Nástroj GPResult Utility.exe - je aplikace konzoly určená k analýze nastavení a diagnostice skupinových zásad, které se vztahují na počítač a / nebo uživatele v doméně Active Directory. GPResult vám zejména umožňuje získávat data z výsledné sady zásad (RSOP), seznam použitých zásad domény (GPO), jejich nastavení a podrobné informace o chybách při jejich zpracování. Tento nástroj je součástí systému Windows od doby systému Windows XP. Obslužný program GPResult vám umožní odpovědět na tyto otázky: vztahuje se na počítač, který GPO změnil toto nastavení nebo nastavení systému Windows, konkrétní zásada, aby pochopil důvody pro dlouhodobé používání GPP / GPO.
V tomto článku se budeme zabývat funkcemi použití příkazu GPResult k diagnostice zásad práce a ladění skupin v doméně Active Directory..
Obsah:
- Použití nástroje GPResult.exe
- Hlášení RSOP HTML pomocí GPResult
- Příjem dat GPResult ze vzdáleného počítače
- Uživatelské jméno nemá data RSOP
- Následující zásady GPO nebyly použity, protože jsou odfiltrovány.
Grafická konzola RSOP.msc byla zpočátku použita k diagnostice aplikace skupinových zásad ve Windows, což umožnilo získat nastavení výsledných politik (doména + místní) aplikovaných na počítač a uživatele v grafické podobě podobné konzoli editoru GPO (viz příklad konzoly RSOP.msc níže, že nastavení aktualizace jsou nastaveny podle zásad WSUS_SERVERS).
Konzola RSOP.msc v moderních verzích systému Windows však není praktická. neodráží nastavení použitá různými klientskými rozšířeními (CSE), například GPP (Group Policy Preferences), neumožňuje vyhledávání a poskytuje jen málo diagnostických informací. Proto je v současnosti tým GPResult hlavním diagnostickým nástrojem pro použití GPO ve Windows (v systému Windows 10 se dokonce objeví varování, že RSOP nedává úplnou zprávu, na rozdíl od GPResult).
Použití nástroje GPResult.exe
Příkaz GPResult se provede v počítači, na kterém chcete zkontrolovat aplikaci skupinových zásad. Příkaz GPResult má následující syntaxi:
GPRESULT [/ S [/ U [/ P]]] [/ SCOPE] [/ USER] [/ R | / V | / Z] [(/ X | / H) [/ F]]
Chcete-li získat podrobné informace o zásadách skupiny, které se vztahují na tento objekt AD (uživatel a počítač), a dalších parametrech souvisejících s infrastrukturou GPO (tj. Výsledné nastavení zásad GPO - RsoP), spusťte příkaz:
Gpresult / r
Výsledky příkazu jsou rozděleny do 2 sekcí:
- POČÍTAČ NASTAVENÍ (Konfigurace počítače) - sekce obsahuje informace o GPO působících na počítač (jako objekt Active Directory);
- UŽIVATEL NASTAVENÍ - sekce uživatelských zásad (zásady, které se vztahují na uživatelský účet v AD).
Stručně projděte hlavní parametry / sekce, které nás mohou zajímat o výstup GPResult:
- Web Jméno (Název webu :) - název serveru AD, ve kterém je počítač umístěn;
- CN - plný kanonický uživatel / počítač, pro který byla vygenerována data RSoP;
- Poslední čas Skupina Zásady byl aplikováno (Poslední aplikace zásad skupiny) - čas, kdy byly zásady skupiny naposledy použity;
- Skupina Zásady byl aplikováno z (Zásady skupiny byly použity s) - řadič domény, ze kterého byla stažena nejnovější verze GPO;
- Doména Jméno a doména Typ (Název domény, typ domény) - název a verze schématu domény služby Active Directory;
- Aplikováno Skupina Zásady Objekty (Použité GPO) - Seznamy existujících GPO
- následující GPO byly ne aplikováno protože oni byly filtrováno ven (Následující zásady GPO nebyly použity, protože jsou odfiltrovány) - GPO nebyly použity (filtrovány);
- uživatel/ počítač je a část z následující bezpečnost skupiny (Uživatel / počítač je členem následujících skupin zabezpečení) - skupiny domén, kterých je uživatel členem.
V našem příkladu je vidět, že na objekt uživatele působí 4 skupinové zásady.
- Výchozí zásady domény;
- Povolit bránu Windows Firewall;
- Seznam hledání přípon DNS;
- Zakázat pověření s mezipamětí.
Pokud nechcete, aby konzole zobrazovala informace o uživatelských zásadách a počítačových zásadách současně, můžete pomocí možnosti / obor zobrazit pouze část, o kterou máte zájem. Pouze výsledné uživatelské zásady:
gpresult / r / obor: uživatel
nebo jsou použity pouze počítačové zásady:
gpresult / r / obor: počítač
Protože Nástroj Gpresult předává svá data přímo do konzoly příkazového řádku, což není vždy vhodné pro další analýzu, jeho výstup lze přesměrovat do schránky:
Gpresult / r | klip
nebo textový soubor:
Gpresult / r> c: \ gpresult.txt
Chcete-li zobrazit velmi podrobné informace RSOP, musíte přidat přepínač / z.
