GPResult Utility.exe - je konzola, namenjena analiziranju nastavitev in diagnosticiranju skupinskih pravil, ki veljajo za računalnik in / ali uporabnika v domeni Active Directory. Zlasti GPResult vam omogoča, da dobite podatke iz nabora pravilnikov (RSOP), seznama uporabljenih pravil domene (GPO), njihovih nastavitev in podrobnih informacij o napakah pri njihovi obdelavi. Pripomoček je del sistema Windows že od časa Windows XP. Pomožni program GPResult vam omogoča, da odgovorite na takšna vprašanja: ali se v računalniku uporablja poseben pravilnik, kateri GPO je spremenil to ali tisto nastavitev sistema Windows, če želite razumeti razloge za dolgo uporabo GPP / GPO.
V tem članku bomo preučili značilnosti uporabe ukaza GPResult za diagnosticiranje pravil o delu in odpravljanju napak v skupini Active Directory..
Vsebina:
- Uporaba pripomočka GPResult.exe
- RSOP HTML poročilo z uporabo GPResult
- Prejemanje podatkov GPResult iz oddaljenega računalnika
- Uporabniško ime nima RSOP podatkov
- Naslednjih pravilnikov GPO niso uporabili, ker so filtrirani.
Sprva je bila grafična konzola RSOP.msc uporabljena za diagnosticiranje uporabe skupinskih politik v sistemu Windows, kar je omogočilo pridobivanje nastavitev izhajajočih pravilnikov (domena + lokalno), ki se uporabljajo za računalnik in uporabnika, v grafični obliki, podobni konzoli urejevalnika GPO (glejte spodnji primer konzole RSOP.msc, da so nastavitve posodobitve nastavljene s pravilnikom WSUS_SERVERS).
Vendar konzola RSOP.msc v sodobnih različicah sistema Windows ni uporabna. ne odraža nastavitev, ki jih uporabljajo različne razširitve na strani odjemalca (CSE), na primer GPP (Group Policy Preferences), ne omogoča iskanja in ponuja malo diagnostičnih informacij. Zato je trenutno skupina GPResult glavno diagnostično orodje za uporabo GPO-jev v sistemu Windows (v sistemu Windows 10 se celo pojavi opozorilo, da RSOP ne daje popolnega poročila, za razliko od GPResult).
Uporaba pripomočka GPResult.exe
Ukaz GPResult se izvede v računalniku, v katerem želite preveriti uporabo skupinskih pravilnikov. Ukaz GPResult ima naslednjo skladnjo:
GPRESULT [/ S [/ U [/ P]]] [/ SCOPE] [/ USER] [/ R | / V | / Z] [(/ X | / H) [/ F]]
Če želite dobiti podrobne informacije o skupinskih pravilnikih, ki veljajo za ta objekt AD (uporabnik in računalnik), in drugih parametrih, povezanih z infrastrukturo GPO (tj. Nastale nastavitve pravilnika GPO - RsoP), zaženite ukaz:
Gpresult / r
Rezultati ukaza so razdeljeni na 2 oddelka:
- RAČUNALNIK NASTAVITVE (Konfiguracija računalnika) - v razdelku so informacije o skupnih uporabnikih, ki delujejo na računalniku (kot predmet Active Directory);
- UPORABNIK NASTAVITVE - razdelek o uporabniških politikah (pravilniki, ki veljajo za uporabniški račun v oglasu).
Na kratko preglejte glavne parametre / odseke, ki nas lahko zanimajo pri izhodu GPResult:
- Spletna stran Ime (Ime spletnega mesta :) - ime spletnega mesta AD, na katerem se nahaja računalnik;
- CN - popoln kanonični uporabnik / računalnik, za katerega so bili ustvarjeni podatki RSoP;
- Zadnji čas Skupina Politika je bil uporabiti (Zadnja prijava za skupinsko politiko) - čas zadnjega izvajanja pravilnikov skupine;
- Skupina Politika je bil uporabiti iz (Uporabljena je bila skupinska politika) - krmilnik domene, s katerega je bila prenesena zadnja različica GPO;
- Domena Ime in Domena Vtipkajte (Ime domene, vrsta domene) - ime in različica sheme domen Active Directory;
- Uporablja se Skupina Politika Predmeti (Uporabljeni GPO) - Seznami obstoječih GPO
- The sledi GPO so bili ne uporabiti ker oni so bili filtrirano ven (Naslednji pravilniki GPO niso uporabljeni, ker so filtrirani) - GPO niso uporabljeni (filtrirani);
- The uporabnikračunalnik je a del od the sledi varnost skupine (Uporabnik / računalnik je član naslednjih varnostnih skupin) - domenske skupine, katerih uporabnik je član.
V našem primeru je razvidno, da na uporabniški objekt delujejo štiri skupinske politike.
- Privzeta domenska politika;
- Omogoči požarni zid Windows;
- DNS Suffix iskalni seznam;
- Onemogoči predpomnilniške poverilnice.
