GPResult Utility.eXE - aplikacija na konzoli namijenjena je analiziranju postavki i dijagnosticiranju pravila grupe koja se primjenjuju na računalo i / ili korisnika u domeni Active Directory. Konkretno, GPResult vam omogućuje dobivanje podataka iz Resultantskog skupa pravila (RSOP), popisa primijenjenih pravila domene (GPO), njihovih postavki i detaljnih informacija o pogreškama u njihovoj obradi. Ovaj uslužni program dio je Windowsa još od vremena Windows XP. Uslužni program GPResult omogućuje odgovaranje na takva pitanja: primjenjuje li se određeno računalo na računalo, koji je GPO promijenio ovu ili onu postavku sustava Windows, da biste razumjeli razloge dugog korištenja GPP / GPO-a.
U ovom ćemo članku razmotriti značajke korištenja naredbe GPResult za dijagnosticiranje pravila rada i pogrešaka skupina u domeni Active Directory..
sadržaj:
- Korištenje uslužnog programa GPResult.exe
- RSOP HTML izvješće pomoću GPResulta
- Primanje podataka GPResult s udaljenog računala
- Korisničko ime nema RSOP podatke
- Sljedeća GPO pravila nisu primijenjena jer su filtrirana.
U početku se grafička konzola RSOP.msc koristila za dijagnosticiranje primjene grupnih pravila u sustavu Windows, što je omogućilo dobivanje postavki rezultirajućih pravila (domena + lokalno) primijenjene na računalo i korisnika u grafičkom obliku sličnom konzoli za uređivač GPO (vidi primjer konzole RSOP.msc, dolje, da su postavke ažuriranja postavljene WSUS_SERVERS pravilom).
Međutim, RSOP.msc konzola u modernim verzijama sustava Windows nije praktična za korištenje. ne odražava postavke koje primjenjuju različita proširenja na strani klijenta (CSE), na primjer GPP (postavke grupe), ne dopušta pretraživanje i pruža malo dijagnostičkih informacija. Stoga je trenutno GPResult tim glavni dijagnostički alat za korištenje GPO-a u sustavu Windows (u sustavu Windows 10 pojavljuje se čak upozorenje da RSOP ne daje cjelovit izvještaj, za razliku od GPResult-a).
Korištenje uslužnog programa GPResult.exe
Naredba GPResult izvršava se na računalu na kojem želite provjeriti primjenu pravila grupe. Naredba GPResult ima sljedeću sintaksu:
GPRESULT [/ S [/ U [/ P]]] [/ SCOPE] [/ USER] [/ R | / V | / Z] [(/ X | / H) [/ F]]
Da biste dobili detaljne informacije o grupnim pravilima koja se primjenjuju na ovaj objekt AD (korisnika i računala) i drugim parametrima povezanim s GPO infrastrukturom (tj. Rezultirajućim postavkama GPO pravila - RsoP), pokrenite naredbu:
Gpresult / r
Rezultati naredbe podijeljeni su u 2 odjeljka:
- RAČUNALA POSTAVKE (Konfiguracija računala) - Odjeljak sadrži informacije o GPO-ovima koji djeluju na računalu (kao objekt Active Directory);
- KORISNIKA POSTAVKE - odjeljak s pravilima o korisnicima (pravila koja se odnose na korisnički račun u AD-u).
Kratko prođite glavne parametre / odjeljke koji bi nas mogli zanimati u ishodu GPResulta:
- mjesto ime (Naziv stranice :) - naziv stranice AD na kojoj se nalazi računalo;
- CN - potpuni kanonski korisnik / računalo za koje su generirani RSoP podaci;
- posljednji vrijeme grupa politika je bio primijenjen (Zadnja prijava za grupnu politiku) - vrijeme posljednje primjene pravila grupe;
- grupa politika je bio primijenjen od (Primijenjeno je grupno pravilo) - kontroler domene s kojeg je preuzeta najnovija verzija GPO-a;
- domena ime i Domena vrsta (Naziv domene, vrsta domene) - naziv i verzija sheme domena Active Directory;
- primijenjen grupa politika objekti (Primijenjeni GPO-ovi) - Popisi postojećih GPO-ova
- sljedeći GPO su nije primijenjen jer oni su filtriran van (Sljedeća GPO pravila nisu primjenjena otkad su filtrirana) - GPO-ovi se ne primjenjuju (filtriraju);
- korisnik/ računalo je dio od sljedeći sigurnosti grupe (Korisnik / računalo član je sljedećih skupina sigurnosti) - grupe domena kojima je korisnik član.
U našem primjeru vidi se da četiri grupna pravila djeluju na objekt korisnika.
- Zadana pravila domene;
- Omogući Windows vatrozid;
- Popis za pretraživanje sufiksa DNS;
- Onemogući vjerodajnice u predmemoriranju.
