утиліта GPResult.exe - є консольний додаток, призначене для аналізу параметрів і діагностики групових політик, які застосовуються до комп'ютера і / або користувачеві в домені Active Directory. Зокрема, GPResult дозволяє отримати дані результуючого набору політик (Resultant Set of Policy, RSOP), перелік застосованих доменних політик (GPO), їх налаштування та детальну інформацію про помилки їх обробки. Утиліта входить до складу ОС Windows починаючи з часів Windows XP. Утиліта GPResult дозволяє відповісти на такі питання: чи застосовується конкретна політика до комп'ютера, яка саме GPO змінила ту чи іншу настройку Windows, розібратися з причинами довгого застосування GPP / GPO.
У цій статті ми розглянемо особливості використання команди GPResult для діагностування роботи і налагодження застосування групових політик в домені Active Directory.
зміст:
- Використання утиліти GPResult.exe
- HTML звіт RSOP за допомогою GPResult
- Отримання даних GPResult з віддаленого комп'ютера
- Користувач username не має даних RSOP
- Наступні політики GPO були застосовані, так як вони відфільтровані
Спочатку для діагностики застосування групових політик в Windows використовувалася графічна консоль RSOP.msc, яка дозволяла отримати настройки результуючих політик (доменних + локальних), застосовані до комп'ютера і користувачеві в графічному вигляді аналогічному консолі редактора GPO (нижче на прикладі уявлення консолі RSOP.msc видно, що настройки оновлень задані політикою WSUS_SERVERS).
Однак, консоль RSOP.msc в сучасних версіях Windows використовувати недоцільно, тому що вона не відображає настройки, застосовані різними розширеннями групових політик (client side extensions - CSE), наприклад GPP (Group Policy Preferences), не дозволяє виконувати пошук, надає мало діагностичної інформації. Тому на даний момент саме команда GPResult є основним засобом діагностики застосування GPO в Windows (в Windows 10 навіть з'являється попередження, що RSOP не дає повний звіт на відміну від GPResult).
Використання утиліти GPResult.exe
Команда GPResult виконується на комп'ютері, на якому потрібно перевірити застосування групових політик. Команда GPResult має наступний синтаксис:
GPRESULT [/ S [/ U [/ P]]] [/ SCOPE] [/ USER] [/ R | / V | / Z] [(/ X | / H) [/ F]]
Щоб отримати детальну інформацію про групових політиках, які застосовуються до даному об'єкту AD (користувачеві і комп'ютера), і інших параметрах, що відносяться до інфраструктури GPO (тобто результуючі настройки політик GPO - RsoP), виконайте команду:
Gpresult / r
Результати виконання команди розділені на 2 секції:
- COMPUTER SETTINGS (Конфігурація комп'ютера) - розділ містить інформацію про об'єкти GPO, що діють на комп'ютер (як об'єкт Active Directory);
- USER SETTINGS - призначений для користувача розділ політик (політики, діючі на обліковий запис користувача в AD).
Коротенько пробіжить по основними параметрами / розділах, які нас можуть зацікавити у висновку GPResult:
- Site Name (Ім'я сайту:) - ім'я сайту AD, в якому знаходиться комп'ютер;
- CN - повне канонічне користувача / комп'ютера, для якого були згенеровані дані RSoP;
- Last time Group Policy was applied (Останнє застосування групової політики) - час, коли останній раз застосовувалися групові політики;
- Group Policy was applied from (Групова політика була застосована с) - контролер домену, з якого була завантажена остання версія GPO;
- Domain Name і Domain Type (Ім'я домену, тип домену) - ім'я та версія схеми домену Active Directory;
- Applied Group Policy Objects (Застосовані об'єкти групової політики) - списки діючих об'єктів групової політики;
- The following GPOs were not applied because they were filtered out (Наступні політики GPO були застосовані, так як вони відфільтровані) - не застосовані (відфільтровані) GPO;
- The user/ computer is a part of the following security groups (Користувач / комп'ютер є членом наступних груп безпеки) - доменні групи, створені учасником.
У нашому прикладі видно, що на об'єкт користувача діють 4 групові політики.
- Default Domain Policy;
- Enable Windows Firewall;
- DNS Suffix Search List;
- Disable Cached Credentials.
Якщо ви не хочете, щоб в консоль одночасно виводилася інформація і про політиків користувача і про політиків комп'ютера, ви можете за допомогою опції / scope вивести тільки цікавий для вас розділ. Тільки результуючі політики користувача:
gpresult / r / scope: user
або тільки застосовані політики комп'ютера:
gpresult / r / scope: computer
Оскільки утиліта Gpresult виводить свої дані безпосередньо в консоль командного рядка, що буває не завжди зручно для подальшого аналізу, її висновок можна перенаправити в буфер обміну:
Gpresult / r | clip
або текстовий файл:
Gpresult / r> c: \ gpresult.txt
Щоб вивести сверхподробную інформацію RSOP, потрібно додати ключ / z.
