Gpupdate result команда

Если вы когда-нибудь хотели узнать, какие групповые политики включены на вашем компьютере, у вас есть несколько способов узнать это.

В этой статье мы рассмотрим команду GPResult и то, как мы можем использовать ее для проверки параметров политики.

Проблемы с клиентом часто являются причиной проблем с групповой политикой. В части 4 этой серии
Я расскажу о таких инструментах, как gpupdate и gpresult, которые помогут вам решить эти проблемы.

В этой статье я хочу рассмотреть способы управления групповой политикой с помощью PowerShell, модуля групповой политики и CIM/WMI.

Если вы работаете с Windows Server 2012 или более поздней версии, вы можете установить Консоль управления групповыми политиками через PowerShell следующим образом:

 Install-WindowsFeature – Имя GPMC 

 gpupdate [/target:{computer | user}] [/force] [/wait:<VALUE>] [/logoff] [/boot] [/sync] [/?]\n 

Команда gpupdate /force
используется для принудительного обновления групповых политик, применяемых вашей компанией. Изменения, внесенные в групповую политику, применяются не сразу, а по умолчанию через 90 минут (со смещением ~ 30 минут для распределения нагрузки). Используя GPUUpdate
команда, мы можем принудительно обновить.

Групповые политики используются для изменения настроек безопасности и управления системой (например, развертывание принтеров или подключение сетевых дисков). Для устранения проблем с ИТ иногда необходимо обновить групповую политику вручную.

1. Нажмите клавишу Windows + X или щелкните правой кнопкой мыши в меню «Пуск»
2. Выберите Windows PowerShell или командную строку
   

   
   

3. Введите gpupdate /force и нажмите Enter

   

4. Перезагрузите компьютер

   Перезагрузка необходима, чтобы убедиться, что все настройки применены.

Начиная с Windows Server 2012 и Windows 8, вы можете принудительно обновить групповую политику на нескольких компьютерах с удаленного компьютера с помощью PowerShell (Invoke-GPUpdate) и консоли управления групповыми политиками (GPMC). Это также работает для старых клиентов, таких как Windows 7.

Вы, наверное, знаете, что обновление групповой политики доходит до клиентов до 90 минут. Обычный способ принудительного обновления без задержки — с помощью команды Windows gpupdate. Если вы хотите удаленно обновить групповую политику на нескольких клиентах, вы можете использовать бесплатный инструмент Sysinternals PsExec
. Кстати, когда я попробовал PsExec с gpupdate
Недавно я столкнулся с некоторыми проблемами. Пожалуйста, отпишитесь на форуме, если найдете решение проблемы. В любом случае, новые методы с PowerShell и GPMC более гибкие и удобные.

Команда GPUPDATE используется для обновления групповых политик для пользователя и/или компьютера.

Формат командной строки:

Параметры командной строки:

/Форс
– Применение всех параметров политики. Если не предписаны, применяются только изменившиеся параметры политики.

/Подождите:значение
– Время ожидания (в секундах) завершения обработки политики. По умолчанию – ожидание 600 секунд. Значение ‘0’ – без ожидания. Значение ‘-1’ – ожидание не ограничено.
В случае превышения времени ожидания вновь активизируется окно командной строки, но обработка политики продолжается.

/ Выход из системы
– Выполнение результатов после обновления параметров групповой политики. Требуется для тех клиентских расширений групповой политики, которые не обрабатывают политику в фоновом режиме,
а обрабатывают ее только при входе пользователя, таких, например, как установка программ для пользователя или перенаправление папок. Этот параметр не оказывает влияния, если не вызываются
расширения, требующие выхода пользователя.

/Boot
– Выполнение перезагрузки после применения параметров групповой политики. Требуется для тех клиентских расширений групповой политики,
которые не обрабатывают политику в фоновом режиме, а обрабатывают ее только при запуске, таких, например, как установка программ для компьютера. Этот параметр не оказывает влияния,
если не вызываются расширения, требующие перезапуска системы.

/Sync
– Следующее активное применение политики должно выполняться синхронно. Активные применения политики происходят при перезагрузке компьютера или при входе пользователя в систему. Можно
использовать этот параметр для пользователя, компьютера или для обоих, задав параметр /Target. При этом параметры /Force и /Wait, если они указаны, пропускаются.

gpupdate /?
– отобразить подсказку по использования команды.

gpupdate
– выполняется обновление политик компьютера и политик пользователя. Применяются только изменившиеся политики.

gpupdate /Target:computer
– выполняется обновление политик только для компьютера.

gpupdate /Force
– выполняется обновление всех политик.

gpupdate /Boot
– обновление групповых политик с перезагрузкой компьютера.