Gpresult / r / z
Hlášení RSOP HTML pomocí GPResult
Kromě toho může obslužný program GPResult vygenerovat zprávu HTML o použitých výsledných zásadách (k dispozici ve Windows 7 a novějších). Tato zpráva bude obsahovat podrobné informace o všech systémových parametrech, které jsou nastaveny skupinovými zásadami, a názvy konkrétních objektů GPO, které je nastavují (výsledná zpráva o struktuře se podobá kartě Nastavení v GPMC). GPResult HTML report lze vygenerovat příkazem:
GPResult / h c: \ gp-report \ report.html / f
Chcete-li vygenerovat sestavu a automaticky ji otevřít v prohlížeči, spusťte příkaz:
GPResult / h GPResult.html & GPResult.html
Zpráva gpresult HTML obsahuje poměrně mnoho užitečných informací: Chyby aplikace GPO, doba zpracování (v ms) a aplikace konkrétních zásad a CSE (v části Podrobnosti o počítači -> Stav komponenty) jsou viditelné. Například výše uvedený obrázek ukazuje, že zásady Vynucení historie hesla s 24 pamětí nastavení hesla se použijí pomocí výchozí zásady domény (sloupec Výherní GPO). Jak vidíte, taková zpráva HTML je pro analýzu aplikovaných politik mnohem pohodlnější než konzola rsop.msc.
Příjem dat GPResult ze vzdáleného počítače
GPResult může také shromažďovat data ze vzdáleného počítače, což eliminuje potřebu místního nebo RDP přihlášení ke vzdálenému počítači. Formát příkazu RSOP pro sběr dat ze vzdáleného počítače je následující:
GPResult / s server-ts1 / r
Podobně můžete vzdáleně shromažďovat data pro uživatelské zásady i počítačové zásady..
Uživatelské jméno nemá data RSOP
Když je povoleno UAC, spuštění GPResult bez zvýšených oprávnění zobrazí nastavení pouze sekce zásad skupiny uživatelů. Pokud chcete zobrazit obě sekce (USER SETTINGS a COMPUTER SETTINGS) současně, musíte spustit příkaz na příkazovém řádku spuštěném s právy správce. Pokud je zvýšená příkazová řádka spuštěna jménem jiného účtu, než je aktuální uživatel systému, obslužný program zobrazí varování INFO: The uživatel "Doména."\ user„Ano ne mít RSOP data (Uživatel "doména \ uživatel" nemá data RSOP). Je to proto, že GPResult se snaží shromažďovat informace pro uživatele, který je spustil, ale protože tento uživatel se nepřihlásil do systému, pro něj nejsou žádné informace RSOP. Chcete-li shromažďovat informace RSOP pro uživatele s aktivní relací, musíte zadat jeho účet:
gpresult / r / user: tn \ edward
Pokud neznáte název účtu, který je přihlášen ke vzdálenému počítači, účet lze získat takto:
qwinsta / SERVER: remotePC1
Zkontrolujte také čas (a časové pásmo) na klientovi. Čas by měl odpovídat času na PDC (primární řadič domény).
Následující zásady GPO nebyly použity, protože jsou odfiltrovány.
Při skupinové kontrole byste také měli věnovat pozornost části: Následující GPO nebyly použity, protože byly odfiltrovány (Následující GPO nebyly použity, protože byly filtrovány). V této části je uveden seznam objektů zásad skupiny, které se z tohoto důvodu na tento objekt nevztahují. Možné možnosti, na které se politika nemusí vztahovat:
- Filtrování: Ne Aplikováno (Prázdné) (Filtrování: Není použito (prázdné)) - politika je prázdná (ve skutečnosti není nic použitelné);
- Filtrování: Odepřeno (Neznámé Důvod) (Filtrování: Není použito (neznámá příčina)) - s největší pravděpodobností uživatel nebo počítač nemá oprávnění ke čtení / použití této zásady (oprávnění jsou konfigurována na kartě Zabezpečení v GPO - GPMC (Group Policy Management Console);
- Filtrování: Odepřeno (Zabezpečení) - v části Použít zásady skupiny je výslovný zákaz uveden v oprávnění Použít zásady skupiny nebo objekt AD není zahrnut do seznamu skupin v části Filtrování zabezpečení v nastavení GPO.
Na kartě Efektivní oprávnění (Upřesnit -> Efektivní přístup) můžete také pochopit, zda by měla být zásada použita na konkrétní objekt AD..
V tomto článku jsme tedy zkoumali funkce diagnostiky používání skupinových politik pomocí obslužného programu GPResult a zkoumali typické scénáře jeho použití..