Tím GPResult Diagnostikuje výslednú skupinovú politiku

GPResult Utility.exe - je aplikácia konzoly určená na analýzu nastavení a diagnostiku skupinových politík, ktoré sa vzťahujú na počítač alebo používateľa v doméne služby Active Directory. GPResult vám predovšetkým umožňuje získavať údaje z výslednej sady politík (RSOP), zoznam použitých politík domén (GPO), ich nastavenia a podrobné informácie o chybách v ich spracovaní. Tento nástroj je súčasťou systému Windows od doby systému Windows XP. Obslužný program GPResult vám umožňuje odpovedať na tieto otázky: vzťahuje sa na počítač, ktorý GPO zmenil toto alebo dané nastavenie systému Windows, určitá politika, aby pochopil dôvody dlhodobého používania GPP / GPO.

V tomto článku sa budeme zaoberať funkciami použitia príkazu GPResult na diagnostiku pracovných a ladiacich skupinových politík v doméne Active Directory..

obsah:

  • Používanie pomôcky GPResult.exe
  • Správa RSOP HTML pomocou výsledku GPResult
  • Prijímajte údaje GPResult zo vzdialeného počítača
  • Používateľské meno nemá údaje RSOP
  • Nasledujúce zásady GPO sa neuplatnili, pretože sú odfiltrované.

Grafická konzola RSOP.msc sa pôvodne používala na diagnostikovanie uplatňovania skupinových politík vo Windows, čo umožnilo získať nastavenia výsledných politík (doména + miestne) aplikovaných na počítač a používateľa v grafickej podobe podobnej konzole editora GPO (pozri príklad konzoly RSOP.msc nižšie, že nastavenia aktualizácie sú nastavené podľa pravidiel WSUS_SERVERS).

Konzola RSOP.msc v moderných verziách systému Windows však nie je praktická. neodráža nastavenia, ktoré používajú rôzne klientske rozšírenia (CSE), napríklad GPP (Group Policy Preferences), nepovoľuje vyhľadávanie, poskytuje len málo diagnostických informácií. Preto je v súčasnosti tím GPResult hlavným diagnostickým nástrojom na používanie GPO v systéme Windows (v systéme Windows 10 sa dokonca objaví varovanie, že RSOP na rozdiel od GPResult nedáva úplnú správu).

Používanie pomôcky GPResult.exe

Príkaz GPResult sa vykoná na počítači, na ktorom chcete skontrolovať aplikáciu skupinových politík. Príkaz GPResult má nasledujúcu syntax:

GPRESULT [/ S [/ U [/ P]]] [/ SCOPE] [/ USER] [/ R | / V | / Z] [(/ X | / H) [/ F]]

Ak chcete získať podrobné informácie o skupinových politikách, ktoré sa vzťahujú na tento objekt AD (užívateľ a počítač), a ďalších parametroch týkajúcich sa infraštruktúry GPO (t. J. Výsledné nastavenia politiky GPO - RsoP), spustite príkaz:

Gpresult / r

Výsledky príkazu sú rozdelené do 2 sekcií:

  • COMPUTER NASTAVENIE (Konfigurácia počítača) - časť obsahuje informácie o GPO pôsobiacich na počítači (ako objekt Active Directory);
  • USER NASTAVENIE - sekcia užívateľských pravidiel (pravidlá, ktoré sa vzťahujú na používateľský účet v službe AD).

Stručne prejdite hlavné parametre / sekcie, ktoré by nás mohli zaujímať o výstup GPResult:

  • site názov (Názov lokality :) - názov miesta AD, na ktorom sa nachádza počítač;
  • CN - úplný kanonický užívateľ / počítač, pre ktorý boli vygenerované údaje RSoP;
  • posledná čas skupina politika bol aplikovaný  (Posledná aplikácia skupinovej politiky) - čas, kedy sa naposledy uplatnili skupinové politiky;
  • skupina politika bol aplikovaný z (Skupinová politika bola použitá) - radič domény, z ktorého bola stiahnutá najnovšia verzia GPO;
  • doména názov a doména typ (Názov domény, typ domény) - názov a verzia schémy domény služby Active Directory;
  • aplikovaný skupina politika objektov (Použité GPO) - Zoznamy existujúcich GPO
  • nasledujúce GPO boli nie aplikovaný pretože oni boli filtrovaný von (Nasledujúce pravidlá GPO sa neuplatňujú, pretože sú odfiltrované) - GPO neboli použité (filtrované);
  • užívateľ/ počítač je časť z nasledujúce zabezpečenia skupiny (Používateľ / počítač je členom nasledujúcich bezpečnostných skupín) - skupiny domén, ktorých je užívateľ členom.

V našom príklade je vidieť, že na objekt používateľa pôsobia 4 skupinové politiky.

  • Predvolená politika domény;
  • Povoliť bránu Windows Firewall;
  • Zoznam vyhľadávania prípon DNS;
  • Zakázať medzipamäť poverenia.

Ak nechcete, aby konzola zobrazovala informácie o používateľských politikách a počítačových politikách súčasne, pomocou možnosti / rozsah môžete zobraziť iba časť, o ktorú máte záujem. Iba výsledné pravidlá pre používateľov:

gpresult / r / range: user

alebo boli použité iba počítačové pravidlá:

gpresult / r / rozsah: počítač

pretože Obslužný program Gpresult odovzdá svoje údaje priamo do konzoly príkazového riadku, čo nie je vždy vhodné na ďalšiu analýzu, jeho výstup môže byť presmerovaný do schránky:

Gpresult / r | klip

alebo textový súbor:

Gpresult / r> c: \ gpresult.txt

Ak chcete zobraziť veľmi podrobné informácie RSOP, musíte pridať prepínač / z.