Команда GPRESULT позволяет отображать результирующую политику для пользователя и компьютера в локальной или удаленной системе.
Используется системными администраторами для анализа применяемых групповых политик.
Синтаксис и возможности команды в небольшой степени различаются для разных версий ОС Windows.
Основное отличие состоит в том, что отчеты в HTML и XML-формате можно получить только при использовании команды GPRESULT в среде Windows 7 и старше.

Формат командной строки:

Параметры командной строки:

/S система
– Подключаемый удаленный компьютер.

/P пароль
– Пароль для этого пользовательского контекста. Запрос данных, если они не указаны. Нельзя использовать с /X и /H.

/X имя_файла
– Сохранение отчета в XML-формате в расположении и с именем файла, заданным параметром имя_файла
. (допустимо в Windows Vista SP1 и выше, а также в Windows Server 2008 и выше)

/H имя_файла
– Сохранение отчета в HTML-формате в расположении и с именем файла, заданным параметром имя_файла
. (допустимо в Windows Vista SP1 и выше, а также в Windows Server 2008 и выше)

/F
– Указание команде gpresult перезаписывать файл с именем, указанным в команде /X или /H.

/R
– Отображение сводных данных RSoP.

/V
– Отображение подробной информации. Подробная информация содержит сведения о параметрах, примененных с приоритетом 1.

/Z
– Отображение сверхподробной информации. Сверхподробная информация содержит сведения о параметрах, примененных с приоритетом 1 и выше.
Это позволяет увидеть, не был ли параметр задан одновременно в нескольких местах. Более подробная информация приведена в справке по групповой политике.

/?
– Вывод справки по использованию.

gpresult /?
– отобразить справку по использованию команды.

gpresult
– команда без параметров отображает справку по использованию в Windows 7 и старше, или данные результирующей политики для текущего пользователя и текущего компьютера в Windows XP.

GPRESULT /R
– отобразить данные результирующей политики для текущего пользователя и компьютера в Windows 7 и старше.

GPRESULT /H GPReport.html
– отобразить данные результирующей политики для текущего пользователя в виде отчета в HTML-формате.

GPRESULT /X GPReport.xml
– отобразить данные результирующей политики в виде отчета в XML-формате.

Большая часть возможностей команды GPRESULT доступна при использовании редактора локальной групповой политики (оснастки панели управления gpedit.msc
)

Пример отображаемой результирующей политики для подробнейшего режима при выполнении команды GPRESULT в ОС Windows 10:

Пример отчета в HTML-формате

Весь список команд CMD Windows

Wait… or run gpupdate

Group Policy refreshes every 90 minutes with a randomized offset of 30 minutes. If you change a policy right now, it could be as much as 2 hours before all of your clients get the policy. ( Depending on how long Sysvol replication takes in your AD (or if you have a DC on the other side of a slow connection), it could possibly be longer.) If you made the change an hour ago and clients aren’t getting the setting, that’s completely normal. On the client, you can run gpupdate.exe to update changes that have been made to Group Policy. Running a gpupdate.exe /force will ignore any processing optimizations and reapply all of the Group Policy. Or, you can just keep on waiting until all of your computers complete their regular refresh.

View More Information

Until now we have only viewed when the last group policy was applied, and which group policy objects were applied. But sometimes you need more information, for example, which actual settings are made in the policies. For this, we can use the /V
or /Z
parameter.

With the /V
parameter we get the verbose information which provides additional details about the policy. /Z
is the super-verbose parameter, which will also show settings there are made in multiple places.

 gpresult /v 

The results of the verbose parameters are not always as readable as you want. For example, the default domain policy contains the password age settings. With the verbose option, we can clearly see how it’s configured.

But if we take a look at the UPO_IT policy, we can see which settings are configured, but not the actual settings. So the verbose parameters do give us more information, but I recommend using them in combination with the export to HTML option.

Summary

PowerShell provides many ways to work and query group policy with the module GroupPolicy
from the RSAT tools. Also, the added bonus to look through CIM/WMI natively to retrieve information. A lot of information is in the CIM/WMI database and I recommended reading the article attached from Microsoft to delve deeper. I’ve only scratched the surface on the cmdlets and CIM/WMI database, but I hope this shown the potential available to you when working with Group Policy.