Če ne želite, da konzola hkrati prikazuje informacije o uporabniških politikah in računalniških politikah, lahko z možnostjo / obseg prikažete samo tisti del, ki vas zanima. Samo nastali uporabniški pravilniki:
gpresult / r / obseg: uporabnik
ali uporabljene samo računalniške politike:
gpresult / r / obseg: računalnik
Ker Gpresult pripomoček odda svoje podatke neposredno na konzolo ukazne vrstice, kar ni vedno prikladno za nadaljnjo analizo, njegov izhod pa je mogoče preusmeriti v odložišče:
Gpresult / r | posnetek
ali besedilno datoteko:
Gpresult / r> c: \ gpresult.txt
Za prikaz zelo podrobnih RSOP informacij morate dodati stikalo / z.
Gpresult / r / z
RSOP HTML poročilo z uporabo GPResult
Poleg tega lahko pripomoček GPResult ustvari poročilo HTML o uporabljenih rezultatih pravilnikov (na voljo v sistemu Windows 7 in novejših). To poročilo bo vsebovalo podrobne informacije o vseh sistemskih parametrih, ki so določeni s skupinskimi pravilniki, in imeni določenih skupin GPO, ki so jih postavili (izhajajoče poročilo o strukturi je podobno zavihku Nastavitve v GPMC). Poročilo HTML GPResult lahko ustvarite z ukazom:
GPResult / h c: \ gp-report \ report.html / f
Če želite ustvariti poročilo in ga samodejno odpreti v brskalniku, zaženite ukaz:
GPResult / h GPResult.html in GPResult.html
Poročilo gpresult HTML vsebuje precej koristnih informacij: vidne so napake v aplikaciji GPO, čas obdelave (v ms) in uporaba posebnih pravilnikov in CSE (v razdelku Podrobnosti o računalniku -> Stanje komponente). Zgornji posnetek zaslona na primer kaže, da Privzeti pravilnik o domeni (stolpec Zmagajoč GPO) uporablja pravilnik za uveljavitev zgodovine gesla s 24 gesli, ki si jih zapomni. Kot lahko vidite, je takšno poročilo HTML veliko bolj priročno za analizo uporabljenih politik kot konzola rsop.msc.
Prejemanje podatkov GPResult iz oddaljenega računalnika
GPResult lahko zbira tudi podatke iz oddaljenega računalnika in tako odpravi potrebo po lokalni ali RDP prijavi na oddaljeni računalnik. Oblika ukaza za zbiranje podatkov RSOP iz oddaljenega računalnika je naslednja:
GPResult / s server-ts1 / r
Podobno lahko na daljavo zbirate podatke tako za uporabniške politike kot za računalniške politike..
Uporabniško ime nima RSOP podatkov
Ko je UAC omogočen, zagon GPResult brez povišanih privilegijev prikaže nastavitve samo v razdelku s politiko uporabniške skupine. Če želite hkrati prikazati oba razdelka (USER SETTINGS in COMPUTER SETTINGS), morate zagnati ukaz v ukazni vrstici, ki se začne s skrbniškimi pravicami. Če se povišani ukazni poziv zažene v imenu računa, ki ni trenutni uporabnik sistema, bo pripomoček prikazal opozorilo INFO: The uporabnik "Domena\ uporabnik"Ali ne so RSOP podatkov (Uporabnik "domena \ uporabnik" nima RSOP podatkov). Razlog je to, ker GPResult poskuša zbrati podatke za uporabnika, ki ga je sprožil, ampak zato ta uporabnik se ni prijavil v sistem, zanj ni RSOP informacij. Če želite zbrati informacije RSOP za uporabnika z aktivno sejo, morate določiti njegov račun:
gpresult / r / uporabnik: tn \ edward
Če ne veste imena računa, ki je prijavljen v oddaljeni računalnik, lahko račun dobite tako:
qwinsta / SERVER: daljinskiPC1
Preverite tudi čas (in časovni pas) na stranki. Čas mora ustrezati času na PDC-ju (primarni krmilnik domene).
Naslednjih pravilnikov GPO niso uporabili, ker so filtrirani.
Pri skupinskem policijskem ravnanju bodite pozorni tudi na razdelek: Naslednji GPO niso bili uporabljeni, ker so bili filtrirani (Naslednji GPO niso bili uporabljeni, ker so bili filtrirani). V tem razdelku je prikazan seznam skupinskih skupin, ki iz takšnih ali drugačnih razlogov ne veljajo za ta objekt. Možne možnosti, za katere pravilnik morda ne velja:
- Filtriranje: Ne Uporablja se (Prazno) (Filtriranje: ni uporabljeno (prazno)) - politika je prazna (dejansko ni ničesar uporabiti);
- Filtriranje: Zavrnjeno (Neznano Razlog) (Filtriranje: Ni uporabljeno (neznan vzrok)) - najverjetneje uporabnik ali računalnik nima dovoljenj za branje / uporabo tega pravilnika (dovoljenja so konfigurirana na zavihku Varnost v GPO - GPMC (Console Management Policy Group);
- Filtriranje: zavrnjeno (varnost) - v razdelku Uporabi politiko skupin je v dovoljenju za uporabo pravilnika skupine naveden izrecna prepoved ali objekt AD ni vključen na seznam skupin v razdelku Varnostno filtriranje v nastavitvah GPO.
Prav tako lahko razumete, ali je treba pravilnik uporabiti za določen objekt AD na zavihku efektivna dovoljenja (Napredno -> Učinkovit dostop).
Torej, v tem članku smo preučili značilnosti diagnosticiranja uporabe skupinskih politik s pripomočkom GPResult in preučili značilne scenarije njegove uporabe.