GPResult.exe công cụ dòng lệnh được sử dụng để lấy Bộ chính sách kết quả (RSoP) được áp dụng cho người dùng và / hoặc máy tính trong miền Active Directory. GPResult cho phép bạn hiển thị danh sách các chính sách miền (GPO) được áp dụng cho máy tính và người dùng, cài đặt chính sách, thời gian xử lý GPO và các lỗi. Đây là công cụ quản trị viên được sử dụng phổ biến nhất để phân tích cài đặt và khắc phục sự cố Chính sách Nhóm trong Windows.
Trong bài viết này, chúng ta sẽ xem xét cách sử dụng lệnh GPResult để chẩn đoán, gỡ lỗi và phân tích cài đặt Chính sách Nhóm được áp dụng cho Windows trong miền Active Directory.
Làm thế nào để Sử dụng Lệnh Kết quả Chính sách Nhóm (GPResult.exe)?
Bạn phải chạy lệnh GPResult trên máy tính mà bạn muốn kiểm tra việc áp dụng Chính sách Nhóm. Cú pháp cho GPResult là:
GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]
Để nhận thông tin chi tiết về Chính sách nhóm được áp dụng cho người dùng hoặc máy tính cụ thể, cũng như các cài đặt khác liên quan đến cơ sở hạ tầng GPO (kết quả cài đặt chính sách GPO, RsoP), hãy mở dấu nhắc lệnh và chạy lệnh này:
Gpresult /r
Kết quả của lệnh này được chia thành hai phần:
- CÀI ĐẶT MÁY TÍNH - phần chứa thông tin về các đối tượng GP được áp dụng cho máy tính (như một đối tượng Active Directory);
- CÀI ĐẶT NGƯỜI DÙNG - đây là phần chính sách người dùng (các chính sách áp dụng cho tài khoản của người dùng AD).
Hãy trình bày ngắn gọn các cài đặt / phần cơ bản trong đầu ra GPResult mà quản trị viên có thể quan tâm:
- Tên Trang web - là tên của trang AD nơi đặt máy tính;
- CN - tên máy tính / người dùng chuẩn đầy đủ mà dữ liệu RSoP được tạo;
- Lần cuối cùng Chính sách Nhóm được áp dụng - là thời điểm cài đặt Chính sách nhóm được áp dụng lần cuối (cập nhật);
- Chính sách Nhóm được áp dụng từ - là tên bộ điều khiển miền mà từ đó các phiên bản GPO cuối cùng đã được tải xuống;
- Tên miền và Loại miền - là tên và số phiên bản của lược đồ miền Active Directory;
- Đối tượng chính sách nhóm được áp dụng - là danh sách các GPO được áp dụng;
- Các GPO sau không được áp dụng vì chúng đã bị lọc ra
- Người dùng là một phần của các nhóm bảo mật sau - danh sách các nhóm bảo mật miền mà người dùng là thành viên.
Trong ví dụ này, bạn có thể thấy rằng 4 Chính sách Nhóm được áp dụng cho đối tượng người dùng.
- Tắt thông tin đăng nhập được lưu trong bộ nhớ cache;
- Danh sách Tìm kiếm Hậu tố DNS;
- Bật Tường lửa của Windows;
- Chính sách miền mặc định.
Báo cáo cũng sẽ chứa thông tin về cài đặt chính sách cục bộ được định cấu hình thông qua Local Group Policy Editor (gpedit.msc ).
Bạn có thể sử dụng tùy chọn / scope để chỉ hiển thị chính sách người dùng hoặc máy tính:
gpresult /r /scope:user
hoặc chỉ các chính sách máy tính được áp dụng:
gpresult /r /scope:computer
Nếu bạn cố gắng lấy danh sách GPO được áp dụng cho một đối tượng máy tính trong tài khoản người dùng không phải quản trị viên, lệnh gpresult sẽ trả về lỗi bị từ chối truy cập:
gpresult /r /scope:computer
ERROR: Access Denied.
