[GPResult.exe инструмент командной строки, используемый для получения результирующего набора политик (RSoP), применяемых к пользователю и/или компьютеру в домене Active Directory. GPResult позволяет отобразить список политик домена (GPO), которые применяются к компьютеру и пользователю, параметры политики, время обработки GPO и ошибки. Это наиболее часто используемый инструмент администратора для анализа параметров и устранения проблем с групповой политикой в Windows.
В этой статье мы рассмотрим, как использовать команду GPResult для диагностики, отладки и анализа параметров групповой политики, применяемых к Windows в домене Active Directory.
- Как использовать команду Group Policy Results (GPResult.exe)?
- Экспорт отчета RSoP в HTML с помощью GPResult
- GPResult: Получение данных RSOP с удаленного компьютера
- GPResult: У пользователя нет данных RSoP
- Следующие GPO не были применены, поскольку были отфильтрованы
- Оснастка Resultant Set of Policies (RSOP.msc) в Windows
Как использовать команду Group Policy Results (GPResult.exe)?
Вы должны запустить команду GPResult на компьютере, на котором вы хотите проверить применение групповой политики. Синтаксис команды GPResult следующий:
GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]
Чтобы получить подробную информацию о групповых политиках, примененных к конкретному пользователю или компьютеру, а также о других параметрах, связанных с инфраструктурой GPO (результирующие параметры политики GPO, RsoP), откройте командную строку и выполните эту команду:
Gpresult /r
Результаты выполнения этой команды разделены на два раздела:
- НАСТРОЙКИ КОМПЬЮТЕРА — раздел содержит информацию об объектах GP, применяемых к компьютеру (как к объекту Active Directory);
- НАСТРОЙКИ ПОЛЬЗОВАТЕЛЯ — это раздел политики пользователя (политики, применяемые к учетной записи пользователя AD).
Кратко рассмотрим основные параметры/разделы вывода GPResult, которые могут быть интересны администраторам:
- Имя сайта — имя сайта AD, на котором расположен компьютер;
- CN — полное каноническое имя пользователя/компьютера, для которого были сгенерированы данные RSoP;
- Последний раз, когда применялась групповая политика — время, когда параметры групповой политики были применены (обновлены) в последний раз;
- Групповая политика применялась с — имя контроллера домена, с которого была загружена последняя версия GPO;
- Имя домена и тип домена — это имя и номер версии схемы домена Active Directory;
- Применяемые объекты групповой политики — это списки примененных объектов групповой политики;
- Следующие GPO не были применены, поскольку были отфильтрованы
- Пользователь входит в следующие группы безопасности — список групп безопасности домена, в которые входит пользователь.
В этом примере видно, что к объекту пользователя применены 4 групповые политики.
- Отключение кэшированных учетных данных
- Список поиска суффиксов DNS;
- Включить брандмауэр Windows;
- Политика домена по умолчанию.
Отчет также будет содержать информацию о параметрах локальной политики, настроенных с помощью редактора локальной групповой политики (gpedit.msc).
Можно использовать параметр /scope для отображения политик только пользователя или компьютера:
gpresult /r /scope:user
или только примененные политики компьютера:
gpresult /r /scope:computer
gpresult /r /scope:computer
ERROR: Access Denied.
Для удобства разбора и анализа данных RSOP вы можете перенаправить результаты Gpresult в буфер обмена:
Gpresult /r |clip
или в текстовый файл:
Gpresult /r > c:\ps\gpresult.txt
Чтобы отобразить более подробную информацию о RSoP, необходимо добавить параметр /z ключ:
Gpresult /r /z
Например, на скриншоте показаны параметры политики паролей домена, которые применяются к компьютеру.
Экспорт отчета RSoP в HTML с помощью GPResult
GPResult позволяет генерировать HTML-отчет о примененных результирующих политиках (доступно в Windows 7 и более новых версиях). Этот отчет содержит подробную информацию обо всех системных параметрах, установленных групповыми политиками, и именах GPO, которые их установили. HTML-отчет gpresult структурно похож на отчет Настройки на вкладке Консоль управления групповой политикой (gpmc.msc). Отчет RSoP HTML можно сгенерировать с помощью следующей команды gpresult:
GPResult /h c:\PS\gpo-report.html /f
%WINDIR%\system32 папку. 
Чтобы сгенерировать отчет и автоматически открыть его в браузере, выполните следующую команду:
GPResult /h GPResult.html & GPResult.html
HTML-отчет gpresult содержит довольно много полезной информации: вы можете увидеть GPO, применяющие ошибки, время обработки (в мс) для конкретной политики и CSE (в разделе Computer Details -> Component Status). Это полезно, когда нужно понять, почему обработка GPO занимает много времени.
