Анализ групповых политики GPRESULT отображение результирующей политики для указанного пользователя компьютера

Продолжение. Начало см. здесь

Команда GPUPDATE используется для обновления групповых политик для пользователя и/или компьютера .

Формат командной строки:

Параметры командной строки:

/Force – Применение всех параметров политики. Если не указано, применяются только изменившиеся параметры политики.

/Wait:значение – Время ожидания (в секундах) завершения обработки политики. По умолчанию – ожидание 600 секунд. Значение ‘0’ – без ожидания. Значение ‘-1’ – ожидание не ограничено.
В случае превышения времени ожидания вновь активизируется окно командной строки, но обработка политики продолжается.

/Logoff – Выполнение выхода после обновления параметров групповой политики. Требуется для тех клиентских расширений групповой политики, которые не обрабатывают политику в фоновом режиме,
а обрабатывают ее только при входе пользователя, таких, например, как установка программ для пользователя или перенаправление папок. Этот параметр не оказывает влияния, если не вызываются
расширения, требующие выхода пользователя.

/Boot – Выполнение перезагрузки после применения параметров групповой политики. Требуется для тех клиентских расширений групповой политики,
которые не обрабатывают политику в фоновом режиме, а обрабатывают ее только при запуске, таких, например, как установка программ для компьютера. Этот параметр не оказывает влияния,
если не вызываются расширения, требующие перезапуска системы.

/Sync – Следующее активное применение политики должно выполняться синхронно. Активные применения политики происходят при перезагрузке компьютера или при входе пользователя в систему. Можно
использовать этот параметр для пользователя, компьютера или для обоих, задав параметр /Target. При этом параметры /Force и /Wait, если они указаны, пропускаются.

gpupdate /? – отобразить подсказку по использования команды.

gpupdate – выполняется обновление политик компьютера и политик пользователя. Применяются только изменившиеся политики.

gpupdate /Target:computer – выполняется обновление политик только для компьютера.

gpupdate /Force – выполняется обновление всех политик.

gpupdate /Boot – обновление групповых политик с перезагрузкой компьютера.

Введение

В предыдущей статье данного цикла вы узнали об очередном компоненте оснастки «Управление групповой политикой» – моделировании групповых политик. Этот компонент будет весьма полезным для вас в том случае, если вы перемещаете компьютер или пользователя между подразделениями, доменами или сайтами и хотите узнать, под область действия каких объектов групповых политик попадет перемещаемый компьютер или пользователь. В этой статье вы узнаете о компоненте «брате-близнеце» моделирования групповых политик, а именно о результирующей групповой политике. В вашей организации при наилучшем раскладе могут быть применены десятки объектов групповых политик, а если учесть все фильтры, наследования, а также исключения групповых политик, в конце концов, вам будет сложно определить, какие параметры будут применяться к пользователям, находящимся в разных отделах или филиалах предприятия. Если говорить по-простому, то операционная система Windows Server собирает групповые политики, обрабатывает все данные и сохраняет всю информацию в базе данных CIMOM через инструментарий управления Windows (WMI), непосредственно на локальном компьютере (обычно на контроллере домена). Вся эта информация включает в себя список, контент и журналируемую информацию для каждого объекта групповой политики, а также определяет, какие параметры политики были применены к пользователям и компьютерам вашей организации. При входе компьютера в сеть в базу данных CIMOM записываются такие сведения, как оборудование компьютера, параметры компонента «Программы и компоненты» оснастки «Редактор управления групповой политикой», параметры компонента «Свойства обозревателя», сценарии, параметры компонента «Перенаправление папки», а также параметры безопасности. Такая функция и называется результирующей групповой политикой (Resultant Set of Policy – RSoP).

Результирующая политика представляет собой результат применения объектов групповых политик к пользователю или компьютеру с учетом всех связей GPO, исключений, а также фильтров безопасности и WMI. RSoP предоставляет сведения обо всех параметрах политики, которые задаются администратором, включая административные шаблоны, перенаправление папки, настройку веб-браузера Internet Explorer, параметры безопасности, сценарии и установку программ. Помимо этого, результирующие политики позволяют определить набор примененных политик и их приоритеты. По сути, результирующая политика работает в двух режимах – режиме планирования и режиме журналирования (также этот режим называется режимом входа). К режиму планирования относится метод моделирования результатов групповой политики, который применяется к пользователю или компьютеру на основе конкретных переменных, который был подробно описан в предыдущей статье. Режим журналирования предоставляет информацию о результатах параметров групповых политик, которые уже применяются к существующим пользователям или компьютерам. Результирующая политика запрашивает локальный или удаленный компьютер и извлекает точные параметры, которые применяются к компьютеру или пользователю, успешно вошедшему в свой компьютер. В сформированном отчете результирующей политики отображаются даже приложения, доступные для данного пользователя или компьютера, а также любые изменения в конфигурации программ, которые были объявлены или применены, что значительно упрощает планирование сценариев и применение такой функции, как AppLocker. В этой статье вы узнаете именно о принципах работы RSoP.