Ako ne želite da konzola istovremeno prikazuje informacije o korisničkim pravilima i pravilima računala, možete prikazati samo onaj odjeljak koji vas zanima koristeći opciju / obseg. Samo rezultirajuća korisnička pravila:
gpresult / r / doseg: korisnik
ili se primjenjuju samo računalna pravila:
gpresult / r / domet: računalo
jer Uslužni program Gpresult svoje podatke izvodi izravno na konzoli naredbenog retka, što nije uvijek prikladno za daljnju analizu; njegov se izlaz može preusmjeriti u međuspremnik:
Gpresult / r | isječak
ili tekstualna datoteka:
Gpresult / r> c: \ gpresult.txt
Za prikaz super detaljnih RSOP informacija, morate dodati / z prekidač.
Gpresult / r / z
RSOP HTML izvješće pomoću GPResulta
Pored toga, uslužni program GPResult može generirati HTML izvješće o primijenjenim rezultirajućim pravilima (dostupno na Windows 7 i novijim verzijama). Ovo izvješće sadržavat će detaljne informacije o svim parametrima sustava koje postavljaju pravila grupe i nazivima određenih GPO-a koji su ih postavili (rezultirajuće izvješće o strukturi podsjeća na karticu Postavke u GPMC-u). HTML izvješće GPResult može se generirati pomoću naredbe:
GPResult / h c: \ gp-report \ report.html / f
Da biste generirali izvještaj i automatski ga otvorili u pregledniku, pokrenite naredbu:
GPResult / h GPResult.html i GPResult.html
HTML izvješće gpresult sadrži prilično korisnih informacija: vidljive su pogreške u GPO aplikaciji, vrijeme obrade (u ms) i primjena posebnih pravila i CSE (u odjeljku Detalji računala -> Status komponente). Na primjer, gornja snimka zaslona pokazuje da se zadano Pravilo domene (stupac Pobjednički GPO) primjenjuje pravilo Povijest povijesti lozinke s 24 lozinke za pamćenje. Kao što vidite, takvo HTML izvješće mnogo je prikladnije za analizu primijenjenih politika od konzole rsop.msc.
Primanje podataka GPResult s udaljenog računala
GPResult također može prikupljati podatke s udaljenog računala, eliminirajući potrebu za lokalnom ili RDP prijavom na udaljeno računalo. Format naredbe za prikupljanje podataka RSOP s udaljenog računala je sljedeći:
GPResult / s server-ts1 / r
Slično tome, možete na daljinsko prikupljanje podataka kako za korisnička pravila tako i za računalna pravila..
Korisničko ime nema RSOP podatke
Kad je omogućen UAC, pokretanje GPResulta bez povišenih privilegija prikazuje postavke samo odjeljka s politikama korisničkih grupa. Ako želite istovremeno prikazati oba odjeljka (USER SETTINGS i COMPUTER SETTINGS), trebate pokrenuti naredbu u naredbenoj liniji koja je pokrenuta s administratorskim pravima. Ako se povišeni naredbeni redak pokreće u ime računa koji nije trenutni korisnik sustava, uslužni program će prikazati upozorenje INFO: The korisnik „domena\ korisnik„ne nije su RSOP podaci (Korisnik "domena \ korisnik" nema RSOP podatke). To je zato što GPResult pokušava prikupiti podatke za korisnika koji ga je pokrenuo, ali zato ovaj korisnik nije se prijavio u sustav, nema RSOP informacija za njega. Za prikupljanje podataka o RSOP-u za korisnika s aktivnom sesijom trebate navesti njegov račun:
gpresult / r / korisnik: tn \ edward
Ako ne znate ime računa koji je prijavljen na udaljeno računalo, račun se može dobiti ovako:
qwinsta / SERVER: daljinskiPC1
Provjerite i vrijeme (i vremensku zonu) na klijentu. Vrijeme treba odgovarati vremenu na PDC-u (primarni kontroler domene).
Sljedeća GPO pravila nisu primijenjena jer su filtrirana.
Kada je grupno policijsko djelo također vrijedno obratiti pažnju na odjeljak: Sljedeći GPO-i nisu primijenjeni jer su filtrirani (Sljedeći GPO-i nisu primijenjeni jer su filtrirani). U ovom se odjeljku prikazuje popis GPO-a koji se iz ovih ili onih razloga ne odnose na ovaj objekt. Moguće opcije na koje se pravilo možda ne primjenjuje:
- filtriranje: Ne primijenjen (prazno) (Filtriranje: Nije primijenjeno (prazno)) - politika je prazna (u stvari se nema što primijeniti);
- filtriranje: Odbijeno (Nepoznato razlog) (Filtriranje: Nije primijenjeno (nepoznati uzrok)) - najvjerojatnije korisnik ili računalo nemaju dopuštenja za čitanje / primjenu ovog pravila (dopuštenja su konfigurirana na kartici Sigurnost na GPO - GPMC (Konzola za upravljanje grupnim politikama);
- Filtriranje: Odbijeno (sigurnost) - u odjeljku Primjena pravila grupe pravila izričita je zabrana navedena u dopuštanju pravila za primjenu grupe ili objekt AD nije uključen na popis grupa u odjeljku Sigurnosno filtriranje u GPO postavkama..
Također možete shvatiti treba li pravilo primijeniti na određeni objekt AD na kartici efektivnih dozvola (Napredni -> učinkovit pristup).
Dakle, u ovom smo članku ispitali značajke dijagnosticiranja uporabe grupnih pravila pomoću alata GPResult i ispitali tipične scenarije njegove uporabe.