Например, на скриншоте выше видно, что Eистория паролей nforce политика с настройками «Запомнить 24 пароля» применяется политикой домена по умолчанию (Победа GPO колонка).
HTML-отчет позволяет представить полученный набор компьютерных GPO в удобной графической форме.
GPResult: Получение данных RSOP с удаленного компьютера
GPResult может получить результирующий набор политик и с удаленного компьютера без необходимости локального или RDP входа на удаленное устройство.
GPResult /s remote-pc-name1 /r
Вы можете указать имя пользователя и пароль для подключения к удаленному компьютеру с помощью опций gpresult:
gpresult /R /S wks2b21c /scope user /U corp\jsmith /P myPaSSw0rd1!
Если вы не хотите, чтобы ваш пароль сохранялся в истории команд PowerShell, вы можете запросить пароль в интерактивном режиме:
gpresult /R /S wks2b21c /scope user /U corp\jsmith /P
Аналогичным образом можно удаленно собирать данные о политике пользователя и компьютера.
Если вы не знаете имя пользователя, вошедшего в систему на удаленном компьютере, вы можете получить имя пользователя следующим образом:
qwinsta /SERVER:wks2b21c
Get-GPResultantSetOfPolicy -user jsmith -computer corp\wks2b21c -reporttype html -path c:\ps\gpo_rsop_report.html
GPResult: У пользователя нет данных RSoP
Когда UAC включен и GPResult используется в неэлеваторном режиме, отображается только раздел настроек пользователя в групповых политиках. Если необходимо, чтобы отображались оба раздела (USER SETTINGS и COMPUTER SETTINGS), команда должна быть запущена в командной строке с правами администратора.
Если повышенная командная строка запущена от имени учетной записи, отличной от текущего пользователя, инструмент выдаст предупреждение: INFO: Пользователь «domain\user» не имеет данных RSOP. Это происходит потому, что GPResult пытается собрать данные пользователя, который его запустил, но поскольку этот пользователь не вошел в систему, для него нет информации RSOP. Чтобы собрать информацию RSOP для пользователя с активной сессией, необходимо указать его учетную запись:
gpresult /r /user:corp\edward
Также проверьте время (и часовой пояс) на клиенте. Время должно совпадать со временем на контроллере домена с ролью FSMO PDC (основной контроллер домена).
Следующие GPO не были применены, поскольку были отфильтрованы
При устранении неполадок с примененными групповыми политиками стоит обратить внимание на этот раздел: Следующие GPO не были применены, потому что они были отфильтрованы. Содержит список GPO, которые не применяются к этому объекту по какой-либо причине. Вот некоторые причины, по которым GPO не применяются к определенному объекту Active Directory:
- Фильтрация: Не применяется (пусто) — политика пуста (нечего применять);
- Фильтрация: Отказано (неизвестная причина) — пользователь/компьютер, скорее всего, не имеет разрешения на чтение/применение этой политики. Разрешения можно настроить на вкладке «Безопасность» консоли управления групповой политикой (
gpmc.msc); - Фильтрация: Отказано (Безопасность) — явный отказ указывается в разделе Применение групповой политики, или объект AD отсутствует в списке групп в разделе «Фильтрация безопасности» GPO.
Вы также можете посмотреть, следует ли применять GPO к организационной единице (OU) в AD или к конкретному объекту на вкладке эффективных разрешений (Advanced -> Effective Access) в GPMC.
Оснастка Resultant Set of Policies (RSOP.msc) в Windows
Первоначально графическая консоль RSOP.msc использовалась для диагностики применяемых групповых политик в Windows. Эта оснастка mmc позволяет получить параметры результирующих политик (доменных + локальных), примененных к компьютеру и пользователю, в графическом виде, похожем на консоль редактора GPO. Сайт RSOP.msc консоль на скриншоте ниже показывает, что параметры обновления Windows настроены политикой WSUS_SERVERS.
Вы не можете использовать RSOP.msc для полного анализа примененных GPO в современных версиях Windows. Он не показывает параметры, примененные с помощью расширений на стороне клиента (CSE), таких как GPP (Group Policy Preferences), не позволяет выполнять поиск и предоставляет мало диагностической информации. При запуске rsop.msc в Windows 10 и 11 было предупреждение о необходимости использования gpresult для получения полного отчета о GPO.
Starting with Vista, the Resultant Set of Policies (RSoP) report does not show all Microsoft Group Policy settings. To see the full set of Microsoft Group Policy settings applied for a computer or user, use the command-line tool gpresult.
В этой статье мы рассмотрели, как использовать команду GPResult для анализа результатов групповых политик, применяемых в Windows. Кроме того, следующее руководство может быть полезным для устранения неполадок с GPO в домене: «Общие проблемы, из-за которых групповая политика не применяется к клиентам».