Параметры групповой политики в Windows позволяют пользователям настраивать и изменять важные параметры системы в соответствии со своими предпочтениями. Однако любые изменения, внесенные в параметры групповой политики, не вступят в силу, пока эти параметры не будут обновлены.

К счастью, в Windows легко обновить параметры групповой политики. Вы также можете настроить частоту автоматического обновления настроек в соответствии с вашими потребностями. Проверять Как использовать групповую политику для настройки меню Пуск Windows.

Хотя параметры групповой политики автоматически обновляются через заданные интервалы времени, могут возникнуть ситуации, когда вы захотите обновить эти параметры вручную, чтобы получить немедленную реализацию. К счастью, для обновления параметров групповой политики требуется только запуск одной команды в командной строке. Ниже приведены шаги, которые вы должны выполнить.

• Нажмите на Win + S чтобы открыть меню поиска.
• Тип CMD в поле и выберите Запустить от имени администратора.
• Найдите نعم При появлении запроса контроля учетных записей (UAC).
• В окне вставьте следующую команду и нажмите Enter.

Если вы хотите обновить параметры групповой политики и перезагрузить компьютер, используйте вместо этого следующую команду.

Вы также можете отдельно обновить политики пользователей и компьютеров. Если вы просто хотите обновить политики компьютеров, введите следующую команду:

gpupdate /target:computer /force

Точно так же, если вы просто хотите обновить пользовательские политики, введите эту команду:

Как использовать командную строку? Смотрите наше руководство о Как освоить командную строку в Windows.

Как изменить интервал автоматического обновления групповой политики в Windows

По умолчанию групповая политика обновляется в фоновом режиме каждые 90 минут со случайным смещением от 0 до 30 минут. Однако вы можете увеличить или уменьшить интервал обновления в соответствии с вашими требованиями.

Существует два способа изменить интервал обновления групповой политики в Windows. Вы можете использовать редактор групповой политики или редактор реестра для реализации этого изменения.

Во-первых, давайте посмотрим, как можно изменить интервал автоматического обновления групповой политики с помощью редактора групповой политики.

• Нажмите на Win + R Чтобы открыть диалоговое окно «Выполнить».
• Справа дважды щелкните Политика Установите интервал обновления групповой политики для компьютеров..
• Найдите Может быть.
• Установите частоту обновления до 44640 31 минут (XNUMX день).
• Нажмите تطبيق затем Ok.

Например, если вы введете ноль минут, компьютер будет пытаться обновлять групповую политику каждые семь секунд. Однако это может замедлить работу вашей системы. Поэтому убедитесь, что вы выбрали разумный период обновления.

Кроме того, вы можете изменить интервал обновления групповой политики с помощью редактора реестра. Если вы используете этот метод, обязательно сделайте резервную копию всех файлов журналов или создайте точку восстановления системы, прежде чем продолжить.

• Нажмите кнопку поиска на панели задач, чтобы открыть меню поиска.
• Найдите نعم При появлении запроса контроля учетных записей (UAC).
• Дважды щелкните только что созданное значение DWORD и введите интервал обновления (в минутах) в поле «Значение».
• Нажмите Ok.

Перезагрузите компьютер после выполнения вышеуказанных действий. После этого интервал обновления групповой политики будет изменен.

Обновить параметры групповой политики в Windows

Как мы только что видели, обновить редактор групповой политики в Windows очень просто. Теперь, когда вы знаете, как вручную обновлять параметры групповой политики, почему бы не проверить некоторые полезные параметры групповой политики, которые могут сделать ваш компьютер лучше? Вы можете просмотреть сейчас Лучшие параметры групповой политики, которые нужно изменить для управления Windows.

Использование оснастки «Результирующая политика»

Преимущество использования оснастки «Результирующая политика» заключается в том, что анализировать применение групповых политик при помощи данной оснастки вы можете как в доменной среде, так и находясь в рабочей группе. Соответственно, результат применения объектов групповых политик к пользователю или компьютеру можно просматривать как в серверной операционной системе, так и в клиентской ОС. В этом разделе вы узнаете о применении данной оснастки, а также о сохранении, изменении и обновлении запроса результирующей политики.