Gpresult / r / z

Správa RSOP HTML pomocou výsledku GPResult

Okrem toho môže pomôcka GPResult vygenerovať správu HTML o aplikovaných výsledných politikách (k dispozícii vo Windows 7 a novších). Táto správa bude obsahovať podrobné informácie o všetkých systémových parametroch, ktoré sú nastavené skupinovými politikami, a názvy konkrétnych GPO, ktoré ich nastavujú (výsledná správa o štruktúre sa podobá karte Nastavenia v GPMC). GPResult HTML report môže byť vygenerovaný príkazom:

GPResult / h c: \ gp-report \ report.html / f

Ak chcete vygenerovať prehľad a automaticky ho otvoriť v prehliadači, spustite príkaz:

GPResult / h GPResult.html a GPResult.html

Gpresult HTML report obsahuje pomerne veľa užitočných informácií: Chyby aplikácie GPO, čas spracovania (v ms) a viditeľné sú aplikácie špecifických politík a VVN (v časti Podrobnosti o počítači -> Stav komponentov). Napríklad vyššie uvedený obrázok ukazuje, že zásada Vynútiť históriu hesla s nastaveniami zapamätania 24 hesiel sa uplatňuje v predvolenej politike domény (stĺpec Víťazný GPO). Ako vidíte, takáto správa HTML je oveľa pohodlnejšia na analýzu aplikovaných politík ako konzola rsop.msc.

Prijímajte údaje GPResult zo vzdialeného počítača

GPResult môže tiež zhromažďovať údaje zo vzdialeného počítača, čo eliminuje potrebu lokálneho alebo RDP prihlásenia do vzdialeného počítača. Formát príkazu na zber údajov RSOP zo vzdialeného počítača je nasledujúci:

GPResult / s server-ts1 / r

Podobne môžete vzdialene zbierať údaje pre užívateľské aj počítačové pravidlá..

Používateľské meno nemá údaje RSOP

Ak je povolený UAC, pri spustení GPResult bez zvýšených oprávnení sa zobrazia nastavenia iba časti politiky skupiny používateľov. Ak chcete súčasne zobraziť obe sekcie (UŽÍVATEĽSKÉ NASTAVENIA a NASTAVENIA POČÍTAČOV), musíte spustiť príkaz na príkazovom riadku spustenom s právami správcu. Ak je príkazový riadok so zvýšenými príkazmi spustený v mene iného účtu ako je súčasný používateľ systému, pomôcka zobrazí upozornenie INFO: užívateľ "doména\ user"áno nie mať RSOP dáta (Používateľ "doména \ používateľ" nemá údaje RSOP). Je to preto, že GPResult sa snaží zhromažďovať informácie pre používateľa, ktorý ich spustil, ale preto tento užívateľ sa neprihlásil do systému, nie sú k dispozícii žiadne informácie o RSOP. Ak chcete zhromažďovať informácie RSOP pre používateľa s aktívnou reláciou, musíte zadať jeho účet:

gpresult / r / user: tn \ edward

Ak nepoznáte názov účtu, ktorý je prihlásený do vzdialeného počítača, účet môžete získať takto:

qwinsta / SERVER: remotePC1

Skontrolujte aj čas (a časové pásmo) na klientovi. Čas by mal zodpovedať času v primárnom radiči domény (PDC).

Nasledujúce zásady GPO sa neuplatnili, pretože sú odfiltrované.

Keď skupinová polícia tiež stojí za pozornosť venovať sa tejto časti: Nasledujúce GPO sa neuplatňovali, pretože boli odfiltrované (Nasledujúce GPO sa neuplatňovali, pretože boli odfiltrované). V tejto časti je uvedený zoznam objektov zásad skupiny, ktoré sa z tohto dôvodu na tento objekt nevzťahujú. Možné možnosti, na ktoré sa politika nemusí vzťahovať:

  • filtrovanie: Nie aplikovaný (prázdny) (Filtrovanie: Nepoužije sa (prázdne)) - politika je prázdna (v skutočnosti sa nič neuplatňuje);
  • filtrovanie: Odmietnuté (Neznáme dôvod) (Filtrovanie: Neuplatňuje sa (neznáma príčina)) - s najväčšou pravdepodobnosťou používateľ alebo počítač nemá oprávnenie čítať / uplatňovať túto politiku (povolenia sú nakonfigurované na karte Zabezpečenie v GPO - GPMC (Console Management Console);
  • Filtrovanie: zamietnuté (zabezpečenie) - v časti Použiť skupinovú politiku je výslovný zákaz uvedený v povolení skupinovej politiky Použiť alebo objekt AD nie je zahrnutý do zoznamu skupín v časti Filtrovanie zabezpečenia v nastaveniach GPO..

Na karte Efektívne oprávnenia (Rozšírené -> Efektívny prístup) môžete tiež pochopiť, či sa má politika uplatňovať na konkrétny objekt AD..

V tomto článku sme preto preskúmali vlastnosti diagnostiky používania skupinových politík pomocou nástroja GPResult a preskúmali typické scenáre jeho použitia..