Просмотреть примененные политики gpo

If you are using group policy in your environment then you definitely should know how to use this tool.

Topics in this guide:

In this article, we’ll take a look at how to use the GPResult command to diagnose, debug, and analyze Group Policy settings applied to Windows in an Active Directory domain.

Групповая политика – это способ настройки параметров компьютера и пользователя для устройств, которые присоединены к доменным службам Active Directory (AD), а также к учетным записям локальных пользователей. Она контролирует широкий спектр параметров и может использоваться для принудительного применения и изменения настроек по умолчанию для соответствующих пользователей. Локальная групповая политика – это базовая версия групповой политики для компьютеров, не входящих в домен. Параметры локальной групповой политики хранятся в следующих папках:

Когда в Windows 10 вам необходимо открыть редактор локальной групповой политики, для этого вы можете использовать командную строку, команду выполнить, поиск на панели задач, меню Пуск или с помощью консоли управления (MMC).

Рассмотрим самые простые варианты:

Команда GPUPDATE используется для обновления групповых политик для пользователя и/или компьютера .

Формат командной строки:

Параметры командной строки:

/Force – Применение всех параметров политики. Если не указано, применяются только изменившиеся параметры политики.

/Wait:значение – Время ожидания (в секундах) завершения обработки политики. По умолчанию – ожидание 600 секунд. Значение ‘0’ – без ожидания. Значение ‘-1’ – ожидание не ограничено.
В случае превышения времени ожидания вновь активизируется окно командной строки, но обработка политики продолжается.

/Logoff – Выполнение выхода после обновления параметров групповой политики. Требуется для тех клиентских расширений групповой политики, которые не обрабатывают политику в фоновом режиме,
а обрабатывают ее только при входе пользователя, таких, например, как установка программ для пользователя или перенаправление папок. Этот параметр не оказывает влияния, если не вызываются
расширения, требующие выхода пользователя.

/Boot – Выполнение перезагрузки после применения параметров групповой политики. Требуется для тех клиентских расширений групповой политики,
которые не обрабатывают политику в фоновом режиме, а обрабатывают ее только при запуске, таких, например, как установка программ для компьютера. Этот параметр не оказывает влияния,
если не вызываются расширения, требующие перезапуска системы.

/Sync – Следующее активное применение политики должно выполняться синхронно. Активные применения политики происходят при перезагрузке компьютера или при входе пользователя в систему. Можно
использовать этот параметр для пользователя, компьютера или для обоих, задав параметр /Target. При этом параметры /Force и /Wait, если они указаны, пропускаются.

gpupdate /? – отобразить подсказку по использования команды.

gpupdate – выполняется обновление политик компьютера и политик пользователя. Применяются только изменившиеся политики.

gpupdate /Target:computer – выполняется обновление политик только для компьютера.

:/> Утилиты на power shell для системных администраторов

gpupdate /Force – выполняется обновление всех политик.

gpupdate /Boot – обновление групповых политик с перезагрузкой компьютера.

Команда GPRESULT позволяет отображать результирующую политику для пользователя и компьютера в локальной или удаленной системе.
Используется системными администраторами для анализа применяемых групповых политик.
Синтаксис и возможности команды в небольшой степени различаются для разных версий ОС Windows.
Основное отличие состоит в том, что отчеты в HTML и XML-формате можно получить только при использовании команды GPRESULT в среде Windows 7 и старше.

/S система – Подключаемый удаленный компьютер.

/P пароль – Пароль для этого пользовательского контекста. Запрос данных, если они не указаны. Нельзя использовать с /X и /H.

/X имя_файла – Сохранение отчета в XML-формате в расположении и с именем файла, заданным параметром имя_файла. (допустимо в Windows Vista SP1 и выше, а также в Windows Server 2008 и выше)

/H имя_файла – Сохранение отчета в HTML-формате в расположении и с именем файла, заданным параметром имя_файла. (допустимо в Windows Vista SP1 и выше, а также в Windows Server 2008 и выше)

/F – Указание команде gpresult перезаписывать файл с именем, указанным в команде /X или /H.

/R – Отображение сводных данных RSoP.

/V – Отображение подробной информации. Подробная информация содержит сведения о параметрах, примененных с приоритетом 1.

/Z – Отображение сверхподробной информации. Сверхподробная информация содержит сведения о параметрах, примененных с приоритетом 1 и выше.
Это позволяет увидеть, не был ли параметр задан одновременно в нескольких местах. Более подробная информация приведена в справке по групповой политике.

/? – Вывод справки по использованию.

gpresult /? – отобразить справку по использованию команды.

gpresult – команда без параметров отображает справку по использованию в Windows 7 и старше, или данные результирующей политики для текущего пользователя и текущего компьютера в Windows XP.

GPRESULT /R – отобразить данные результирующей политики для текущего пользователя и компьютера в Windows 7 и старше.

GPRESULT /H GPReport.html – отобразить данные результирующей политики для текущего пользователя в виде отчета в HTML-формате.

GPRESULT /X GPReport.xml – отобразить данные результирующей политики в виде отчета в XML-формате.

Большая часть возможностей команды GPRESULT доступна при использовании редактора локальной групповой политики (оснастки панели управления gpedit.msc)

Пример отображаемой результирующей политики для подробнейшего режима при выполнении команды GPRESULT в ОС Windows 10

Пример отчета в HTML-формате

Весь список команд CMD Windows

Policy Plus

Существует хорошая альтернатива встроенному приложению gpedit.msc, которое называется Policy Plus. Это стороннее приложение с открытым исходным кодом: PolicyPlus

Policy Plus предназначен для того, чтобы сделать параметры групповой политики доступными для всех.