GPUpdate vs GPUpdate Force command

The gpupdate /force
command is probably the most used group policy update command. When you use the /force
switch, all the policy settings are reapplied. For most use cases this is perfectly fine, but keep in mind, when you have a lot of group policies objects (GPO) or in a large environment, using the /force will put a huge load on the domain controllers.

If you have a large tenant or a lot of GPO’s, then it’s better to only run gpupdate
without the /force
switch to apply new policy settings. This will get only the changes or new group policies, reducing the load on the client and domain controllers.

 # Reapply all policies
gpupdate /force
# Get only the changed / new group policies
gpupdate 

Update only user or computer group policies

If you have a large environment or need to update the group policies on a lot of computers at the same time, then it can be useful to only update what is needed. This will reduce the load on the domain controllers and it’s of course faster.

 # Update only the user policies
gpupdate /target:user
# Update only the computer policies
gpupdate /target:computer 

Using a GUI

Type rsop.msc
into the run box and then hit enter
.

You will see a pop-up dialog for the small period of time it take Windows to query your system.

Once the console opens you will be able to see which settings have been applied to your PC.

Требования

В некоторых руководствах Microsoft указано, что Invoke-GPUpdate
работает только с PowerShell 4.0 и Windows 8.1/Windows Server 2012 R2. Однако этот командлет появился в Windows Server 2012/Windows 8 и PowerShell 3.0. Это также относится к функции обновления групповой политики консоли управления групповыми политиками, которая представляет собой всего лишь подвеску графического интерфейса командлета Invoke-GPUpdate.

Это не означает, что вы можете удаленно обновлять групповую политику только для этих версий Windows/PowerShell. В своих тестах я мог без проблем использовать Invoke-GPUpdate для клиентов Windows 7, работающих под управлением PowerShell 2.0.

Однако, прежде чем вы сможете использовать эту функцию, вам необходимо обновить настройки брандмауэра в вашем домене. Invoke-GPUpdate работает, только если вы открываете свои клиенты для трафика инструментария управления Windows (WMI-in) и удаленного управления запланированными задачами (RPC, RPC-EPMAP).

Это, пожалуй, самый большой недостаток этого метода, потому что соответствующие TCP-порты также могут быть использованы компьютерными червями. Таким образом, вы должны решить, стоит ли сниженная безопасность в вашей сети возможности без промедления обновлять групповые политики.

Get-GPOReport

Использование Get-GPOReport
Командлет обеспечивает дополнительную гибкость по сравнению с исполняемым файлом GPResult.exe. С помощью этого командлета вы можете создать отчет в формате XML или HTML для определенной групповой политики или для всех в домене. Информация, сгенерированная в отчете, содержит сведения о свойствах и параметрах политики.

Get-GPOReport
позволяет передавать имя или гильдию при создании отчета или отдельной групповой политики.

 Get-GPOReport -Name "TimeZone" -ReportType HTML -Path "C:\tmp\GPOtimezoneReport.html" 

Если вы хотите запустить отчет обо всех групповых политиках в домене, используйте Все
переключатель:

 Get-GPOReport -All -ReportType HTML -Path "C:\tmp\AllGPOs.html" 

Тип отчета
позволяет при необходимости переключиться на XML:

  Get-GPOReport -Name "TimeZone" -ReportType XML -Path "C:\tmp\GPOtimezoneReport.html" 

Если вы обнаружите, что ближайший к вам контроллер домена имеет лучшую производительность сети, то использование параметра Сервер позволяет установить это.

 Get-GPOReport -Name "TimeZone" -ReportType XML -Server 'DC1' 

У вас есть возможность выбрать домен или, не используя этот параметр, используется домен по умолчанию. Домен по умолчанию — это текущий сетевой ресурс в текущем сеансе.

Подведение итогов

Еще одним отличным инструментом для проверки политик является RSoP Utility .
. Это позволяет вам просматривать все примененные параметры политики так же, как инструмент управления групповыми политиками. Вы также можете сгенерировать результаты групповой политики в консоли управления групповой политикой на сервере, убедитесь, что вы также отметили этот параметр.

Если у вас есть какие-либо вопросы, просто оставьте комментарий ниже!

