web-dev-qa-db-ja.com

ActiveDirectory-適用されたマシンを見つける方法GPO

特定のマシンでローカルの組み込み管理者のパスワードを変更するように構成されたGPOがあります。これを適用したマシンを見つける必要がありますGPO 。いくつかのシステムでパスワードを試すスクリプトを作成しましたが、そのパスワードを持っているものと持っていないものがあります。多くのマシンを通過する必要があり、それらすべてでパスワードを試しても上司には機能しません。

私が判断できる\ DC1\SYSVOL\domain.com\Policies ...ファイルへのアクセスのみを指定する方法はありますか。

  1. ポリシーが適用されたローカルユーザー名は正確には何ですか?
  2. このローカルユーザーが含まれているマシンはどれですか?

SYSVOL共有アクセスだけでは判断できない場合、必要な情報を取得するにはどのレベルのアクセスが必要ですか?

私の上司はこれのために私の首を呼吸していて、私はそれが私のリーグから外れていると感じています。

あなたが提供できる入力や助けをありがとう-

3
user488244

すべてのマシンのイベントログを調べて、グループポリシーが適用されているかどうかを確認する必要があります。クライアントは、GPOを適用したかどうかについてドメインコントローラーに通知しません。

クライアントのグループポリシー操作イベントログには、その時点でコンピューターに適用されようとしているすべての該当するGPOのリストを含むイベントID5312があります。特別なGPOがそのリストに含まれている必要があります。そのイベントは、グループポリシーの更新が発生するたびに表示されます。

ローカルアカウント情報が含まれているGPOを検索する場合は、ポリシーでGroups.xmlファイルを検索してください。このような:

$GroupsFiles = Get-ChildItem -Path "\\$Env:UserDNSDomain\SYSVOL" -Recurse -Include Groups.xml

また、これをやめる必要があります。ローカル管理者パスワードをGPOに保存することは[〜#〜]非常に[〜#〜]危険です。それらは可逆暗号化で保存されます。

3
Ryan Ries

質問がわからないかもしれませんが、リモートコンピューターに対してgpresultを実行して、結果をファイルに保存することができます。これにより、GPが最後にコンピューターによって処理されたときに、どのGPOが適用されたかが表示され、そのGPOによってどの設定が適用されたかが表示されます。

0
joeqwerty