как посмотреть примененные политики на компьютере

Команда GPResult: диагностика результирующих групповых политик

Утилита GPResult.exe – представляет собой консольное приложение, предназначенное для анализа настроек и диагностики групповых политик, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные результирующего набора политик (Resultant Set of Policy, RSOP), список примененных доменных политик (GPO), их настройки и детальную информацию об ошибках их обработки. Утилита входит в состав ОС Windows начиная со времен Windows XP. Утилита GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какая именно GPO изменила ту или иную настройку Windows, разобраться с причинами долгого применения GPP/GPO.

В этой статье мы рассмотрим особенности использования команды GPResult для диагностирования работы и отладки применения групповых политик в домене Active Directory.

Изначально для диагностики применения групповых политик в Windows использовалась графическая консоль RSOP.msc, которая позволяла получить настройки результирующих политик (доменных + локальных), примененные к компьютеру и пользователю в графическом виде аналогичном консоли редактора GPO (ниже на примере представления консоли RSOP.msc видно, что настройки обновлений заданы политикой WSUS_SERVERS).

Однако, консоль RSOP.msc в современных версиях Windows использовать нецелесообразно, т.к. она не отражает настройки, примененные различными расширениями групповых политик (client side extensions — CSE), например GPP (Group Policy Preferences), не позволяет выполнять поиск, предоставляет мало диагностической информации. Поэтому на данный момент именно команда GPResult является основным средством диагностики применения GPO в Windows (в Windows 10 даже появляется предупреждение, что RSOP не дает полный отчет в отличие от GPResult).

Использование утилиты GPResult.exe

Команда GPResult выполняется на компьютере, на котором нужно проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:

GPRESULT [/S [/U [/P ]]] [/SCOPE ] [/USER ] [/R | /V | /Z] [(/X | /H) [/F]]

Чтобы получить подробную информацию о групповых политиках, которые применяются к данном объекту AD (пользователю и компьютеру), и других параметрах, относящихся к инфраструктуре GPO (т.е. результирующие настройки политик GPO – RsoP), выполните команду:

Результаты выполнения команды разделены на 2 секции:

Вкратце пробежимся по основным параметрам/разделам, которые нас могут заинтересовать в выводе GPResult:

В нашем примере видно, что на объект пользователя действуют 4 групповые политики.

Если вы не хотите, чтобы в консоль одновременно выводилась информация и о политиках пользователя и о политиках компьютера, вы можете с помощью опции /scope вывести только интересующий вас раздел. Только результирующие политики пользователя:

gpresult /r /scope:user

или только примененные политики компьютера:

gpresult /r /scope:computer

Т.к. утилита Gpresult выводит свои данные непосредственно в консоль командной строки, что бывает не всегда удобно для последующего анализа, ее вывод можно перенаправить в буфер обмена:

или текстовый файл:

Gpresult /r > c:\gpresult.txt

Чтобы вывести сверхподробную информацию RSOP, нужно добавить ключ /z.

HTML отчет RSOP с помощью GPResult

Кроме того, утилита GPResult может сгенерировать HTML-отчет по примененным результирующим политикам (доступно в Windows 7 и выше). В данном отчете будет содержаться подробная информация обо всех параметрах системы, которые задаются групповыми политиками и именами конкретных GPO, которые их задали (получившийся отчет по структуре напоминает вкладку Settings в консоли управления доменными групповыми политиками – GPMC). Сгенерировать HTML отчет GPResult можно с помощью команды:

GPResult /h c:\gp-report\report.html /f

Чтобы сгенерировать отчет и автоматически открыть его в браузере, выполните команду:

GPResult /h GPResult.html & GPResult.html

Получение данных GPResult с удаленного компьютера

GPResult может собрать данные и с удаленной компьютера, избавляя администратора от необходимости локального или RDP входа на удаленный компьютер. Формат команды сбора данных RSOP с удаленного компьютера такой:

GPResult /s server-ts1 /r

Аналогичным образом вы можете удаленно собрать данные как по пользовательским политикам, так и по политиками компьютера.

Пользователь username не имеет данных RSOP

При включенном UAC запуск GPResult без повышенных привилегий выводит параметры только пользовательского раздела групповых политик. Если нужно одновременно отобразить оба раздела (USER SETTINGS и COMPUTER SETTINGS), команду нужно запускать в командной строке, запущенной с правами администратора. Если командная строка с повышенными привилегиями запущена от имени учетной записи отличной от текущего пользователя системы, утилита выдаст предупреждение INFO: The user “domain\user” does not have RSOP data (Пользователь «domain\user» не имеет данных RSOP). Это происходит потому, что GPResult пытается собрать информацию для пользователя, ее запустившего, но т.к. данный пользователь не выполнил вход (logon) в систему, информация RSOP для него отсутствует. Чтобы собрать информацию RSOP по пользователю с активной сессией, нужно указать его учетную запись:

gpresult /r /user:tn\edward

Если вы не знаете имя учтённой записи, которая залогинена на удаленном компьютере, учетную запись можно получить так:

Также проверьте время (и часовой пояс) на клиенте. Время должно соответствовать времени на PDC (Primary Domain Controller).