Запуск GPUpdate на удаленном компьютере

Иногда вам может понадобиться быстро обновить групповые политики на нескольких компьютерах, потому что вы изменили настройки интернет-прокси или, например, для замены принтера. Есть несколько способов запустить GPUpdate на удаленном компьютере

Использование консоли управления групповыми политиками

После того, как вы подтвердите обновление, политики будут обновлены, и вы сможете увидеть статус каждого компьютера. В этом примере 5 компьютеров были выключены, поэтому обновление не удалось.

Использование PowerShell для запуска GPUpdate на удаленном компьютере

Основой команды является Invoke-GPUpdate
команд. Нам также нужно указать компьютер
и RansomDelayInMinutes
.

RandomDelayInMinutes используется для снижения сетевой нагрузки при одновременном обновлении множества компьютеров. Вы можете установить его в диапазоне от 0 до 44640 минут (31 день). Используйте 0 для немедленного запуска обновления.

 Invoke-GPUpdate -Компьютер "labrat01" -RandomDelayInMinutes 0 -Force 

С помощью этого мы можем создать небольшой сценарий для всех компьютеров в определенной OU и запускать на них GPupdate.

 # Распределите нагрузку, установив задержку от 1 до 30 минут.
$random = Get-Random -Минимум 1 -Максимум 30
# Получить компьютеры в OU для обновления и запуска GPUpdate
Get-AdComputer -SearchBase "OU=Computers,OU=Lab,DC=lazyadmin,DC=com" -Filter * | ForEach-Object -Proces {Invoke-GPUpdate -Computer $_. Имя -RandomDelayInMinutes $random -Force} 

Или, если вы хотите использовать список компьютеров:

 # На основе списка
$computers = "labpc01,labpc02,labpc03"
$компьютеры | ForEach-Object -Proces {Invoke-GPUpdate -Computer $_ -RandomDelayInMinutes $random -Force} 

Invoke-GPUpdate

Одним из преимуществ командлета Invoke-GPUpdate является то, что вы можете использовать параметр RandomDelayInMinutes для изменения задержки. Если вы хотите сразу же обновить групповую политику, просто установите для нее значение 0.

 Invoke-GPUpdate –Компьютер win7 –RandomDelayInMinutes 0 

В этом примере я инициировал обновление групповой политики без задержки на компьютере с именем «win7».

Invoke-GPUpdate – Пример

taskeng.exe — Политика обновления

Если компьютер недоступен, вы получите красное сообщение об ошибке: Invoke-GPUpdate : Компьютер “win8update” не отвечает. Целевой компьютер либо выключен, либо правила удаленного управления запланированными задачами отключены.

Компьютер не отвечает

Еще одним преимуществом командлета PowerShell является то, что у вас есть больше возможностей для выбора компьютеров, которые вы хотите обновить. Например, с помощью приведенной ниже команды вы должны выбрать все компьютеры, имена которых начинаются с «win7» и находятся в контейнере Active Directory «test».

 Get-ADComputer –Filter 'Name -like "win7*"' -Searchbase "ou=test, dc=domr2, dc=com" | foreach{Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0} 

Я также добавил здесь параметр Force, чтобы гарантировать повторное применение параметров групповой политики, даже если клиент замечает, что новые версии GPO недоступны. Таким образом, когда мы говорим о принудительном обновлении групповой политики, мы на самом деле имеем в виду две разные вещи. Без параметра Force мы просто форсируем обновление без задержки; если мы добавим параметр Force, мы форсируем обновление, даже если действительно нечего обновлять. Параметр Force вступает в игру, если вы считаете, что что-то пошло не так в предыдущем обновлении GPO.

Другой вариант, который вам нужно удаленно обновить GPO, — это с помощью PxExec и gpupdate
.

Развернуть настройки брандмауэра

Установка параметров брандмауэра Windows относительно проста и может быть выполнена с помощью групповой политики.

1. Запустите GPMC, перейдите к Starter GPO и щелкните Create Starter GPO Folder
   . (Если вы уже работали с начальными объектами групповой политики, этот шаг можно пропустить.)

   
   

2. Теперь вы должны увидеть начальные объекты групповой политики, включая порты удаленного обновления групповой политики брандмауэра. Щелкните домен правой кнопкой мыши и выберите Создать объект групповой политики в этом домене и связать его здесь .
   .

   
   

3. Присвойте новому GPO имя Порты брандмауэра удаленного обновления групповой политики
   и выберите соответствующий Starter GPO в раскрывающемся меню Source Starter GPO ниже.

