Active Directory 组策略对象报表
所有组策略对象及关联AD对象
此处提供活动目录中所有组策略对象的列表。
工作原理:通过查询LDAP中所有objectClass设置为groupPolicyContainer的对象生成报表,即"objectClass=groupPolicyContainer"
查看报表:点击报表 > GPO 报表 > 所有 GPO 及关联对象。选择域后点击生成。
最近创建的 GPO 报表
此报表提供在过去"n"天内新建的组策略对象及其关联的Active Directory对象列表。
工作原理:通过查询LDAP中createTimeStamp字段大于或等于指定时间的对象生成报表,即"createTimeStamp>=指定时间"。
查看报表时,请选择域、输入天数并点击生成。
最近修改的组策略对象报表
本报表提供过去"n"天内最近修改的组策略对象及其关联的Active Directory对象列表。
工作原理:通过查询LDAP中修改时间戳大于或等于指定时间的记录生成报表,即"modifyTimeStamp>=SpecifiedTime"。
要查看报表,请选择域,输入天数,然后单击“生成”。
频繁修改的计算机设置 GPO 报表
此报表提供包含频繁修改计算机设置的组策略对象列表。
工作原理:通过查询LDAP中versionNumber属性生成报表;当计算机设置被修改时,版本号也会相应变更。
要查看报表,请选择域,输入 GPO 数量,然后单击“生成”。
频繁修改的用户设置组策略对象报表
本报表提供包含频繁修改的用户设置的组策略对象列表。
工作原理:通过查询LDAP中的versionNumber属性生成报表;当用户设置被修改时,版本号也会相应变更。
要查看报表,请选择域,输入 GPO 数量,然后单击“生成”。
频繁修改的组策略对象报表
本报表提供频繁修改的组策略对象列表。
工作原理:通过查询LDAP中的versionNumber属性生成报表;当计算机设置被修改时,版本号也会相应变更。
要查看报表,请选择域,输入 GPO 数量,然后单击“生成”。
- 域关联 GPO 报表
- OU关联GPO报表
- 站点关联的组策略对象报表
- 阻止继承的GPO容器报表
- 含脚本的组策略对象
- 比较 GPO 版本
- 链接的组策略对象报表
- 直接和继承的GPO链接
- 链接到空OU的GPO
- 强制性组策略对象报表
域关联组策略对象报表
此报表提供与域关联的组策略对象列表。
工作原理:通过查询LDAP获取所有与域对象关联的GPO,通过对所有GPO重复搜索生成报表。
要查看报表,请选择域并单击生成。
OU 关联 GPO 报表
此报表提供链接到组织单位的组策略对象列表。
工作原理:通过查询LDAP获取所有与域对象关联的GPO,并重复搜索所有GPO来生成报表。
要查看报表,请选择域并单击生成。
站点关联的组策略对象报表
此报表提供链接到任何站点的组策略对象列表。
工作原理:通过查询LDAP获取所有链接到任何站点的GPO,并重复搜索所有GPO来生成报表。
要查看报表,请选择域并单击生成。
GPO 阻止继承容器报表
本报表列出了所有已阻止GPO设置继承的对象(域/站点/组织单位)。
要查看报表,请选择域并单击生成。
含脚本的GPO
本报表列出了所有至少配置了登录、注销、启动和关机脚本中的至少一项的组策略对象。
工作原理:该报表通过查询LDAP中所有objectClass设置为groupPolicyContainer的对象生成,即查询条件为"objectClass=groupPolicyContainer and (|(gPCMachineExtensionNames=*{40B6664F-4972-11D1-A7CA-0000F87571E3}*)(gPCUserExtensionNames=*{40B66650-4972-11D1-A7CA-0000F87571E3}*))
要查看报表,请单击“报表”>“GPO 报表”>“GPO 范围报表”>“带脚本的 GPO 报表”。选择域后单击“生成”。
