Utilitas GPResult.exe - adalah aplikasi konsol yang dirancang untuk menganalisis pengaturan dan mendiagnosis kebijakan grup yang berlaku untuk komputer dan / atau pengguna dalam domain Direktori Aktif. Secara khusus, GPResult memungkinkan Anda untuk mendapatkan data dari Resultant Set of Policy (RSOP), daftar kebijakan domain terapan (GPO), pengaturannya dan informasi terperinci tentang kesalahan dalam pemrosesan mereka. Utilitas telah menjadi bagian dari Windows sejak zaman Windows XP. Utilitas GPResult memungkinkan Anda untuk menjawab pertanyaan-pertanyaan seperti: apakah kebijakan khusus berlaku untuk komputer, yang GPO telah mengubah pengaturan Windows ini atau itu, untuk mencari tahu alasan lama penggunaan GPP / GPO.
Pada artikel ini, kami akan mempertimbangkan fitur menggunakan perintah GPResult untuk mendiagnosis kebijakan grup kerja dan debug dalam domain Active Directory..
Konten:
- Menggunakan Utilitas GPResult.exe
- Laporan HTML RSOP Menggunakan GPResult
- Terima Data GPResult dari Komputer Jarak Jauh
- Nama pengguna tidak memiliki data RSOP
- Kebijakan GPO berikut ini belum diterapkan karena disaring.
Awalnya, konsol grafis RSOP.msc digunakan untuk mendiagnosis penerapan kebijakan grup di Windows, yang memungkinkan untuk mendapatkan pengaturan kebijakan yang dihasilkan (domain + lokal) yang diterapkan pada komputer dan pengguna dalam bentuk grafis yang mirip dengan konsol editor GPO (lihat contoh konsol RSOP.msc di bawah ini, bahwa pengaturan pembaruan diatur oleh kebijakan WSUS_SERVERS).
Namun, konsol RSOP.msc dalam versi modern Windows tidak praktis untuk digunakan. itu tidak mencerminkan pengaturan yang diterapkan oleh berbagai ekstensi sisi klien (CSE), misalnya GPP (Preferensi Kebijakan Grup), tidak memungkinkan pencarian, dan menyediakan sedikit informasi diagnostik. Oleh karena itu, saat ini, tim GPResult adalah alat diagnostik utama untuk menggunakan GPO di Windows (di Windows 10, bahkan muncul peringatan bahwa RSOP tidak memberikan laporan lengkap, tidak seperti GPResult).
Menggunakan Utilitas GPResult.exe
Perintah GPResult dijalankan di komputer tempat Anda ingin memeriksa aplikasi kebijakan grup. Perintah GPResult memiliki sintaks berikut:
GPRESULT [/ S [/ U [/ P]]] [/ SCOPE] [/ USER] [/ R | / V | / Z] [(/ X | / H) [/ F]]
Untuk mendapatkan informasi terperinci tentang kebijakan grup yang berlaku untuk objek AD ini (pengguna dan komputer), dan parameter lain yang terkait dengan infrastruktur GPO (mis., Pengaturan kebijakan GPO yang dihasilkan - RsoP), jalankan perintah:
Gpresult / r
Hasil dari perintah ini dibagi menjadi 2 bagian:
- KOMPUTER PENGATURAN (Konfigurasi komputer) - bagian ini berisi informasi tentang GPO yang bekerja di komputer (sebagai objek Direktori Aktif);
- PENGGUNA PENGATURAN - bagian kebijakan pengguna (kebijakan yang berlaku untuk akun pengguna dalam AD).
Secara singkat periksalah parameter / bagian utama yang mungkin menarik bagi kami dalam hasil GPResult:
- Situs Nama (Nama situs :) - nama situs AD tempat komputer berada;
- CN - pengguna / komputer kanonik penuh tempat data RSoP dihasilkan;
- Terakhir waktu Grup Kebijakan adalah diterapkan (Aplikasi Kebijakan Grup Terakhir) - waktu kebijakan grup terakhir kali diterapkan;
- Grup Kebijakan adalah diterapkan dari (Kebijakan Grup diterapkan dengan) - pengontrol domain tempat versi terbaru GPO diunduh;
- Domain Nama dan Domain Jenis (Nama domain, tipe domain) - nama dan versi skema domain Direktori Aktif;
- Diterapkan Grup Kebijakan Benda (GPO Terapan) - Daftar GPO yang ada
- itu mengikuti GPO adalah tidak diterapkan karena mereka adalah difilter keluar (Kebijakan GPO berikut belum diterapkan sejak disaring) - GPO tidak diterapkan (difilter);
- itu pengguna/ komputer adalah a bagian dari itu mengikuti keamanan kelompok (Pengguna / komputer adalah anggota dari grup keamanan berikut) - grup domain yang menjadi anggota.
Dalam contoh kami, terlihat bahwa 4 kebijakan grup berlaku pada objek pengguna.
- Kebijakan Domain Default;
- Aktifkan Windows Firewall;
- Daftar Pencarian Sufiks DNS;
- Nonaktifkan Kredensial Tembolok.
Jika Anda tidak ingin konsol menampilkan informasi tentang kebijakan pengguna dan kebijakan komputer secara bersamaan, Anda hanya dapat menampilkan bagian yang Anda minati dengan menggunakan opsi / scope. Hanya kebijakan pengguna yang dihasilkan:
gpresult / r / scope: pengguna
atau hanya kebijakan komputer yang diterapkan:
gpresult / r / scope: komputer
Karena Utilitas Gpresult menampilkan datanya langsung ke konsol baris perintah, yang tidak selalu nyaman untuk analisis lebih lanjut; hasilnya dapat diarahkan ke clipboard:
Gpresult / r | clip
atau file teks:
Gpresult / r> c: \ gpresult.txt
Untuk menampilkan informasi RSOP yang sangat detail, Anda perlu menambahkan sakelar / z.
