утиліта GPResult.exe – являє собою консольний додаток, призначене для аналізу параметрів і діагностики групових політик, які застосовуються до комп’ютера і / або користувачеві в домені Active Directory. Зокрема, GPResult дозволяє отримати дані результуючого набору політик (Resultant Set of Policy, RSOP), перелік застосованих доменних політик (GPO), їх налаштування та детальну інформацію про помилки їх обробки. Утиліта входить до складу ОС Windows починаючи з часів Windows XP. Утиліта GPResult дозволяє відповісти на такі питання: чи застосовується конкретна політика до комп’ютера, яка саме GPO змінила ту чи іншу настройку Windows, розібратися з причинами довгого застосування GPP / GPO.

У цій статті ми розглянемо особливості використання команди GPResult для діагностування роботи і налагодження застосування групових політик в домені Active Directory.

Спочатку для діагностики застосування групових політик в Windows використовувалася графічна консоль RSOP.msc, яка дозволяла отримати настройки результуючих політик (доменних + локальних), застосовані до комп’ютера і користувачеві в графічному вигляді аналогічному консолі редактора GPO (нижче на прикладі уявлення консолі RSOP.msc видно, що настройки оновлень задані політикою WSUS_SERVERS).

консоль результуючої групової політики - RSOP.msc

Однак, консоль RSOP.msc в сучасних версіях Windows використовувати недоцільно, тому що вона не відображає настройки, застосовані різними розширеннями групових політик (client side extensions – CSE), наприклад GPP (Group Policy Preferences), не дозволяє виконувати пошук, надає мало діагностичної інформації. Тому на даний момент саме команда GPResult є основним засобом діагностики застосування GPO в Windows (в Windows 10 навіть з’являється попередження, що RSOP не дає повний звіт на відміну від GPResult).

Використання утиліти GPResult.exe

Команда GPResult виконується на комп’ютері, на якому потрібно перевірити застосування групових політик. Команда GPResult має наступний синтаксис:

GPRESULT [/S <система> [/U <пользователь> [/P <пароль>]]] [/SCOPE <область>]           [/USER <имя_конечного_пользователя>] [/R | /V | /Z] [(/X | /H) <имя_файла> [/F]]

Щоб отримати детальну інформацію про групових політиках, які застосовуються до даному об’єкту AD (користувачеві і комп’ютера), і інших параметрах, що відносяться до інфраструктури GPO (тобто результуючі настройки політик GPO – RsoP), виконайте команду:

Gpresult /r

Результати виконання команди розділені на 2 секції:

  • КОМП’ЮТЕР НАЛАШТУВАННЯ (Конфігурація комп’ютера) – розділ містить інформацію про об’єкти GPO, що діють на комп’ютер (як об’єкт Active Directory);
  • КОРИСТУВАЧ НАЛАШТУВАННЯ – призначений для користувача розділ політик (політики, діючі на обліковий запис користувача в AD).

Коротенько пробіжить по основними параметрами / розділах, які нас можуть зацікавити у висновку GPResult:

  • Сайт Ім’я (Ім’я сайту:) – ім’я сайту AD, в якому знаходиться комп’ютер;
  • CN – повне канонічне користувача / комп’ютера, для якого були згенеровані дані RSoP;
  • Останній час Група Політика було застосовується (Останнє застосування групової політики) – час, коли останнього разу застосовувалися групові політики;
  • Група Політика було застосовується від (Групова політика була застосована с) – контролер домену, з якого була завантажена остання версія GPO;
  • Домен Ім’я и Домен Тип (Ім’я домену, тип домену) – ім’я та версія схеми домену Active Directory;
  • Застосовується Група Політика Об’єкти (Застосовані об’єкти групової політики) – списки діючих об’єктів групової політики;
  • наступні GPO були ні застосовується оскільки Вони були відфільтрований назовні (Наступні політики GPO були застосовані, так як вони відфільтровані) – не застосовані (відфільтровані) GPO;
  • користувач/ комп’ютер є a частина з наступні безпеки групи (Користувач / комп’ютер є членом наступних груп безпеки) – доменні групи, створені учасником.

gpresult -r - діагностика групових політик Active Directory

У нашому прикладі видно, що на об’єкт користувача діють 4 групові політики.

Якщо ви не хочете, щоб в консоль одночасно виводилася інформація і про політиків користувача і про політиків комп’ютера, ви можете за допомогою опції / scope вивести тільки цікавий для вас розділ. Тільки результуючі політики користувача:

gpresult /r /scope:user

або тільки застосовані політики комп’ютера:

gpresult /r /scope:computer

Оскільки утиліта Gpresult виводить свої дані безпосередньо в консоль командного рядка, що буває не завжди зручно для подальшого аналізу, її висновок можна перенаправити в буфер обміну:

Gpresult /r |clip

або текстовий файл:

Gpresult /r > c:gpresult.txt

Щоб вивести сверхподробную інформацію RSOP, потрібно додати ключ / z.

