Использование инструмента GPResult для проверки того, какие объекты групповой политики применяются
GPResult.exe — это консольный административный инструмент, предназначенный для анализа и диагностики параметров групповой политики, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные RSOP (Resultant Set of Policy), список применённых политик домена (GPO), их настройки и подробную информацию об ошибках при обработке GPO. Этот инструмент является частью ОС Windows, начиная с Windows XP. Инструмент GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какой объект групповой политики изменил конкретную настройку Windows и как устранить проблемы с медленной обработкой GPO/GPP?
В этой статье мы рассмотрим нюансы использования команды GPResult для диагностики производительности и отладки групповых политик в домене Active Directory.
В более ранних версиях Windows для диагностики применения групповых политик на стороне клиента использовалась графическая консоль RSOP.msc, что позволяло получать результирующие параметры политики (домен + локальный), которые применяются к компьютеру и пользователю в графической форме, аналогичной консоли редактора GPO.
Однако консоль RSOP.msc непрактична для использования в современных версиях Windows, поскольку она не отображает настройки, применяемые различными расширениями групповой политики (client-side extensions, CSE), такими как GPP (Group Policy Preferences, предпочтения групповой политики), не позволяет искать среди настроек, не обеспечивает достаточно диагностической информации (в Windows 10 даже появляется предупреждение о том, что RSOP не даёт полного отчёта, в отличие от GPResult). Таким образом, команда GPResult сегодня является основным инструментом для выполнения диагностики GPO в Windows.
Как использоваться инструментом Group Policy Results (GPResult.exe)?
Команду GPResult необходимо запустить на компьютере, на котором вы хотите проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:
GPRESULT [/S <система> [/U <пользователь> [/P <пароль>]]] [/SCOPE <область>] [/USER <имя_конечного_пользователя>] [/R | /V | /Z] [(/X | /H) <имя_файла> [/F]]
Чтобы получить подробную информацию о групповых политиках, применённых к пользователю или компьютеру, а также о других параметрах, относящихся к инфраструктуре GPO (итоговые параметры политики GPO — RsoP), выполните следующую команду:
Gpresult / r
Результаты этой команды разделены на два раздела:
- Конфигурация компьютера — раздел содержит информацию об объектах GP, применённых к компьютеру (как объект Active Directory);
- Конфигурация пользователя — это раздел политики пользователя (политики, применённые к учётной записи пользователя AD).
Давайте кратко рассмотрим основные настройки/разделы в выходных данных GPResult, которые могут нас заинтересовать:
- Имя сайта — это имя сайта AD, на котором расположен компьютер;
- CN — полное каноническое имя пользователя/компьютера, для которого были сгенерированы данные RSoP;
- Последнее применение групповой политики — время последнего применения групповых политик;
- Групповая политика была применена с — это имя контроллера домена, с которого была загружена последняя версия GPO;
- Имя домена и Тип домена — это имя и номер версии схемы домена Active Directory;
- Примененные объекты групповой политики — это списки применённых объектов групповой политики;
- Следующие политики GPO не были применены, так как они отфильтрованы — это объекты групповой политики, которые не применялись или были отфильтрованы;
- Пользователь является членом следующих групп безопасности — это группы домена, членом которых является пользователь.
В этом примере вы можете видеть, что к объекту пользователя применены 4 групповые политики.
- Disable Cached Credentials (Отключить кешированные учётные данные);
- DNS Suffix Search List (Список поиска DNS-суффиксов);
- Enable Windows Firewall (Включить брандмауэр Windows);
- Default Domain Policy (Политика домена по умолчанию).
Если вы не хотите одновременно отображать информацию о политиках пользователя и компьютера, вы можете использовать параметр /scope, чтобы отображать только нужный раздел. Только результирующая политика пользователя:
gpresult /r /scope:user
или только применяемые компьютерные политики:
gpresult /r /scope:computer
Поскольку инструмент Gpresult отображает свои данные непосредственно в командной строке, что не всегда удобно для дальнейшего анализа, вывод можно перенаправить в буфер обмена:
Gpresult /r | clip
или текстовый файл:
Gpresult /r > c:\ps\gpresult.txt
Чтобы отобразить сверхдетальную информацию RSOP, вам нужно добавить ключ /z:
Gpresult /r /z
Отчёт RSoP HTML с использованием GPResult
GPResult также может генерировать HTML-отчёт о применённых результирующих политиках (доступно в Windows 7 и выше). Этот отчёт содержит подробную информацию обо всех системных настройках, которые задаются групповыми политиками, и названиями определённых объектов групповой политики, которые их установили (по своей структуре этот отчёт напоминает вкладку Настройки в Консоли управления групповыми политиками — gpmc.msc) . Вы можете сгенерировать HTML-отчет GPResult, используя команду:
GPResult /h c:\PS\gpo-report.html /f
Чтобы сгенерировать отчёт и автоматически открыть его в браузере, выполните следующую команду:
GPResult /h GPResult.html & GPResult.html
HTML-отчет gpresult содержит довольно много полезной информации: вы можете увидеть ошибки, возникшие во время применения объектов групповой политики, время обработки (в мс) для определённых политик и CSE (в разделе Computer Details → Component Status section («Сведения о компьютере» → «Состояние компонента»)). Как видите, этот HTML-отчёт gpresult намного удобнее для анализа применяемых политик, чем rsop.msc.
Как запустить GPResult на удалённом компьютере?
GPResult также может собирать данные с удалённого компьютера без необходимости локального входа в удалённую систему или через RDP. Команда для сбора RSOP с удалённого компьютера выглядит так:
GPResult /s ИМЯ-УДАЛЁННОГО-КОМПЬЮТЕРА1 /r
Точно так же вы можете удалённо собирать данные как о пользовательских, так и о компьютерных политиках.