Gpresult / r / z
Laporan HTML RSOP Menggunakan GPResult
Selain itu, utilitas GPResult dapat menghasilkan laporan HTML tentang kebijakan hasil yang diterapkan (tersedia di Windows 7 dan di atasnya). Laporan ini akan berisi informasi terperinci tentang semua parameter sistem yang ditetapkan oleh kebijakan grup dan nama-nama GPO spesifik yang mengaturnya (laporan struktur yang dihasilkan menyerupai tab Pengaturan di GPMC). Laporan HTML GPResult dapat dibuat menggunakan perintah:
GPResult / h c: \ gp-report \ report.html / f
Untuk menghasilkan laporan dan secara otomatis membukanya di browser, jalankan perintah:
GPResult / h GPResult.html & GPResult.html
Laporan HTML gpresult berisi cukup banyak informasi berguna: kesalahan aplikasi GPO, waktu pemrosesan (dalam ms.) Dan penerapan kebijakan dan CSE tertentu (dalam Rincian Komputer -> bagian Status Komponen) terlihat. Misalnya, tangkapan layar di atas menunjukkan bahwa menerapkan kebijakan riwayat kata sandi dengan 24 kata sandi mengingat pengaturan diterapkan oleh Kebijakan Domain Default (Memenangkan kolom GPO). Seperti yang Anda lihat, laporan HTML semacam itu jauh lebih nyaman untuk menganalisis kebijakan yang diterapkan daripada konsol rsop.msc.
Terima Data GPResult dari Komputer Jarak Jauh
GPResult juga dapat mengumpulkan data dari komputer jarak jauh, menghilangkan kebutuhan untuk login lokal atau RDP ke komputer jarak jauh. Format perintah pengumpulan data RSOP dari komputer jarak jauh adalah sebagai berikut:
GPResult / s server-ts1 / r
Demikian pula, Anda dapat mengumpulkan data untuk kebijakan pengguna dan kebijakan komputer dari jarak jauh..
Nama pengguna tidak memiliki data RSOP
Ketika UAC diaktifkan, memulai GPResult tanpa hak yang lebih tinggi akan menampilkan pengaturan hanya bagian kebijakan grup pengguna. Jika Anda ingin menampilkan kedua bagian (PENGATURAN PENGGUNA dan PENGATURAN KOMPUTER) secara bersamaan, Anda perlu menjalankan perintah pada baris perintah yang diluncurkan dengan hak administrator. Jika prompt perintah terangkat dijalankan atas nama akun selain dari pengguna sistem saat ini, utilitas akan menampilkan peringatan INFO: pengguna "Domain\ pengguna"Apakah tidak miliki RSOP data (Pengguna "domain \ user" tidak memiliki data RSOP). Ini karena GPResult sedang mencoba mengumpulkan informasi untuk pengguna yang meluncurkannya, tetapi karena pengguna ini belum masuk ke sistem, tidak ada informasi RSOP untuknya. Untuk mengumpulkan informasi RSOP untuk pengguna dengan sesi aktif, Anda perlu menentukan akunnya:
gpresult / r / pengguna: tn \ edward
Jika Anda tidak tahu nama akun yang masuk ke komputer jarak jauh, akun tersebut dapat diperoleh seperti ini:
qwinsta / SERVER: remotePC1
Periksa juga waktu (dan zona waktu) pada klien. Waktu harus sesuai dengan waktu di PDC (Pengontrol Domain Utama).
Kebijakan GPO berikut ini belum diterapkan karena disaring.
Saat pemolisian grup, Anda juga harus memperhatikan bagian: GPO berikut ini tidak diterapkan karena disaring (GPO berikut tidak diterapkan karena disaring). Bagian ini menampilkan daftar GPO yang karena satu dan lain alasan tidak berlaku untuk objek ini. Opsi yang mungkin tidak menerapkan kebijakan:
- Penyaringan: Tidak Diterapkan (Kosong) (Penyaringan: Tidak diterapkan (kosong)) - kebijakannya kosong (sebenarnya tidak ada yang berlaku);
- Penyaringan: Ditolak (Tidak dikenal Alasan) (Penyaringan: Tidak diterapkan (penyebab tidak diketahui)) - kemungkinan besar pengguna atau komputer tidak memiliki izin untuk membaca / menerapkan kebijakan ini (izin dikonfigurasikan pada tab Keamanan di GPO - GPMC (Konsol Manajemen Kebijakan Grup);
- Penyaringan: Ditolak (Keamanan) - di bagian Terapkan Kebijakan Grup, larangan eksplisit ditunjukkan dalam izin kebijakan grup Terapkan atau objek AD tidak termasuk dalam daftar grup di bagian Penyaringan Keamanan pengaturan GPO.
Anda juga dapat memahami apakah kebijakan tersebut harus diterapkan ke objek AD tertentu di tab izin efektif (Lanjutan -> Akses Efektif).
Jadi, dalam artikel ini kami memeriksa fitur-fitur mendiagnosis penggunaan kebijakan grup menggunakan utilitas GPResult dan memeriksa skenario khas penggunaannya..