比较 GPO 版本
该报表列出了目标组策略对象在Active Directory和SYSVOL中的用户和计算机版本。
查看报表:点击报表 > GPO 报表 > GPO 范围报表 > 比较 GPO 版本报表。选择域并点击生成。
注意:若仅需列出版本不一致的GPO,请勾选"仅显示不一致的GPO"选项。
关联GPO报表
本报表获取域中与OU/站点关联的GPO信息。
工作原理:通过查询LDAP中"gpLink"属性非空的OU/站点生成此报表。
查看报表步骤:
请点击报表 > GPO 报表 > GPO 范围报表 > 链接 GPO 报表。选择域及 OU/站点后点击生成。
直接与继承的GPO链接
本报表获取所有直接链接至所选OU和站点的主机策略对象信息,以及从所选OU父级结构(直至根域)继承而来的主机策略对象信息。
工作原理:本报表通过查询LDAP服务器生成,筛选条件为所选OU或站点中"gpLink"属性非空的组策略对象。
查看报表方法:
- 导航至“报表”选项卡,点击“GPO报表”。
- 在“GPO作用域报表”下,点击“直接与继承GPO链接报表”。
- 选择需要查看其GPO的域、组织单位和站点,然后点击生成。
注意:当 OU 启用阻止继承时,本报表仅获取该 OU 层级的继承信息。但若父级强制执行组策略,则强制执行的 GPO 链接将优先显示在报表中。
链接至空OU的GPO
本报表展示链接至无安全主体OU的GPO,并提供禁用/移除链接等管理选项。
工作原理:通过查询LDAP获取所有关联GPO的OU,随后检查这些OU确保其直接或嵌套OU中均不存在安全主体。
查看报表:
- 导航至报表 > GPO 范围报表 > 链接到空 OU 的 GPO。
- 选择要执行报表的域。
- 单击生成。
强制实施的GPO报表
本报表列出选定OU、站点或域上的强制性GPO链接,并提供解除链接、禁用或移除强制执行的管理操作。
工作原理:该报表通过查询LDAP服务器,识别选定OU、站点或域中标记为强制执行的GPO,防止优先级较低的冲突GPO应用其设置。
查看报表:
- 导航至“报表”选项卡,点击“GPO报表”。
- 在“GPO 范围报表”下,点击“强制实施的 GPO 报表”。
- 选择要查看其强制实施GPO的域、OU和站点,然后点击生成。
已禁用组策略对象报表
本报表提供所有已禁用GPO的列表。计算机配置和用户配置设置均处于禁用状态。
工作原理:通过查询LDAP中所有objectClass设为groupPolicyContainer且标志值为3的对象生成报表(即"objectClass=groupPolicyContainer"且flag=3)。
查看报表时,请选择域并点击生成。
计算机设置禁用GPO报表
本报表列出计算机设置被禁用的组策略对象。
工作原理:通过查询LDAP中objectClass为groupPolicyContainer且标志值为3或2的对象生成报表,即查询条件为"objectClass=groupPolicyContainer" ( |(flags=3)(flags=2))。
要查看报表,请选择域并单击生成。
用户设置禁用组策略对象报表
本报表提供用户设置被禁用的组策略对象列表。
工作原理:通过查询 LDAP 中设置为 groupPolicyContainer 的 "objectClass" 且标志值为 3 或 1的对象生成报表,即"objectClass=groupPolicyContainer"(|(flags=3)(flags=1))。
要查看报表,请选择域并单击“生成”。
未关联的组策略对象报表
本报表获取域内未关联至任何容器的GPO列表。
工作原理:通过查询LDAP中域内未关联至其他对象的所有GPO,并重复搜索所有GPO来生成报表。
要查看报表,请选择域并单击生成。
具有非活动策略设置的 GPO
本报表列出在禁用用户和计算机配置中配置了策略设置的组策略对象。
工作原理:本报表通过PowerShell查询生成。