У пользователя нет данных RSoP
Когда UAC включён и GPResult используется в режиме без повышенных прав, отображается только раздел пользовательских настроек групповых политик. Если вам нужно, чтобы отображались оба раздела (Конфигурация пользователя и Конфигурация компьютера), команда должна быть запущена в командной строке с правами администратора. Если командная строка с повышенными привилегиями запускается от имени учётной записи, отличной от текущего пользователя, инструмент покажет предупреждение: INFO: The user “domain\user” does not have RSOP data (ИНФОРМАЦИЯ: пользователь «домен\пользователь» не имеет данных RSOP). Это происходит из-за того, что GPResult пытается собрать данные пользователя, запустившего его, но поскольку этот пользователь не вошёл в систему, для него нет информации RSOP. Чтобы получить информацию RSOP от пользователя с активным сеансом, вам необходимо указать его учётную запись:
gpresult /r /user:ДОМЕН\ПОЛЬЗОВАТЕЛЬ
Если вы не знаете имя учётной записи, для которой выполнен вход на удалённый компьютер, вы можете получить такое имя пользователя:
qwinsta /SERVER:ИМЯ-УДАЛЁННОГО-КОМПЬЮТЕРА1
Также проверьте время (и часовой пояс) на клиенте. Время должно совпадать со временем на контроллере домена.
Следующие политики GPO не были применены, так как они отфильтрованы
При устранении неполадок с групповыми политиками стоит обратить внимание на раздел: Следующие политики GPO не были применены, так как они отфильтрованы
Он содержит список объектов групповой политики, которые по какой-либо причине не применяются к этому объекту. Вот несколько причин, по которым политики не применяются:
- Filtering: Not Applied (Empty), в русифицированной версии «Фильтрация: Не применяется (пусто)» – политика пуста (применять нечего);
-
Filtering: Denied (Unknown Reason), в русифицированной версии «Фильтрация: отклонено (неизвестная причина)» – пользователь/компьютер, скорее всего, не имеет разрешения на чтение/применение этой политики (разрешения можно настроить на вкладке «Безопасность» в Консоли управления групповой политикой
Вы также можете понять, следует ли применять политику к конкретному объекту AD, используя вкладку действующих разрешений (Advanced → Effective Access) в GPMC (консоли управления групповыми политиками). - Filtering: Denied (Security), в русифицированной версии «Фильтрация: Запрещено (Безопасность)» – явный отказ указывается в разделе Apply Group Policy («Применить групповую политику»), или объект AD отсутствует в списке групп в разделе «Фильтрация безопасности» объекта групповой политики.
Итак, в данной статье мы рассмотрели особенности диагностики применения групповых политик с помощью инструмента GPResult и рассмотрели основные сценарии его использования.
Все опции: GPResult
GPResult отображает результирующую политику (RSoP) для указанного пользователя и компьютера.
Использование:
GPRESULT [/S <система> [/U <пользователь> [/P <пароль>]]] [/SCOPE <область>] [/USER <имя_конечного_пользователя>] [/R | /V | /Z] [(/X | /H) <имя_файла> [/F]]
Список параметров:
/S <система> Подключаемый удаленный компьютер. /U [<домен>\]<пользователь> Указание пользовательского контекста, в котором должна выполняться эта команда. Нельзя использовать с /X и /H. /P [<пароль>] Пароль для этого пользовательского контекста. Запрос данных, если они не указаны. Невозможно использовать с /X и /H. /SCOPE <область> Определение области отображения данных: параметры пользователя или компьютера. Допустимые значения: "USER", "COMPUTER". /USER [<домен>\]<пользователь> Пользовательский контекст, для которого следует отображать данные RSoP. /X <имя_файла> Сохранение отчета в XML-формате в расположении и с именем файла, заданным параметром <имя_файла>. (Допустимо в Windows Vista с пакетом обновления 1 (SP1) и выше, а также в Windows Server 2008 и выше) /H <имя_файла> Сохранение отчета в HTML-формате в расположении и с именем файла, заданным параметром <имя_файла>. (Допустимо в Windows Vista с пакетом обновления 1 (SP1) и выше, а также в Windows Server 2008 и выше) /F Указывает программе Gpresult перезаписать файл с именем, указанным в команде /X или /H. /R Отображение сводных данных RSoP. /V Отображение подробной информации. Подробная информация содержит сведения о параметрах, примененных с приоритетом 1. /Z Отображение сверхподробной информации. Сверхподробная информация содержит сведения о параметрах, примененных с приоритетом 1 и выше. Это позволяет увидеть, не был ли параметр задан одновременно в нескольких местах. Более подробная информация приведена в справке по групповой политике. /? Вывод справки по использованию.
Примеры запуска GPRESULT:
GPRESULT /R GPRESULT /H GPReport.html GPRESULT /USER targetusername /V GPRESULT /S system /USER targetusername /SCOPE COMPUTER /Z GPRESULT /S system /U username /P password /SCOPE USER /V
Связанные статьи:
- Устранение неполадок: групповая политика (GPO) не применяется (100%)
- Устранение неполадок, связанных с медленной обработкой GPO и снижением скорости входа в систему (100%)
- Актуализация настроек групповой политики на компьютерах домена Windows (90.3%)
- Настройка политики паролей домена в Active Directory (66.2%)
- Fine-Grained Password Policy: Как создать детальную политику паролей в Active Directory (66.2%)
- Управление группами Active Directory с помощью PowerShell (RANDOM - 50%)