Следующие политики GPO не были применены, так как они отфильтрованы

При траблшутинге групповых политик стоит также обращать внимание на секцию: The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы). В этой секции отображается список GPO, которые по той или иной причине не применяются к этому объекту. Возможные варианты, по которым политика может не применяться:

Итак, в этой статье мы рассмотрели особенности диагностики применения групповых политик с помощью утилиты GPResult и рассмотрели типовые сценарии ее использования.

Источник

Как посмотреть, какие групповые политики применяются к вашему компьютеру с Windows 10

В мире Windows групповая политика предоставляет сетевым администраторам возможность назначать определенные параметры для групп пользователей или компьютеров. Эти настройки затем применяются, когда пользователь из группы входит в систему на сетевом компьютере, или всякий раз, когда запускается ПК в группе.

Локальная групповая политика – это чуть более ограниченная версия, которая применяет параметры только к локальному компьютеру или пользователям или даже к группе локальных пользователей.

В прошлом мы использовали ряд трюков, которые используют локальную групповую политику для изменения параметров, которые вы не можете изменить нигде, кроме как путем редактирования реестра Windows. Если вы привыкли менять параметры локальной групповой политики, вам может показаться полезным просмотр всех изменений, сделанных вами, в одном месте, вместо того, чтобы копаться в редакторе локальных групповых политик.

Примечание. Локальная групповая политика доступна только в версиях Windows Professional и Enterprise. Если вы используете домашнюю версию, у вас не будет доступа к редактору локальных групповых политик.

Результирующий набор инструментов политики

Самый простой способ увидеть все параметры групповой политики, которые вы применили к компьютеру или учетной записи пользователя, – использовать инструмент «Результирующий набор политик».

Он не покажет последнюю политику, примененную к вашему компьютеру, – для этого вам нужно будет использовать командную строку, как мы опишем в следующем разделе. Тем не менее, он показывает практически все политики, которые вы настроили для регулярного использования. И предоставляет простой графический интерфейс для просмотра параметров групповой политики, действующих на вашем ПК, независимо от того, входят ли эти параметры в групповую политику или локальную групповую политику.

Чтобы открыть инструмент, нажмите «Поиск», введите «rsop.msc» → нажмите на предложенный вариант.

Инструмент «Результирующий набор политик» начнёт сканирование вашей системы на примененные параметры групповой политики.

После того, как сканирование будет выполнено, инструмент покажет вам консоль управления, которая очень похожа на редактор локальной групповой политики, за исключением того, что она отображает только использованные параметры и несколько неустановленных настроек безопасности.

Это позволяет легко просматривать и видеть, какие политики действуют. Обратите внимание, что вы не можете использовать инструмент «Результирующая политика» для изменения этих параметров. Вы можете дважды щелкнуть параметр, чтобы просмотреть детали, но если вы хотите отключить или внести изменения в параметр, вам придется использовать редактор локальных групповых политик.

Просмотр политик из командной строкой

Если вам удобно использовать командную строку, это даёт несколько преимуществ перед использованием инструмента «Результирующая политика». Во-первых, он может отображать каждую последнюю политику, примененную на вашем ПК. Во-вторых, он покажет некоторые дополнительные сведения о безопасности – например, в какие группы безопасности входит пользователь или какие привилегии у них есть.

Для этого мы будем использовать команду gpresult. Вы должны указать область для результатов, а допустимые области включают «пользователь» и «компьютер». Это означает, что для просмотра всех политик, действующих для пользователя и компьютера, Вам придется дважды запускать команду.

Чтобы просмотреть все политики, применяемые к учетной записи пользователя, с помощью которой вы в настоящее время вошли в систему, вы должны использовать следующую команду:

gpresult /Scope User /v

Параметр /v в этой команде указывает на подробные результаты, так что вы увидите всё. Прокрутите вниз, и вы увидите раздел с названием «Результирующий набор политик для пользователя», который содержит информацию, которая вам нужна.