Gpresult /r /z

HTML звіт RSOP за допомогою GPResult

Крім того, утиліта GPResult може згенерувати HTML-звіт по застосованим результуючим політикам (доступно в Windows 7 і вище). В даному звіті міститиметься детальна інформація про всі параметри системи, які задаються груповими політиками і іменами конкретних GPO, які їх поставили (вийшов звіт за структурою нагадує вкладку Settings в консолі управління доменними груповими політиками – GPMC). Згенерувати HTML звіт GPResult можна за допомогою команди:

GPResult /h c:gp-reportreport.html /f

GPResult html звіт з застосованими політиками

Щоб згенерувати звіт і автоматично відкрити його в браузері, виконайте команду:

GPResult /h GPResult.html & GPResult.html

В HTML звіті gpresult міститься досить багато корисної інформації: видно помилки застосування GPO, час обробки (в мс.) І застосування конкретних політик і CSE (в розділі Computer Details -> Component Status). Наприклад, на скріншоті вище видно, що політика Enforce password history з настройками 24 passwords remember застосована політикою Default Domain Policy (стовпець Winning GPO). Як ви бачите, такий звіт HTML набагато зручніше для аналізу застосованих політик, ніж консоль rsop.msc.

Отримання даних GPResult з віддаленого комп’ютера

GPResult може зібрати дані і з віддаленої комп’ютера, позбавляючи адміністратора від необхідності локального або RDP входу на віддалений комп’ютер. Формат команди збору даних RSOP з віддаленого комп’ютера такий:

GPResult /s server-ts1 /r

Аналогічним чином ви можете віддалено зібрати дані як по призначених для користувача політикам, так і по політиками комп’ютера.

Користувач username не має даних RSOP

При включеному UAC запуск GPResult без підвищених привілеїв виводить параметри тільки користувацького розділу групових політик. Якщо потрібно одночасно відобразити обидва розділу (USER SETTINGS і COMPUTER SETTINGS), команду потрібно запускати в командному рядку, запущеної з правами адміністратора. Якщо командний рядок з підвищеними привілеями запущена від імені облікового запису відмінною від поточного користувача системи, утиліта видасть попередження ІНФОРМАЦІЯ: The користувач “Домен користувач”Робить ні мати RSOP даних (Користувач «domain user» не має даних RSOP). Це відбувається тому, що GPResult намагається зібрати інформацію для користувача, її запустив, але тому що даний користувач не виконав вхід (logon) в систему, інформація RSOP для нього відсутня. Щоб зібрати інформацію RSOP по користувачеві з активною сесією, потрібно вказати його обліковий запис:

gpresult /r /user:tnedward

gpresult - групові політики користувача

Якщо ви не знаєте ім’я врахованої записи, яка залягання на віддаленому комп’ютері, обліковий запис можна отримати так:

qwinsta /SERVER:remotePC1

Також перевірте час (і часовий пояс) на клієнті. Час має відповідати часу на PDC (Primary Domain Controller).

Наступні політики GPO були застосовані, так як вони відфільтровані

При траблшутінге групових політик варто також звертати увагу на секцію: The following GPOs were not applied because they were filtered out (Наступні політики GPO були застосовані, так як вони відфільтровані). У цій секції відображається список GPO, які з тієї чи іншої причини не застосовуються до цього об’єкта. Можливі варіанти, за якими політика може не застосовуватися:

  • Фільтрування: Ні Застосовується (Порожній) (Фільтрація: Чи не застосовано (порожньо)) – політика порожня (застосовувати, власне, нічого);
  • Фільтрування: Відмовлено (Невідомо Причина) (Фільтрація: Чи не застосовано (причина невідома)) – швидше за все у користувача або комп’ютера відсутні дозволи на читання / застосування цієї політики (дозволу налаштовуються на вкладці Security в консолі управління доменними GPO – GPMC (Group Policy Management Console);
  • Filtering: Denied (Security) (Фільтрація: Відмовлено (безпеку)) – в секції Apply Group Policy вказано явний заборону в дозволі Apply group policy або об’єкт AD не входить в список груп в розділі Security Filtering налаштувань GPO.Фільтрація групових політик

Також ви можете зрозуміти повинна застосовуватися політика до конкретного об’єкта AD на вкладці ефективних дозволів (Advanced -> Effective Access).

Отже, в цій статті ми розглянули особливості діагностики застосування групових політик за допомогою утиліти GPResult і розглянули типові сценарії її використання.

Leave a Reply

Your email address will not be published. Required fields are marked *