   
   

4. Вы должны убедиться, что новый объект групповой политики стоит первым в порядке связанных объектов групповой политики. Вы можете переместить ссылку GPO с помощью стрелки вверх слева.

   
   

Прежде чем вы сможете работать с командлетом Invoke-GPUpdate, вам придется подождать, пока новые настройки брандмауэра Windows будут реплицированы на все ваши клиенты.

Работа с WMI для получения информации о групповой политике

Экземпляры этого класса разделены на три области:

• Прикладная групповая полиция
• Групповые политики с доступом на чтение, но без applyGroupPolicy
  доступ
• Групповые политики для инвалидов

Компьютерный пример выглядит так:

 $instanceParams = @{ ИмяКласса = 'RSOP_GPO' Пространство имен = 'root\rsop\computer' Фильтр = 'имя НРАВИТСЯ "Экран%"'
}
Get-CimInstance @instanceParams 

Использование CIM для просмотра групповой политики

Обратите внимание на %
после теста в параметре фильтра — это оператор подстановки в WMI/CIM, в отличие от обычного «*», используемого в других областях.

 $instanceParams = @{ ИмяКласса = 'RSOP_GPO' Пространство имен = "root\rsop\user\$user" Фильтр = 'имя НРАВИТСЯ "Тест%"'
}
Get-CimInstance @instanceParams 

Обновление удаленной групповой политики GPMC

Принудительное удаленное обновление групповой политики с помощью консоли управления групповыми политиками (GPMC) довольно просто.

1. Щелкните правой кнопкой мыши контейнер в консоли управления групповыми политиками и выберите Обновление групповой политики.

   
   
   

2. Подтвердите, что хотите принудительно обновить групповую политику на выбранных клиентах.

   
   

3. В окне результатов обновления удаленной групповой политики вы увидите список компьютеров, получивших запрос на обновление, и тех, на которых обновление не удалось. Сохраните эти результаты, чтобы вернуться к ним позже, или нажмите Закрыть
   чтобы выйти из результатов без сохранения.

   
   

Недостаток использования консоли управления групповыми политиками для обновления политик заключается в том, что может возникнуть задержка до 10 минут, прежде чем все ваши клиенты примут новые параметры групповой политики. Причина в том, что если в вашей организационной единице много компьютеров, это может повлиять на производительность контроллера домена. Конечно, это также является причиной задержки обычных обновлений групповой политики. Итак, с этой новой функцией вы можете выиграть всего несколько минут. Если вам действительно нужно немедленно принудительно обновить групповую политику, вам понадобится командлет PowerShell.

Использование командной строки

Если вы ищете все политики, применяемые к вашему компьютеру, все, что вам нужно сделать, это изменить область действия:

gpresult /Scope Computer /v

Подведение итогов

Я надеюсь, что эта статья помогла вам с командой GPUpdate /force. Если у вас есть какие-либо вопросы, просто оставьте комментарий ниже.

Get-GPO

Последний командлет, который я рассмотрю в этой статье, — Get-GPO. Командлет Get-GPO, как и следовало ожидать, возвращает указанную групповую политику или все из домена. Get-GPO отображает дополнительную информацию, которой нет у некоторых других командлетов, например Owner
, Ид
, GpoStatus
, Время Создания
и ModificationTime
.

В этом командлете не так много возможностей для использования. Если вы знаете имя объекта групповой политики, который хотите отобразить, введите его после параметра имени:

 Get-GPO -Name "заставка" 

Командлет Get GPO, отображающий групповую политику

Параметры Домен
, Сервер
и Все
которые представлены в других командлетах групповой политики, также доступны в Get-GPO
. Они используются одинаково, поэтому я не буду добавлять дополнительные примеры. Стоит отметить Get-GPO
можно передать вывод другим командлетам групповой политики в модуле.

Invoke-GPUpdate

Invoke-GPUpdate
командлет аналогичен использованию gpupdate.exe. Вместо gpupdate /force вы можете использовать Invoke-GPUpdate
командлет для планирования обновления групповой политики. Компьютер
Параметр позволяет запланировать обновление групповой политики на удаленной машине:

 Invoke-GPUpdate -Компьютер "ДОМЕН\COMP01" 

 Invoke-GPUpdate -Компьютер "DOMAIN\COMP01" -Целевой пользователь 

Удобный параметр под названием RandomDelayInMinutes
позволяет указать временное окно с добавлением случайного фактора для снижения нагрузки на сеть. Использование целого числа 0 заставит групповую политику обновляться как можно скорее.