Открытие оснастки «Результирующая политика»

Открыть оснастку «Результирующая политика» вы можете одним из следующих способов:

• Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Результирующая политика» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК»;
• Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите rsop.msc и нажмите на кнопку «ОК». Вместе с этой командой вы можете использовать такие параметры, как /RsopNamespace для указания пространства имен и /RsopTargetComp, предназначенной для указания конечного компьютера.

Если вы открываете оснастку RSoP вторым способом, то функционал результирующей политики обработает данные, согласно параметрам, которые были указаны в диалоговом окне «Выполнить». На следующей иллюстрации вы можете увидеть диалоговое окно обработки данных RSoP:

Рис. 1. Диалоговое окно «Обработка результирующей политики (RSoP)»

Генерирование отчета журналирования RSoP

В предыдущем разделе я говорил о том, что предоставление информации о результатах параметров групповых политик, которые применяются к существующим пользователям или компьютерам называется режимом журналирования RSoP. В этом разделе рассказывается о том, как можно сгенерировать отчет журналирования результирующей политики. В основном данный режим RSoP используется для выявления параметров политики, применяемых для указанного компьютера или пользователя, изучения неверных или измененных параметров политики, а также для просмотра того, как могут повлиять группы безопасности на параметры политики. Для того чтобы сгенерировать такой отчет, выполните действия, указанные в следующей процедуре:

Рис. 2. Открытие мастера результирующей политики

Рис. 3. Страница «Выбор режима» мастера результирующей политики

Рис. 4. Страница «Выбор компьютера» мастера результирующей политики

Рис. 5. Страница «Выбор пользователя» мастера результирующей политики

Рис. 6. Сводка указанных ранее параметров результирующей политики

Рис. 7. Завершающая страница мастера результирующей политики

В рамках данной статьи генерирование отчетов режима планирования групповых политик рассматриваться не будет, так как моделирование групповой политики было подробно рассмотрено в предыдущей статье данного цикла.

Анализ отчета и выполнение дополнительных действий

После того как отчет будет сгенерирован, вы увидите, что в оснастке «Результирующая политика» будут отображаться все параметры политик, которые могли быть настроены для указанного вами компьютера и пользователя. В области сведений данной оснастки, в узлах «Конфигурация компьютера» и «Конфигурация пользователя» отображаются конфигурация программ, конфигурация Windows, а также дополнительные параметры системного реестра. Если вы открыли данную оснастку, используя команду rsop.msc без параметров, то для вас будет открыта оснастка результирующей политики с параметрами политики локального компьютера и локального пользователя.

В узле конфигурации программ, в области сведений вы можете проанализировать результаты RSoP, которые относятся к настройке программ. В узле «Конфигурация Windows» вы можете анализировать такие параметры политики, как: сценарии, параметры безопасности, где отображаются абсолютно все политики безопасности, которые вы даже не сможете найти в оснастке «Редактирование групповых политик» на клиентском компьютере. Помимо этого, открыв любую политику безопасности, вы не сможете изменить ее параметры, но для вас будет доступна новая вкладка под названием «Приоритет», в которой вы можете увидеть, какие объекты групповой политики влияют на данный параметр, в порядке от новых к старым. Также вы можете просмотреть политики веб-браузера Internet Explorer и настройки административных шаблонов, причем для административных шаблонов в области сведений будет отображаться новый столбец «Имя объекта групповой политики», в котором указывается название объекта групповой политики.

Рис. 8. Административные шаблоны результирующей политики

Дополнительные параметры реестра представляют собой набор параметров реестра, связанных с политикой, не имеющие связанного административного шаблона. Поскольку связь с административным шаблоном отсутствует, в объяснении параметра указываются только раздел реестра и объект групповой политики, задающий этот раздел.

Может произойти такая ситуация, когда во время анализа вам нужно будет изменить один или несколько объектов групповой политики, которые распространяются на компьютер или пользователя, для которого проводится анализ результирующей групповой политики. В этом случае вам необходимо обновить политику RSoP на том компьютере, на котором в данный момент запущен отчет результирующей политики режима журналирования. Для того чтобы обновить отчет, нажмите правой кнопкой мыши на узле «%Имя_пользователя% на %имя_компьютера% – результирующая политика» и из контекстного меню выберите команду «Обновление запросов». Откроется диалоговое окно «Обработка результирующей политики RSoP» и через несколько минут ваш отчет будет обновлен.

