GPResult segédprogram.exe - egy konzol alkalmazás, amelynek célja az Active Directory tartományban lévő számítógépre és / vagy felhasználóra vonatkozó beállítások elemzése és csoportszabályok diagnosztizálása. Különösen a GPResult lehetővé teszi, hogy adatokat szerezzen a létrejövő házirendekből (RSOP), az alkalmazott domain házirendek (GPO) listájáról, azok beállításairól és a feldolgozás során bekövetkező hibákról szóló részletes információkról. A segédprogram a Windows része volt a Windows XP óta. A GPResult segédprogram lehetővé teszi az ilyen kérdések megválaszolását: vonatkozik-e egy adott házirend a számítógépre, amely GPO megváltoztatta ezt vagy azt a Windows beállítást, hogy meghatározzák a GPP / GPO hosszú használatának okait.
Ebben a cikkben megvizsgáljuk a GPResult parancs használatának jellemzőit a munka- és hibakeresési csoportszabályok diagnosztizálására az Active Directory tartományban..
Tartalom:
- A GPResult.exe segédprogram használata
- RSOP HTML jelentés a GPResult használatával
- GPResult adatok fogadása távoli számítógépről
- A felhasználónévnek nincs RSOP-adata
- A következő GPO-házirendeket nem alkalmazták, mert kiszűrésre kerülnek.
Kezdetben az RSOP.msc grafikus konzolt használták a csoportszabályok alkalmazásának diagnosztizálására a Windowsban, amelyek lehetővé tették a kapott házirendek (tartomány + helyi) beállításainak a számítógépre és a felhasználóra történő alkalmazását a GPO szerkesztőkonzolhoz hasonló grafikus formában (lásd az RSOP.msc konzol alábbi példáját, hogy a frissítési beállításokat a WSUS_SERVERS házirend határozza meg).
A Windows modern verzióiban az RSOP.msc konzol azonban nem praktikus. nem tükrözi a különféle ügyféloldali kiterjesztések (CSE) által alkalmazott beállításokat, például a GPP (csoportházirend-beállítások), nem engedélyezi a keresést, és kevés diagnosztikai információt tartalmaz. Ezért jelenleg a GPResult csapata a fő diagnosztikai eszköz a GPO-k használatához Windows-ban (Windows 10-ben még egy figyelmeztetés is megjelenik, hogy az RSOP nem nyújt teljes jelentést, ellentétben a GPResult-lal).
A GPResult.exe segédprogram használata
A GPResult parancs végrehajtásra kerül azon a számítógépen, amelyen ellenőrizni szeretné a csoportházirendek alkalmazását. A GPResult parancs a következő szintaxissal rendelkezik:
GPRESULT [/ S [/ U [/ P]]] [/ HATÓKÖR] [/ FELHASZNÁLÓ] [/ R | / V | / Z] [(/ X | / H) [/ F]]
Az erre az AD objektumra (felhasználó és számítógép) vonatkozó csoportházirendekről és a GPO infrastruktúrához kapcsolódó egyéb paraméterekről (azaz a kapott GPO házirend-beállítások - RsoP) kapcsolatos részletes információk beszerzéséhez futtassa a következő parancsot:
Gpresult / r
A parancs eredményeit 2 részre osztják:
- SZÁMÍTÓGÉPES BEÁLLÍTÁSOK (Számítógépes konfiguráció) - a szakasz információkat tartalmaz a számítógépen működő csoportházirend-objektumokról (Active Directory objektumként);
- USER BEÁLLÍTÁSOK - felhasználói házirendek szakasz (házirendek, amelyek egy felhasználói fiókra vonatkoznak az AD-ben).
Röviden menjen át a fő paraméterekre / szakaszokra, amelyek érdeklődhetnek a GPResult kimenete iránt:
- hely név (Webhely neve :) - annak az AD webhelynek a neve, amelyben a számítógép található;
- CN - a teljes kanonikus felhasználó / számítógép, amelyre RSoP adatokat generáltak;
- utolsó idő csoport politika volt alkalmazott (Utolsó csoportházirend-alkalmazás) - a csoportházirend legutóbbi alkalmazásának ideje;
- csoport politika volt alkalmazott -tól (Csoportházirend került alkalmazásra) - a tartományvezérlő, ahonnan letöltötték a GPO legújabb verzióját;
- domain név és domain Típus (Domain név, domain type) - az Active Directory tartomány séma neve és verziója;
- alkalmazott csoport politika tárgyak (Alkalmazott GPO-k) - A meglévő GPO-k listája
- az következő GPO voltak nem alkalmazott mert ők voltak szűrt ki (A következő GPO-házirendeket nem alkalmazták, mivel kiszűrték őket) - GPO-kat nem használták (szűrték);
- az használó/ számítógép jelentése egy rész az az következő biztonság csoportok (A felhasználó / számítógép a következő biztonsági csoportok tagja.) - Tartománycsoportok, amelyekhez a felhasználó tartozik.
Példánkban látható, hogy 4 csoportházirend hat a felhasználói objektumra.
- Alapértelmezett domain házirend;
- A Windows tűzfal engedélyezése;
- DNS utótag keresési lista;
- Tárolt hitelesítő adatok letiltása.
Ha nem akarja, hogy a konzol egyszerre jelenítsen meg információkat a felhasználói házirendekről és a számítógépes házirendekről, akkor csak a / skála beállítással jelenítheti meg azt a szekciót, amelyet érdekel. Csak ebből eredő felhasználói irányelvek:
gpresult / r / skála: felhasználó
vagy csak alkalmazott számítógépes házirendek:
gpresult / r / skála: számítógép
mert A Gpresult segédprogram az adatokat közvetlenül a parancssori konzolba továbbítja, amely nem mindig megfelelő a további elemzéshez; outputja átirányítható a vágólapra:
Gpresult / r | klip
vagy szöveges fájl:
Gpresult / r> c: \ gpresult.txt
A szuper részletes RSOP információk megjelenítéséhez hozzá kell adnia a / z kapcsolót.