:/> Живые обои на рабочий стол

Открыть редактор локальной групповой политики с помощью команды «Выполнить».

Открыть редактор локальной групповой политики из командной строки или PowerShell

Чтобы просмотреть все применяемые политики в разделе «Конфигурация компьютера», перейдите в раздел «Конфигурация компьютера Административные шаблоны Все параметры»

Чтобы просмотреть все применяемые политики пользовательской настройки, перейдите в раздел «Конфигурация пользователя Административные шаблоны Все параметры».

Примечание: вы можете использовать поиск на панели задач.

Открыть редактор локальной групповой политики с помощью Проводника Windows.

Открыть редактор локальной групповой политики в качестве оснастки консоли управления.

Group Policy Reports

This easy to use tool will quickly generate a report on all GPOs, disabled GPOs, recently modified, and created, GPOs that are not linked, and much more. Below is a complete list of GPO reports.

General Group Policy Reports

You can download a free trial and test the reports on your own network.

Открыть редактор локальной групповой политики в Windows 10 Home.

Как вы уже знаете, приложение Редактора локальной групповой политики доступно в Windows 10 Pro, Enterprise или Education. Пользователи Windows 10 Home не имеют доступа к gpedit.msc из-за ограничений ОС. Вот простое и элегантное решение, которое позволяет разблокировать его без установки сторонних приложений.

Существует простой способ включить Редактор локальных групповых политик в Windows 10 Home запустив всего лишь один пакетный файл.

Пакетный файл вызовет DISM для активации редактора локальной групповой политики. Подождите, пока командный файл не завершит свою работу.

Помните, что некоторые политики не будут работать в Windows Home. Некоторые политики жестко заданы для версий Windows Pro. Кроме того, если вы активируете gpedit.msc с помощью предоставленного пакетного файла, изменение политик для отдельных пользователей не вступит в силу. Они по-прежнему требуют настройки реестра.

Вы можете самостоятельно создать пакетный файл. Прежде чем начать, рекомендуем создать точку восстановления системы, и вы могли в любой момент отменить произведенные изменения в системе.

Все! Редактор локальных групповых политик (gpedit.msc) включен и теперь Вы можете его запустить любым из описанных выше способов.

Следующие объекты групповой политики не были применены, поскольку они были отфильтрованы

Как использовать команду результатов групповой политики (GPResult.exe)?

Вы должны запустить команду GPResult на том компьютере, на котором хотите проверить применение групповой политики. Синтаксис GPResult:

Отчет также будет содержать информацию о параметрах локальной политики, настроенных с помощью редактора локальной групповой политики (gpedit.msc).

ОШИБКА: Отказано в доступе.

Примеры GPResult

Под объектами примененной групповой политики я вижу, что применяются все три объекта групповой политики.

Показать объекты групповой политики, примененные к конкретному пользователю

gpresult /r /scope:computer

Показать объекты групповой политики, примененные на удаленном компьютере

gpresult /s pc2 /r

:/> Пошаговое руководство по SQLCMD

Создание HTML-отчета

Создает отчет в формате html о примененных объектах групповой политики. Если вы не укажете путь, он сохранит его в папку system32.

gpresult /h c:
eports.html

Экспорт в текстовый файл

Вы можете перенаправить вывод в текстовый файл с помощью приведенной ниже команды. Это полезно, если результаты дают много информации.

Результирующий набор политик (RSOP. msc) Оснастка в Windows

Вы не можете использовать RSOP.msc для полного анализа применяемых объектов групповой политики в современных версиях Windows. Он не показывает параметры, примененные через клиентские расширения (CSE), такие как GPP (предпочтения групповой политики), не разрешает поиск и предоставляет мало диагностической информации. При запуске rsop.msc в Windows 10 и 11 появлялось предупреждение о том, что вы должны использовать gpresult для получения полного отчета о GPO.

Видеоруководство по GPResult

Если вам не нравятся видеоуроки или вы хотите получить более подробную информацию, продолжайте читать инструкции ниже.

Именно для этого и был создан GPresult.

Как узнать, работают ли они?

Как проверить правильность применения этих объектов групповой политики?

В следующем разделе я покажу вам, как именно я могу использовать gpresult для проверки применения этих объектов групповой политики.

Команда GPResult включена в версии Windows Server 2008 и выше. Он также включен в клиентскую версию Windows 7 и выше.

Экспорт отчета RSoP в HTML с помощью GPResult

Если не указать полный путь к файлу HTML, то HTML-отчет gpresult будет сохранен в папку %WINDIR%system32.

Например, на скриншоте выше видно, что политика Enforce password history с настройками «запоминается 24 пароля» применяется Default Domain Policy (столбец Winning GPO).

Отчет в формате HTML позволяет представить результирующий набор объектов групповой политики компьютера в удобной графической форме.

Получение данных RSOP с удаленного компьютера

Если вы не хотите, чтобы ваш пароль сохранялся в истории команд PowerShell, вы можете интерактивно запросить пароль:

HTML-отчет RSOP, аналогичный отчету, сгенерированному командой gpresult, можно создать с помощью PowerShell. Чтобы получить результирующий отчет политик с удаленного компьютера, используйте командлет Get-GPResultantSetOfPolicy из модуля GroupPolicy:

У пользователя нет данных RSoP

Также проверьте время (и часовой пояс) на клиенте. Время должно совпадать со временем на контроллере домена с ролью FSMO PDC (первичный контроллер домена).