Рис. 9. Обновление запросов результирующей политики

Помимо всех вышеперечисленных действий, вы можете сохранить оснастку с данными сгенерированного отчета для дальнейшего изучения и анализа. По умолчанию, при сохранении оснастки данные, которые были вами сгенерированы не сохраняются. Для того чтобы их сохранить, выполните следующие действия:

• В меню «Вид» выберите команду «Архивировать данные в файле консоли»;
• Перейдите в меню «Файл» и выберите команду «Сохранить»;
• В диалоговом окне «Сохранить как» задайте имя и выберите папку, где будет сохранена ваша оснастка со всеми данными и нажмите на кнопку «Сохранить»;

Создание отчетов RSoP

Функционал клиентских и серверных операционных систем Windows позволяет вам управлять компонентом RSoP для настройки групповой политики в организации и генерировать отчеты при помощи следующих средств:

• Оснастка «Результирующая политика». Данная оснастка применяется для создания подробных отчетов о применяемых параметрах политики в двух режимах: режим журналирования и режим планирования, с понятиями которых вы уже ознакомились выше. Именно об этой оснастке и пойдет речь в последующих разделах данной статьи;
• Мастер результатов групповой политики. Компонент оснастки «Управление групповой политикой», предназначен для того, чтобы точно определять параметры применяемой к пользователю или компьютеру политики и причины их применения. О данной оснастке вы также узнаете из данной статьи;
• Утилита командной строки Gpresult. Утилита командной строки, которая предназначена для получения таких подробных сведений, как данные, предоставляемые в режиме входа RSoP, запросто экспортируемых в текстовый файл для дальнейшего анализа. О применении текущей утилиты вы узнаете в конце текущей статьи.

Мастер результатов групповой политики

В серверной операционной системе Windows Server 2008/2008 R2 для анализа общего результата применения объектов групповых политик и параметров политик к компьютеру или пользователю организации вы можете воспользоваться «Мастером результатов групповой политики», который включен в оснастку «Управление групповой политикой». Помимо оснастки управления групповой политикой вы можете вызывать «Мастер результатов групповой политики» непосредственно из оснастки «Active Directory — пользователи и компьютеры» или оснастки «Active Directory — сайты и службы», о чем вы узнаете из процедур, описанных в данной статье. Как уже говорилось в предыдущей части статьи, результирующая политика использует базу данных CIMOM через инструментарий управления Windows (WMI) и при входе компьютера в сеть, в базу данных CIMOM записываются различные сведения. Но в отличие от базы данных CIMOM службы Active Directory сохраняют объекты вне зависимости от состояния компьютера или пользователя. Для хранения параметров в групповой политике используются объекты групповой политики непосредственно из Active Directory.

Генерирование отчета результирующей политики с помощью функционала «Мастер результатов групповой политики»

Перед выполнением отчета вам следует убедиться, что вы обладаете достаточным количеством прав для выполнения отчета на локальном или удаленном компьютере, на конечном компьютере установлена операционная система не ниже Windows XP, открыты порты 135 и 445, предназначенные для доступа к WMI. Помимо этого необходимо, чтобы служба WMI была запущена, а также пользователь, для которого выполняется анализ, как минимум один раз выполнял вход в систему. Для того чтобы сгенерировать отчет результирующей политики, выполните следующие действия:

Рис. 1. Открытие компонента «Мастер результатов групповой политики»

Рис. 2. Страница «Выбор компьютера» мастера результатов групповой политики

Рис. 3. Страница «Выбор пользователя» мастера результатов групповой политики

Рис. 4. Страница «Сводка выбранных параметров» мастера результатов групповой политики

Рис. 5. Завершающий этап создания результирующей групповой политики

Анализ сгенерированного отчета результирующей групповой политики

После выполнения отчета, мастер выведет подробный отчет результирующей групповой политики в формате HTML. Также как и во всех отчетах оснастки «Управление групповой политикой», в случае с включенной конфигурацией усиленной безопасности браузера Internet Explorer, вам будет предложено разрешить консоли отображать все динамическое содержимое отчета. Помимо этого вы можете развернуть или свернуть любую секцию полученного отчета, нажав на ссылки «Показать» или «Скрыть». Отчет результатов групповой политики содержит три вкладки с данными обработки объектов групповой политики.