Gpresult / r / z
RSOP HTML jelentés a GPResult használatával
Ezenkívül a GPResult segédprogram HTML jelentést készíthet az alkalmazott eredményszabályokról (Windows 7 vagy újabb verzióban érhető el). Ez a jelentés részletes információkat tartalmaz az összes rendszerparaméterről, amelyet a csoportszabályok állítanak be, és az azokat meghatározó konkrét csoportházirend-objektumok nevét (az eredményül kapott szerkezeti jelentés a GPMC Beállítások lapjára emlékeztet). A GPResult HTML jelentést a következő paranccsal lehet létrehozni:
GPResult / h c: \ gp-report \ report.html / f
Jelentés létrehozásához és a böngészőben való automatikus megnyitásához futtassa a következő parancsot:
GPResult / h GPResult.html és GPResult.html
A gpresult HTML jelentés nagyon sok hasznos információt tartalmaz: a GPO-alkalmazási hibák, a feldolgozási idő (ms-ban megadva), valamint a meghatározott házirendek és a CSE-k alkalmazása (a Computer Details -> Component Status szakaszban) láthatók. Például a fenti képernyőkép azt mutatja, hogy a 24 jelszó-emlékezési beállításokkal rendelkező jelszóelőzmények érvényesítését az Alapértelmezett tartományi házirend alkalmazta (Nyerő GPO oszlop). Mint láthatja, egy ilyen HTML jelentés sokkal kényelmesebb az alkalmazott házirendek elemzésében, mint az rsop.msc konzol.
GPResult adatok fogadása távoli számítógépről
A GPResult adatot is gyűjthet egy távoli számítógépről, kiküszöbölve a távoli számítógéphez történő helyi vagy RDP bejelentkezés szükségességét. Az RSOP adatgyűjtési parancs formázása a távoli számítógépről a következő:
GPResult / s szerver-ts1 / r
Hasonlóképpen távolról is gyűjthet adatokat mind a felhasználói házirendek, mind a számítógépes házirendek számára..
A felhasználónévnek nincs RSOP-adata
Ha az UAC engedélyezve van, a GPResult elindítása emelt jogosultságok nélkül csak a felhasználói csoport házirend szakaszának beállításait jeleníti meg. Ha mindkét szekciót (FELHASZNÁLÓ BEÁLLÍTÁSOK és SZÁMÍTÓGÉP BEÁLLÍTÁSOK) egyszerre szeretné megjeleníteni, akkor a parancsot a rendszergazda jogosultságokkal elindított parancssorban kell futtatnia. Ha a megemelt parancssort a jelenlegi rendszerfelhasználótól eltérő fiók nevében futtatja, a segédprogram figyelmeztetést jelenít meg INFO: A használó „domain\ felhasználó„nem nem van RSoP adat (A "domain \ user" felhasználónak nincs RSOP-adata). Ennek oka az, hogy a GPResult próbál információkat gyűjteni a felhasználótól, aki elindította, de azért mert ez a felhasználó nem jelentkezett be a rendszerbe, nincs RSOP információ számára. Az RSOP információk gyűjtéséhez egy aktív munkamenetű felhasználó számára meg kell adnia a fiókját:
gpresult / r / user: tn \ edward
Ha nem ismeri a távoli számítógépre bejelentkezett fiók nevét, akkor a következőképpen szerezheti be:
qwinsta / SZERVER: remotePC1
Ellenőrizze az időt (és az időzónát) az ügyfélen. Az időnek meg kell egyeznie a PDC-n (elsődleges tartományvezérlő) megadott idővel..
A következő GPO-házirendeket nem alkalmazták, mert kiszűrésre kerülnek.
Amikor a csoportos rendőrség ellenőrzésére is érdemes figyelni, olvassa el a következő részt: A következő GPO-kat nem alkalmazták, mert kiszűrték őket (A következő GPO-kat nem alkalmazták, mert kiszűrték őket). Ez a szakasz azon GPO-k listáját jeleníti meg, amelyek valamilyen okból nem vonatkoznak erre az objektumra. Lehetséges lehetőségek, amelyekre a politika nem vonatkozik:
- szűrő: Nem alkalmazott (üres) (Szűrés: Nincs alkalmazott (üres)) - a politika üres (valójában nincs mit alkalmazni);
- szűrő: Megtagadva (Ismeretlen ok) (Szűrés: Nincs alkalmazott (ok ismeretlen)) - valószínűleg a felhasználó vagy a számítógép nem rendelkezik engedéllyel a házirend olvasásához / alkalmazásához (az engedélyeket a GPO - GPMC (Csoportházirend-kezelő konzol) Biztonság fülén konfigurálják;
- Szűrés: Megtagadva (biztonság) - a Csoportházirend alkalmazása szakaszban egy explicit tiltást jelez a Csoportházirend alkalmazása engedélyben, vagy az AD objektum nem szerepel a GPO-beállítások Biztonsági szűrés szakaszában lévő csoportok listájában..
Azt is megértheti, hogy a házirendet alkalmazni kell-e egy adott AD objektumra a tényleges engedélyek lapon (Speciális -> Hatékony hozzáférés).
Tehát ebben a cikkben megvizsgáltuk a csoportszabályok használatának a GPResult segédprogrammal történő diagnosztizálásának jellemzőit, és megvizsgáltuk annak tipikus forgatókönyveit.