 «КОМП01», «КОМП02», «КОМП03» |
Foreach-Object {Invoke-GPUpdate -Computer $_ -RandomDelayInMinutes 20} 

Параметры ботинок
и выход из системы
будет перед перезагрузкой или выходом из системы после завершения применения обновления:

 Invoke-GPUpdate -Компьютер "DOMAIN\COMP01" -Boot
Invoke-GPUpdate -Компьютер "DOMAIN\COMP01" -Выход из системы 

Следующие шаги

Если объект групповой политики был применен, но отсутствуют настройки, попробуйте запустить gpupdate.exe, чтобы проверить, не обновился ли клиент. Вы также можете обратиться к выходным данным gpresult.exe. У вас может быть система с медленным соединением, параметр, который не применим к текущей ОС, другой параметр, имеющий приоритет, циклическая обработка, которая отключает параметр, или расширение на стороне клиента (обычно предпочтения групповой политики или сторонние продукты). проблемы. Если выходные данные gpresult.exe не сообщают вам, в чем проблема, это должен сделать журнал событий.

В следующем посте я расскажу проблемы групповой политики Active Directory
.

Общие командлеты групповой политики PowerShell

После того, как вы установили модуль групповой политики, вы обнаружите, что есть много командлетов для работы. Использование Get-Command показывает 26 доступных для использования командлетов:

 Get-Command -Module GroupPolicy 

Я не буду рассматривать их все, но некоторые из них вы можете использовать вместо старых исполняемых решений.

Автоматическая перезагрузка или выход из системы после GPUpdate

С использованием /logoff
или /boot
переключатель, мы можем позволить gpupdate выяснить, требуется ли выход из системы или перезагрузка. Чтобы было ясно, если вы запустите gpupdate /boot, компьютер перезагрузится только в том случае, если этого потребует изменение политики. В противном случае политика будет применена сразу без перезагрузки.

• GPUpdate /logoff
  требуется, например, после изменений политики в Active Directory, таких как перенаправление папок или принтеров. Изменения в AD применяются только тогда, когда пользователь входит в систему на компьютере.
• GPUpdate /boot
  Например, это необходимо при создании изменений для распространения программного обеспечения.

Компьютер GPResult

• Щелкните правой кнопкой мыши на Пуск
  или нажмите клавишу Windows + X
• Выберите Windows Terminal (admin)
  или PowerShell (администратор)

 Данные RSOP для LAZYADMIN\Administrator на LA-WIN11-LAB03: Режим регистрации
-------------------------------------------------- ---------------------
Конфигурация ОС: рядовая рабочая станция
Версия ОС: 10.0.22000
Имя сайта: Имя сайта по умолчанию
Перемещаемый профиль: нет данных
Локальный профиль: C:\Users\administrator
Подключены по медленному каналу?: Нет
НАСТРОЙКИ КОМПЬЮТЕРА
------------------ CN=LA-WIN11-LAB03,OU=Компьютеры,OU=Амстердам,OU=Сайты,DC=lazyadmin,DC=nl Последнее применение групповой политики: 15 сентября 2022 г., 12:47:29. Групповая политика была применена из: LazySrvLab02.lazyadmin.nl Порог медленного соединения групповой политики: 500 кбит/с Доменное имя: LAZYADMIN Тип домена: Windows 2008 или более поздняя версия. Применяемые объекты групповой политики ----------------------------- CPO_Win11_Настройки CPO_Bitlocker_Settings Политика домена по умолчанию Следующие объекты групповой политики не были применены, поскольку они были отфильтрованы. -------------------------------------------------- ------------------ Локальная групповая политика Фильтрация: не применяется (пусто) Компьютер входит в следующие группы безопасности -------------------------------------------------- ----- ВСТРОЕННЫЕ\Администраторы Каждый ВСТРОЕННЫЕ\Пользователи ПОЛНОМОЧИЯ NT\СЕТЬ NT AUTHORITY\Аутентифицированные пользователи Эта организация LA-WIN11-LAB03$ Компьютеры домена Орган аутентификации подтвердил личность Системный обязательный уровень
ПОЛЬЗОВАТЕЛЬСКИЕ НАСТРОЙКИ
-------------- CN=Администратор,CN=Пользователи,DC=lazyadmin,DC=nl ### ПОЛЬЗОВАТЕЛЬ ЯВЛЯЕТСЯ АДМИНИСТРАТОРОМ! Последнее применение групповой политики: 15 сентября 2022 г., 9:53:05. Групповая политика была применена из: LazySrvLab02.lazyadmin.nl Порог медленного соединения групповой политики: 500 кбит/с Доменное имя: LAZYADMIN Тип домена: Windows 2008 или более поздняя версия. Применяемые объекты групповой политики ----------------------------- Н/Д Следующие объекты групповой политики не были применены, поскольку они были отфильтрованы. -------------------------------------------------- ------------------ Локальная групповая политика Фильтрация: не применяется (пусто) Пользователь входит в следующие группы безопасности 