查看报表步骤:
请依次点击报表 > GPO 报表 > GPO 状态报表 > 具有非活动策略设置的 GPO。选择域并点击生成。
GPO 委派报表
本报表可查看具有所选组策略对象访问权限的安全主体,并提供安全筛选器的详细信息。
工作原理:通过查询LDAP获取所有选定GPO,并从包含委派信息的nTSecurityDescriptor属性中筛选所需数据生成报表。
查看报表路径:点击报表 > GPO报表 > GPO状态报表 > GPO委派报表。选择域及GPO对象,点击生成。
GPO设置报表
该报表列出了所选GPO中用户配置和计算机配置的所有管理模板、安全设置(账户策略、本地策略、事件日志、受限组、系统服务、注册表和文件系统)以及GPO首选项设置(环境、文件、文件夹、Ini文件)。
工作原理:本报表通过PowerShell查询生成。
查看报表路径:报表 > GPO报表 > GPO设置报表 > GPO设置。选择目标域及需查看设置的GPO,点击生成。
报表生成后,可通过右上角选项在分层视图与表格视图间切换。
注意:生成此报表时,ADManager Plus服务器将通过其配置设置,与所选域的域控制器建立远程PowerShell连接。 若连接失败,系统将自动将该域控制器添加至ADManagerPlus安装服务器的可信主机列表,并重新尝试连接。若仍失败,产品将依次尝试连接配置列表中的下一个域控制器,直至成功连接至已添加的域控制器之一。
具有特定设置的组策略对象
本报表可查看所有或选定组策略对象中特定管理模板与安全设置(账户策略、本地策略、事件日志、受限组、系统服务、注册表及文件系统)的数值。
工作原理:通过查询所有选定GPO中的指定设置生成报表。
查看报表路径:报表 > GPO报表 > GPO设置报表 > 具有特定设置的GPO。选择所需域、GPO及要查看的设置项,点击生成。
空GPO报表
使用此报表获取。
- 显示所选GPO中空GPO的列表,或
- 域内所有空组策略对象的列表。
查看报表步骤:
导航至报表 > GPO 报表 > GPO 设置报表 > 空 GPO 报表。选择域和 GPO 后点击生成。
组策略对象比较报表
使用此报表比较Active Directory中不同GPO的策略模板和安全设置(账户策略、本地策略、事件日志、受限组、系统服务、注册表及文件系统)。可通过筛选器优化结果。
工作原理:本报表通过PowerShell查询生成。
查看报表步骤:
导航至报表 > GPO 报表 > GPO 设置报表 > GPO 比较报表。选择要比较的域和 GPO,点击生成。
策略结果集报表
本报表获取应用于所选用户和计算机的以下策略设置:管理模板策略设置、安全设置(账户策略、本地策略、事件日志、受限组、系统服务、注册表和文件系统)以及GPO首选项(环境、文件、文件夹、Ini文件)。
工作原理:本报表通过PowerShell查询生成。
查看此报表:
导航至报表 > GPO 报表 > GPO 设置报表 > 结果策略集。选择要查看其策略设置的目标域、计算机和用户。启用“显示用户设置”和/或“显示计算机设置”选项以包含相应设置,然后点击生成。
注意:仅当域凭据已在域设置中配置时,才能生成此报表。
GPO建模报表
ManageEngine ADManager Plus中的GPO建模报表可模拟将应用于所选用户和计算机的潜在管理模板设置、安全设置(账户策略、本地策略、事件日志、受限组、系统服务、注册表及文件系统)以及GPO首选项(环境、文件、文件夹、Ini文件)。
工作原理:本报表通过PowerShell查询生成。
生成报表步骤:
- 登录 ADManager Plus 并导航至“报表”选项卡。
- 在左侧窗格中,点击GPO 报表。
- 在“GPO设置报表”下,点击“GPO建模报表”。
- 选择目标域及需查看设置的用户/计算机,点击生成。
- 点击“高级”选项,根据需要进一步筛选搜索范围,选择指定用户和计算机所属的位置、站点及安全组。
注意:仅当域凭据已在域设置中配置时才能生成此报表。