在Active Directory和SYSVOL中标识组策略对象

在对组策略的应用进行问题排查时，可能有必要验证 Active Directory 中是否有适当的对象，并验证文件结构在复制组策略 (GPO) 的每个域控制器上的 SYSVOL 中是否正确无误。

此过程中的一项关键内容是与 GPO 相关联的全局唯一标识符 (GUID)。本文讨论如何用 GPO 的 GUID 来标识 GPO。

使用 GPO 的属性确定 GPO 的 GUID

1.	使用“Active Directory 用户和计算机”或“Active Directory 站点和服务”管理工具，在 Active Directory 中的域、站点或组织单元对象的上下文菜单上单击属性。
2.	单击组策略选项卡，单击 GPO，然后单击属性。唯一的名称字段包含选定 GPO 的 GUID。另外还要注意域字段。这就是 GPO 的存储位置，即使它可能被其他域使用（被链接到其他域）。

在系统卷上标识基于文件的 GPO 结构

1.	在上面标识的域中的域控制器上，确定哪个驱动器托管系统卷 (Sysvol)。
2.	使用 Windows 资源管理器，打开 Sysvol 文件夹。
3.	其中包含以下文件夹：Domain、Staging、Staging Areas 和 Sysvol。更改到 Sysvol 文件夹。
4.	其中应该有一个名称为本地域控制器所属域的域名称的文件夹。更改到以下文件夹： Sysvol 的路径/Sysvol/域名/Policies。 应该存在与在域中创建的每个 GPO 相对应的、由其 GUID 作为标识的文件夹。
5.	打开由在本文的上一节中记下的 GPO 的 GUID 标识的文件夹。

备注：系统卷上的组策略结构包含一个 Gpt.ini 文件，其中包含（GPO 的）版本信息和其他可选数据。另外，基于文件的策略分成 Machine 和 User 文件夹，每个文件夹都有相应的策略。正在使用软件策略（管理模板）时，还可能存在 Adm 文件夹。


如不访问给定 GPO 的属性，管理员还可以使用其他方法来获取已知 GPO 的 GUID，或者获取管理员拥有其相关 GUID 的 GPO 的友好名称。

使用 Search.vbs 在 Active Directory 中标识 GPO

Search.vbs 是一种 Microsoft Visual Basic 脚本，它包括在 Windows 2000 零售光盘上的 Support/Tools/Support.cab 文件中。可使用此脚本在 Active Directory 中执行 LDAP 搜索，并显示结果或将结果输出到一个文本文件中。

如要将 GPO 名称解析为 GUID，请键入

cscript search.vbs "LDAP://dc=mydomain,dc=com" /C:"&(objectClass=groupPolicyContainer)(displayName=Default Domain Policy)" /P:name /S:SubTree

其中 mydomain 和 com 是正确的域名。

输出结果显示找到的对象数（在本例中应该只有一个 - 一个特定的 GPO）并显示找到的各对象的 Name 属性的值。例如：

Finished the query.
Found 1 objects.
name 1 = {31B2F340-016D-11D2-945F-00C04FB984F9}

To resolve a GUID to the name of a GPO, type

cscript search.vbs "LDAP://dc= mydomain ,dc= com " /C:"&(objectClass=groupPolicyContainer)(name={ 31B2F340-016D-11D2-945F-00C04FB984F9 })" /P:displayName /S:SubTree

将 mydomain 和 com 替换为正确的域名，将 31B2F340-016D-11D2-945F-00C04FB984F9 替换为相应的 GUID。

输出结果显示找到的对象数（在本例中应该只有一个 - 一个特定的 GPO）并显示找到的各对象的 DisplayName 属性的值（在“管理工具”中看到的友好名称）。例如：

Finished the query.Found 1 objects. displayName 1 = Default Domain Policy

使用 Ldp.exe 在 Active Directory 中标识 GPO

备注：Ldp.exe 是资源工具包中的工具，它用于在 Active Directory 中查看并修改对象及其属性。还有其他工具可用于实现同样的目的。

1.	从 Windows 2000 零售光盘上的 Support/Reskit/Netmgmt/Dstool 文件夹运行 Ldp.exe。
2.	在 Connection（连接）菜单上，单击 Connect（连接）。
3.	键入服务器的名称，验证 port（端口）设置为 389，单击清除 Connectionless（无连接）复选框，然后单击 OK（确定）。在完成连接之后，特定于服务器的数据将显示在右窗格中。
4.	在 Connection（连接）菜单上，单击 Bind（绑定）。在相应的框中键入用户名、密码和域名（采用 DNS 格式）（您可能需要选中 Domain（域）复选框），然后单击 OK（确定）。如果绑定成功，在右窗格中应该能看到类似于“Authenticated as dn:'YourUserID'”的消息。
5.	在 Browse（浏览）菜单上，单击 Search（搜索）。
6.	在 Base DN（基础 DN）框中，键入 dc=mydomain,dc=com 将 mydomain 和 com 替换为适当的域名。
7.	在 Filter（筛选器）框中，键入 (&(objectClass=groupPolicyContainer)(name={ 31B2F340-016D-11D2-945F-00C04FB984F9 })) 如果您拥有 GUID 并且要查找 GPO 的友好名称，请将 31B2F340-016D-11D2-945F-00C04FB984F9 替换为相应的 GUID。 或者，键入 (&(objectClass=groupPolicyContainer)(displayName= 默认组策略)) 如果您拥有友好名称且需要解析 GUID，请将默认组策略 替换为适当的 GPO 名称。
8.	在 Scope（作用域）框中，单击 Subtree（子树）。
9.	单击 Options（选项）。在 Attributes（属性）框中，如果您拥有 GUID 并且要查找友好名称，请键入 displayName，如果您拥有 GPO 名称且需要解析 GUID，请键入 name。
10.	接受所有其他默认值，单击 OK（确定），然后单击 Run（运行）。在完成查询之后，所找到的对象的辨别名 (DN)（在本例中应该只有一个）以及在查询中请求的属性的值应显示在右窗格中。

<iframe align="center" marginwidth="0" marginheight="0" src="http://www.zealware.com/csdnblog.html" frameborder="0" width="728" scrolling="no" height="90"></iframe>