Если вы ищете политики, применяемые к вашему компьютеру, всё, что вам нужно сделать, это изменить область действия:

gpresult /Scope Computer /v

Если вы прокрутите вниз, вы увидите, что теперь есть раздел «Результирующий набор политик для компьютера».

Доступны и другие вещи, которые вы можете сделать с помощью команды gpresult. Например, если вы хотите сохранить отчет, а не просматривать его в командной строке, вы можете отключить параметр /v в любой из этих команд и вместо этого использовать /x (для формата XML) или /h (для формата HTML).

Источник

Как просмотреть групповые политики примененные к вашему пользователю в Windows 10

В сегодняшней статье мы рассмотрим как различными способами посмотреть какие групповые политики примененные к вашей учетной записи в Windows.

Посмотреть групповые политики примененные к вашему пользователю в “Результирующая политика”

В строке поиска или в меню “Выполнить” (выполнить вызывается кнопками Win+R) введите команду rsop.msc и нажмите Enter.

В открывшемся окне вы можете посмотреть все включенные политики.

Посмотреть групповые политики примененные к вашему пользователю с помощью командной строки или в PowerShell

Введите команду GPResult /h d:\gp.html /f и нажмите Enter (красным выделен путь для сохранения и имя файла, вы можете их изменить).

Полученный файл откройте через любой браузер.

На сегодня все, если вы знаете другие способы – пишите в комментариях! Удачи Вам 🙂

Источник

gpresult

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Отображает результирующий набор политик (RSoP) для удаленного пользователя и компьютера. Чтобы использовать отчеты RSoP для удаленных целевых компьютеров через брандмауэр, необходимо иметь правила брандмауэра, разрешающие входящий сетевой трафик на портах.

Синтаксис

За исключением использования /?, необходимо включить параметр OUTPUT, /r, /v, /z, /x или /h.

Параметры

Параметр	Описание
ключ	Указывает имя или IP-адрес удаленного компьютера. Не используйте обратные косые черты. По умолчанию это локальный компьютер.
/u	Использует учетные данные указанного пользователя для выполнения команды. Пользователь по умолчанию — это пользователь, который вошел в систему на компьютере, который выдает команду.
/p [

Remarks

Групповая политика является основным средством администрирования для определения и контроля работы программ, сетевых ресурсов и операционной системы для пользователей и компьютеров в Организации. В среде Active Directory групповая политика применяется к пользователям или компьютерам на основе их членства в сайтах, доменах или подразделениях.

Поскольку перекрывающиеся параметры политики можно применять к любому компьютеру или пользователю, функция групповая политика создает результирующий набор параметров политики при входе пользователя в систему. Команда gpresult отображает результирующий набор параметров политики, примененных к компьютеру для указанного пользователя при входе пользователя в систему.

Поскольку /v и /z создают много информации, полезно перенаправить вывод в текстовый файл (например, gpresult/z >policy.txt ).

в ARM64 версиях Windows только gpresult в SysWow64 работает с /h параметром.

Примеры

Чтобы сохранить все доступные сведения о групповая политика в файл с именем, policy.txt, только для удаленного пользователя маиндом\хироплн с паролем p@ssW23 на компьютере срвмаин, введите:

Чтобы отобразить данные RSoP для вошедшего в систему пользователя, маиндом\хироплн с паролем p@ssW23 для компьютера срвмаин, введите:

Источник

GPRESULT – отображение результирующей политики (RSoP) для указанного пользователя и компьютера.

Команда GPRESULT позволяет отображать результирующую политику для пользователя и компьютера в локальной или удаленной системе. Используется системными администраторами для анализа применяемых групповых политик. Синтаксис и возможности команды в небольшой степени различаются для разных версий ОС Windows. Основное отличие состоит в том, что отчеты в HTML и XML-формате можно получить только при использовании команды GPRESULT в среде Windows 7 и старше.

Формат командной строки:

GPRESULT [/S система [/U пользователь [/P пароль]]] [/USER имя_конечного_пользователя] [/R | /V | /Z] [(/X | /H) имя_файла [/F]]

Параметры командной строки:

Большая часть возможностей команды GPRESULT доступна при использовании редактора локальной групповой политики (оснастки панели управления gpedit.msc )

Пример отображаемой результирующей политики для подробнейшего режима при выполнении команды GPRESULT в ОС Windows 10:

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) версии 2.0
c 2015 Корпорация Майкрософт. Все права защищены.