Использование команды GPResult

Полезно знать, что когда вы запускаете команду в контексте пользователя, она показывает только политики вошедшего в систему пользователя. Чтобы просмотреть политики компьютера, вам нужно будет использовать терминал с повышенными правами или войти в систему как администратор, но об этом позже.

 GPResult /r 

Результат будет выведен на консоль, и здесь важно отметить несколько моментов:

1. Отличительное имя пользователя также сообщает, в какой организационной единице находится пользователь.
2. Время последнего обновления политик и с какого контроллера домена
3. Объект примененных групповых политик, эти политики действуют
4. Отфильтрованные политики

Политики автоматически обновляются каждые 90 минут, но вы можете принудительно обновить их с помощью команды GPUpdate. Если вы хотите проверить, применяется ли политика, убедитесь, что вы проверяете время последнего применения политик и с какого сервера они извлекаются. Если у вас несколько контроллеров домена, возможно, ваши последние изменения групповой политики еще не были синхронизированы с другим сервером.

Убедитесь, что вы также проверили встроенную утилиту RSoP
в Windows 10 и 11. Этот инструмент делает устранение неполадок политик еще проще!

Пустые и отключенные политики отфильтровываются. Вы можете распознать отключенные политики в групповой политике, управляемой светло-серым значком.

Экспорт GPResult в HTML

Таким образом, чтобы сделать данные gpresult более читабельными, мы можем экспортировать результат в файл HTML. HTML-файл имеет такой же формат, как и вкладка «Параметры» в консоли управления групповыми политиками. При экспорте в HTML указывать не нужно /R
или один из подробных параметров /Z
или /V
. Он сгенерирует для вас подробный HTML-код со всей необходимой подробной информацией. Вам нужно указать путь и имя файла:

 gpresult /USER ztucker /H c:\temp\gpresult-ztucker.html 

Если имя файла уже существует, вы можете получить сообщение об ошибке. Чтобы перезаписать файл, вы можете использовать /f
параметр для принудительной перезаписи существующего файла.

Gpresult

HTML-вывод gpresult

Если вам не нужны красивые отчеты или вы хотите, чтобы результаты выводились в виде текста, вы можете запустить gpresult.exe с различными параметрами, чтобы получить вывод в виде текста. Параметр /r даст вам довольно ограниченный отчет, который включает все, кроме фактически применяемых настроек. Лично мне нравится подробный вывод с параметром /v. По умолчанию вывод будет отображаться в окне командной строки. Вы можете запустить gpresult.exe /v >> verbose_output.txt
чтобы сохранить вывод в текстовый файл. Если вам нужна полная информационная перегрузка, /z предоставляет «сверхподробную» информацию.

gpresult подробный текстовый вывод

Получить GPResult удаленного компьютера

Мы используем параметр /user, а не /u. Последний используется, когда вы хотите запустить команду в контексте другого пользователя, например, как администратор. С помощью /user мы можем указать пользователя, от которого мы хотим получить данные RSoP.

 gpresult /S LA-WIN11-LAB03 /user ztucker /R 

Укажите пользователя для GPResult

 # Соберите данные RSoP для пользователя Zoe Tucker
gpresult /USER ztucker /R 

 gpresult /USER ztucker /SCOPE Компьютер /R
# Или ограничить область действия пользователя:
gpresult /USER ztucker /SCOPE USER /R 

Get-GPResultantSetOfPolicy

 Get-GPResultantSetOfPolicy -user Person01 -computer 'DOMAIN\COMP01' -reporttype html -path c:\tmp\Person01Report.html 

Похожее:

Подробный обзор этой утилиты командной строки Обновить политики пользователя Почему не применяется групповая политика, решаем за минуту Системное администрирование и программирование