請問電腦安全性原則(gpedit.msc，rsop.msc)問題

ad windows gpedit.msc rsop.msc

klm2242 2023-08-07 10:40:51 ‧ 2124 瀏覽

分享至

想請問各位前輩，我使用Windows作業系統
有加入AD，若我想查看電腦安全性的話，是要以gpedit.msc(本機原則)為主還是以rsop.msc(群組原則)為主呢??

兩者差別在哪??

如果我今天電腦沒加入domain的話，我想我應該是直接以查看本機原則(gpedit.msc)為主即可，但若是今天我電腦已加入了domain裡面的話，就會變成有兩種身份有本機跟群組的，那這樣子的話，電腦會以那一種原則為主呢?

PIZZ iT邦新手 2 級 ‧ 2023-08-07 11:19:26 檢舉

GPT 大神開釋：

在使用Windows作業系統並加入AD（Active Directory）時，您可以使用gpedit.msc和rsop.msc這兩個工具來查看電腦安全性設定，但它們有不同的用途和重點。

gpedit.msc（本機原則）：
gpedit.msc是用來管理本機原則的工具，即僅影響該特定電腦的安全設定。它允許您查看和設定這台電腦上的安全性和配置選項，而這些設定僅對本地用戶和電腦有效，不會影響到域中其他計算機的設定。
使用gpedit.msc時，您可以設定各種安全性選項，例如密碼政策、帳戶鎖定策略、使用者權限等。這些設定對這台電腦上的本地用戶和群組有效。

rsop.msc（群組原則結果集）：
rsop.msc則是用來查看群組原則結果集的工具。群組原則是在Active Directory環境中使用的集中式管理工具，可對多台計算機上的使用者和電腦進行統一的安全設定。
使用rsop.msc時，您可以查看特定用戶或計算機的群組原則結果集，這包括該用戶或計算機受到的所有群組原則設定。這些設定是由網域控制器提供的，因此它們影響到特定用戶或計算機在整個域內的安全性和配置。

總結來說：

如果您想查看並設定這台電腦本身的安全性設定，使用gpedit.msc（本機原則）。
如果您想查看這台電腦在網域中受到的群組原則設定，使用rsop.msc（群組原則結果集）。
根據您的需求，您可以根據情況選擇使用這兩個工具之一，或者兩者結合使用來查看和管理您的電腦安全性。

Sujira iT邦新手 4 級 ‧ 2023-08-09 13:46:03 檢舉

兩個都看, rsop優先於gpedit
gpo沒設定的地方, 在rsop會顯示未設定
但有可能從gpedit做了設定所以都要看

阿摔 iT邦新手 3 級 ‧ 2023-08-10 17:08:34 檢舉

先推gpresult /h C:\Temp\gpreport.html 產出html檔案

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

花輪

iT邦大師 1 級 ‧ 2023-08-09 14:56:46

GPO 會有 Domain、Site、OU 三個層級(按優先順序套用)，所以在加入 AD 的情況下就應以 RSOP 為主。
所以，如果在 domain 內某項目上看到的 "未設定"，不代表在 Site or OU 內沒設定，更何況 OU 還可能會有巢狀或隸屬多個 OU 的情況。
local policy 一般是針對未加入 AD 的電腦，已加入 AD 的通常不會去設定這裡(會設定不完)，除非有少數特殊條件的電腦。這是 AD 管理人員的基本常識。