制。如它们设置失败，则后果堪忧，以下介绍三种诊断方式。
一种诊断方式是，在任何机器上用管理员权限打开GPMC，运行内嵌在其中的工具Group Policy Results，在控制台底部就可看到节点Group Policy Results，选择“user account”和“computer account”就可看到相关结果；为此可右点Group Policy Results节点，从显示界面上我们可以检验已应用的GPOs的包括设置在内诸多方面，在右侧面板会显示出多项结果。这里我们可以确定应用的GPO是否生效，还可以验证有关安全Component Status是否有错，最后点击Security Settings区域的Settings栏目就可看到诊断结果。
第二种诊断方式，在目标机运行RSOP.msc可看到和第一种方法中相同的信息，仅是显示格式不同而已。为看到有关GPOs更多信息和客户端扩展内容，我们需要更深进入该界面：右点Computer Configuration节点，选择菜单选项Properties，然后就能看到已应用GPOs,从显示信息可以发现GPO相关设置内容。先择Error Information栏目还可看到客户端相关信息，从这里可以了解为何某些CSE为何没有生效，以及在RSOP.msc界面中没有出现的设置的信息。
第三种诊断方式，既然我们仅关心目标机安全设置，可以在其上运行secpol.msc ，然后就会看到我们关心的内容。但secpol.msc可让我们看到该机系统所有安全设置内容。

文章如转载，请注明转载自：http://www.5iadmin.com/post/738.html