Gpresult / r / z
HTML звіт RSOP за допомогою GPResult
Крім того, утиліта GPResult може згенерувати HTML-звіт по застосованим результуючим політикам (доступно в Windows 7 і вище). В даному звіті міститиметься детальна інформація про всі параметри системи, які задаються груповими політиками і іменами конкретних GPO, які їх поставили (вийшов звіт за структурою нагадує вкладку Settings в консолі управління доменними груповими політиками - GPMC). Згенерувати HTML звіт GPResult можна за допомогою команди:
GPResult / h c: \ gp-report \ report.html / f
Щоб згенерувати звіт і автоматично відкрити його в браузері, виконайте команду:
GPResult / h GPResult.html & GPResult.html
В HTML звіті gpresult міститься досить багато корисної інформації: видно помилки застосування GPO, час обробки (в мс.) І застосування конкретних політик і CSE (в розділі Computer Details -> Component Status). Наприклад, на скріншоті вище видно, що політика Enforce password history з настройками 24 passwords remember застосована політикою Default Domain Policy (стовпець Winning GPO). Як ви бачите, такий звіт HTML набагато зручніше для аналізу застосованих політик, ніж консоль rsop.msc.
Отримання даних GPResult з віддаленого комп'ютера
GPResult може зібрати дані і з віддаленої комп'ютера, позбавляючи адміністратора від необхідності локального або RDP входу на віддалений комп'ютер. Формат команди збору даних RSOP з віддаленого комп'ютера такий:
GPResult / s server-ts1 / r
Аналогічним чином ви можете віддалено зібрати дані як по призначених для користувача політикам, так і по політиками комп'ютера.
Користувач username не має даних RSOP
При включеному UAC запуск GPResult без підвищених привілеїв виводить параметри тільки користувацького розділу групових політик. Якщо потрібно одночасно відобразити обидва розділу (USER SETTINGS і COMPUTER SETTINGS), команду потрібно запускати в командному рядку, запущеної з правами адміністратора. Якщо командний рядок з підвищеними привілеями запущена від імені облікового запису відмінною від поточного користувача системи, утиліта видасть попередження INFO: The user "domain\ user"does not have RSOP data (Користувач «domain \ user» не має даних RSOP). Це відбувається тому, що GPResult намагається зібрати інформацію для користувача, її запустив, але тому що даний користувач не виконав вхід (logon) в систему, інформація RSOP для нього відсутня. Щоб зібрати інформацію RSOP по користувачеві з активною сесією, потрібно вказати його обліковий запис:
gpresult / r / user: tn \ edward
Якщо ви не знаєте ім'я врахованої записи, яка залягання на віддаленому комп'ютері, обліковий запис можна отримати так:
qwinsta / SERVER: remotePC1
Також перевірте час (і часовий пояс) на клієнті. Час має відповідати часу на PDC (Primary Domain Controller).
Наступні політики GPO були застосовані, так як вони відфільтровані
При траблшутінге групових політик варто також звертати увагу на секцію: The following GPOs were not applied because they were filtered out (Наступні політики GPO були застосовані, так як вони відфільтровані). У цій секції відображається список GPO, які з тієї чи іншої причини не застосовуються до цього об'єкта. Можливі варіанти, за якими політика може не застосовуватися:
- Filtering: Not Applied (Empty) (Фільтрація: Чи не застосовано (порожньо)) - політика порожня (застосовувати, власне, нічого);
- Filtering: Denied (Unknown Reason) (Фільтрація: Чи не застосовано (причина невідома)) - швидше за все у користувача або комп'ютера відсутні дозволи на читання / застосування цієї політики (дозволу налаштовуються на вкладці Security в консолі управління доменними GPO - GPMC (Group Policy Management Console);
- Filtering: Denied (Security) (Фільтрація: Відмовлено (безпеку)) - в секції Apply Group Policy вказано явний заборону в дозволі Apply group policy або об'єкт AD не входить в список груп в розділі Security Filtering налаштувань GPO.
Також ви можете зрозуміти повинна застосовуватися політика до конкретного об'єкта AD на вкладці ефективних дозволів (Advanced -> Effective Access).
Отже, в цій статті ми розглянули особливості діагностики застосування групових політик за допомогою утиліти GPResult і розглянули типові сценарії її використання.