Создано 16.11.2015 в 12:10:18

Данные RSOP для comp1\user1 на comp1 : Режим ведения журнала
—-

Конфигурация ОС: Версия ОС: Имя сайта: Перемещаемый профиль: Локальный профиль: Подкл. по медленному каналу:

Изолированная рабочая станция 10.0.10240 Н/Д Н/Д C:\Users\user1 Нет

Последнее применение групповой политики: 16.11.2015 в 11:44:50
Групповая политика была применена с: Н/Д
Порог медленного канала для групповой политики: 500 kbps
Имя домена: comp1
Тип домена: Локальный компьютер

Примененные объекты групповой политики
—
Local Group Policy

Компьютер является членом следующих групп безопасности
—

Обязательный уровень системы
Все
Пользователи
СЛУЖБА
КОНСОЛЬНЫЙ ВХОД
Прошедшие проверку
Данная организация
BDESVC
BITS
CertPropSvc
DcpSvc
dmwappushservice
DoSvc
DsmSvc
Eaphost
IKEEXT
iphlpsvc
LanmanServer
lfsvc
MSiSCSI
NcaSvc
NetSetupSvc
RasAuto
RasMan
RemoteAccess
RetailDemo
Schedule
SCPolicySvc
SENS
SessionEnv
SharedAccess
ShellHWDetection
UsoSvc
wercplsupport
Winmgmt
wlidsvc
wuauserv
XboxNetApiSvc
ЛОКАЛЬНЫЕ
Администраторы

Результирующий набор политик для компьютера
—

Установка программ
—
Н/Д

Сценарии запуска
—
Н/Д

Сценарии завершения работы
—
Н/Д

Политики учетных записей
—
Н/Д

Политика аудита
—
Н/Д

Права пользователя
—
Н/Д

Параметры безопасности
—
Н/Д

Параметры журнала событий
—
Н/Д

Группы с ограниченным доступом
—
Н/Д

Системные службы
—
Н/Д

Параметры реестра
—
Н/Д

Параметры файловой системы
—
Н/Д

Политики открытого ключа
—
Н/Д

GPO: Local Group Policy
Идентификатор папки:
Software\ Policies\ Microsoft\ WindowsMediaPlayer\ DesktopShortcut
Значение: 110, 0, 111, 0, 0, 0
Состояние: Включено

GPO: Local Group Policy
Идентификатор папки:
Software\ Policies\ Microsoft\ WindowsMediaPlayer\ DisableAutoUpdate
Значение: 1, 0, 0, 0
Состояние: Включено

Последнее применение групповой политики: 16.11.2015 в 11:43:05
Групповая политика была применена с: Н/Д
Порог медленного канала для групповой политики: 500 kbps
Имя домена: comp1
Тип домена: Локальный компьютер

Примененные объекты групповой политики
—
Local Group Policy

Пользователь является членом следующих групп безопасности
—
None
Все
Локальная учетная запись и член группы «Администраторы»
Администраторы
Пользователи
ИНТЕРАКТИВНЫЕ
КОНСОЛЬНЫЙ ВХОД
Прошедшие проверку
Данная организация
Локальная учетная запись
ЛОКАЛЬНЫЕ
Проверка подлинности NTLM
Высокий обязательный уровень

Привилегии безопасности данного пользователя
—

Обход перекрестной проверки
Управление аудитом и журналом безопасности
Архивация файлов и каталогов
Восстановление файлов и каталогов
Изменение системного времени
Завершение работы системы
Принудительное удаленное завершение работы
Смена владельцев файлов и других объектов
Отладка программ
Изменение параметров среды изготовителя
Профилирование производительности системы
Профилирование одного процесса
Увеличение приоритета выполнения
Загрузка и выгрузка драйверов устройств
Создание файла подкачки
Настройка квот памяти для процесса
Отключение компьютера от стыковочного узла
Выполнение задач по обслуживанию томов
Имитация клиента после проверки подлинности
Создание глобальных объектов
Изменение часового пояса
Создание символических ссылок
Увеличение рабочего набора процесса

Результирующий набор политик для пользователя
—

Установка программ
—
Н/Д

Сценарии входа
—
Н/Д

Сценарии выхода
—
Н/Д

Политики открытого ключа
—
Н/Д

GPO: Local Group Policy
Идентификатор папки:
Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ NoDriveTypeAutoRun
Значение: 255, 0, 0, 0
Состояние: Включено

GPO: Local Group Policy
Идентификатор папки:
Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ NoAutorun
Значение: 1, 0, 0, 0
Состояние: Включено

Перенаправление папок
—
Н/Д

Пользовательский интерфейс браузера Internet Explorer
—
Н/Д

Подключения Internet Explorer
—
Н/Д

URL-адреса Internet Explorer
—
Н/Д

Безопасность Internet Explorer
—
Н/Д

Программы Internet Explorer
—
Н/Д

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

Источник