Вкладка «Сводка». На этой вкладке отображается состояние обработки групповой политики в последнем обновлении, а также сводные данные результирующей политики для конфигурации пользователя и конфигурации компьютера. Как для конфигурации пользователя, так и для конфигурации компьютера вы можете просмотреть следующие сводные данные:

• Общие данные, где вы можете узнать об имени компьютера, его расположении в домене, а также домен, сайт и прочие данные которые собираются при формировании результирующей политики;
• Объекты групповой политики, которые применяются или отклоняются для всего домена, подразделения или индивидуально для пользователя или компьютера;
• Имитация членства в группе безопасности для пользователя или компьютера, которая отображает все группы, членом которых является данный объект;
• Список WMI фильтров, которые связаны с групповой политикой и будут включены в конечный запрос;
• Состояние компьютера, где вы сможете узнать, насколько удачно будет применена инфраструктура групповой политики, политик безопасности и изменения в системном реестре.

Вкладка «Сводка» отображена на следующей иллюстрации:

Рис. 6. Вкладка «Сводка» отчета результирующей групповой политики

Вкладка «Параметры». На этой вкладке вы можете увидеть результирующий набор параметров групповой политики, которые применяются к пользователю или компьютеру, для которых был сгенерирован данный отчет. Здесь указаны абсолютно все действия, которые на данный момент применяются в результате реализации групповой политики. Несмотря на то, что данный отчет максимально подробный, некоторые параметры, такие как параметры дисковых квот и беспроводных сетей отображаться не будут. Вкладку «Параметры» отчета результирующей групповой политики вы можете увидеть ниже:

Рис. 7. Вкладка «Параметры» отчета результирующей групповой политики

Вкладка «События политики». Данная вкладка среди всех отчетов является уникальной, и она отображается только для данного отчета. На ней отображены все события групповой политики из журналов событий компьютера, для которого выполнялся отчет результирующей групповой политики. При выполнении двойного щелчка на любом событии откроются его свойства, что позволяет подробно ознакомиться с выбранным событием в случае ошибки. Вкладку «События политики» вы можете увидеть на следующей иллюстрации:

Рис. 8. Вкладка «События политики» отчета результирующей групповой политики

Сохранение отчета результирующей групповой политики

После того как отчет результирующей групповой политики будет сформирован, вы можете сохранить существующий отчет в HTML или XML формате, с поддержкой динамического развертывания секция для дальнейшего изучения. Для этого выделите отчет, который вам нужно сохранить и из контекстного меню выберите команду «Сохранить отчет». В открывшемся диалоговом окне «Сохранение отчета объекта групповой политики» выберите папку для сохранения отчета, введите его название и укажите тип файла. Сохраненный отчет будет выглядеть следующим образом:

Рис. 9. Сохраненный отчет результирующей групповой политики

Генерирование отчета результирующей политики для домена, подразделения или сайта из оснастки «Active Directory – пользователи и компьютеры»

Как было указано выше, вы можете формировать отчеты результирующей групповой политики не только для пользователей или компьютеров вашей организации. При помощи оснастки «Active Directory – пользователи и компьютеры» вы можете составлять отчеты для подразделений и доменов своей организации. Для того, чтобы сгенерировать отчет результирующей групповой политики в режиме планирования для домена вашей организации, выполните следующие действия:

Рис. 10. Открытие мастера результирующей политики из оснастки «Active Directory – пользователи и компьютеры»

Рис. 11. Выбор контейнера для выполнения отчета RSoP

Рис. 12. Страница «Дополнительные параметры эмуляции» мастера

Рис. 13. Страница «Группы безопасности пользователя» мастера

Рис. 14. Страница «Фильтры WMI для пользователей» мастера

Рис. 15. Страница «Сводка выбранных параметров» мастера

После выполнения указанных выше действий откроется оснастка «Результирующая политика», в которой вы можете просмотреть все параметры политики, а также исходные объекты GPO, которые будут выполняться для выбранного вами контейнера. Данная оснастка отображена на следующей иллюстрации:

Рис. 16. Оснастка «Результирующая политика» с отчетом RSoP

Рис. 17. Открытие мастера результирующей политики из оснастки «Active Directory – сайты и службы»

Для формирования отчета вам нужно выполнить все действия, указанные в предыдущей процедуре. Основным отличием является лишь то, что в данном способе формирования результирующей групповой политики невозможно изменить имя сайта в запросе RSoP. Это видно на следующей иллюстрации:

Рис. 18. Выбор сайта при формировании отчета RSoP из оснастки «Active Directory – сайты и службы»

Похожее:

Windows не удалось записать информацию результирующей политики rsop Беспроводная передача данных: типы, технология и устройства Системное администрирование и программирование Как проверить работу групповой политики и GPRESULT — сопоставление результирующей политики (RSoP) для указанного