Để thuận tiện cho việc phân tích cú pháp và phân tích dữ liệu RSOP, bạn có thể chuyển hướng kết quả Gpresult đến khay nhớ tạm:
Gpresult /r |clip
hoặc tệp văn bản:
Gpresult /r > c:\ps\gpresult.txt
Để hiển thị thông tin trả lời chi tiết hơn, bạn cần thêm / z khóa:
Gpresult /r /z
Ví dụ:ảnh chụp màn hình hiển thị cài đặt chính sách mật khẩu miền được áp dụng cho máy tính.
Xuất Báo cáo RSoP sang HTML với GPResult
GPResult cho phép bạn tạo báo cáo HTML về các chính sách kết quả được áp dụng (có sẵn trong Windows 7 và mới hơn). Báo cáo này chứa thông tin chi tiết về tất cả các cài đặt hệ thống do Chính sách Nhóm đặt và tên của các GPO đã đặt chúng. Báo cáo gpresult HTML có cấu trúc tương tự như Cài đặt trong Bảng điều khiển Quản lý Chính sách Nhóm (gpmc.msc ). Bạn có thể tạo báo cáo RSoP HTML bằng lệnh gpresult sau:
GPResult /h c:\PS\gpo-report.html /f
Nếu bạn không chỉ định đường dẫn đầy đủ đến tệp HTML, thì báo cáo HTML của gpresult sẽ được lưu vào %WINDIR%\system32 thư mục. 
Để tạo và tự động mở báo cáo trong trình duyệt, hãy chạy lệnh sau:
GPResult /h GPResult.html & GPResult.html
Báo cáo gpresult HTML chứa khá nhiều thông tin hữu ích:bạn có thể thấy các GPO áp dụng lỗi, thời gian xử lý (tính bằng mili giây) cho một chính sách cụ thể và các CSE (trong phần Chi tiết máy tính -> Trạng thái thành phần). Điều này hữu ích khi bạn cần hiểu tại sao quá trình xử lý GPO mất nhiều thời gian.
Ví dụ:trong ảnh chụp màn hình ở trên, bạn có thể thấy rằng E nforce lịch sử mật khẩu chính sách với cài đặt “24 mật khẩu được ghi nhớ” được áp dụng bởi Chính sách miền mặc định ( Giành GPO cột).
Báo cáo HTML cho phép bạn trình bày tập hợp các GPO máy tính kết quả ở dạng đồ họa thuận tiện.
GPResult:Lấy Dữ liệu RSOP từ Máy tính Từ xa
GPResult có thể nhận được một bộ chính sách kết quả từ một máy tính từ xa mà không cần đăng nhập cục bộ hoặc thông qua RDP trên thiết bị từ xa.
GPResult /s remote-pc-name1 /r
Bạn có thể chỉ định tên người dùng và mật khẩu để kết nối với máy tính từ xa bằng các tùy chọn gpresult:
gpresult /R /S wks2b21c /scope user /U corp\jsmith /P myPaSSw0rd1!
Nếu bạn không muốn mật khẩu của mình được lưu trong lịch sử lệnh PowerShell, bạn có thể nhắc nhập mật khẩu một cách tương tác:
gpresult /R /S wks2b21c /scope user /U corp\jsmith /P
Tương tự, bạn có thể thu thập dữ liệu từ xa về cả chính sách người dùng và máy tính.
Nếu bạn không biết tên của người dùng đã đăng nhập vào máy tính từ xa, bạn có thể lấy tên người dùng như sau:
qwinsta /SERVER:wks2b21c
Get-GPResultantSetOfPolicy -user jsmith -computer corp\wks2b21c -reporttype html -path c:\ps\gpo_rsop_report.html
GPResult:Người dùng không có dữ liệu RSoP
Khi UAC được bật và GPResult được sử dụng ở chế độ không nâng cao, chỉ phần cài đặt người dùng của Chính sách nhóm được hiển thị. Nếu bạn cần hiển thị cả hai phần (CÀI ĐẶT NGƯỜI DÙNG và CÀI ĐẶT MÁY TÍNH), lệnh phải đang chạy trong dấu nhắc lệnh với đặc quyền của quản trị viên.
Nếu dấu nhắc lệnh nâng cao được chạy thay mặt cho tài khoản khác với người dùng hiện tại, công cụ sẽ hiển thị cảnh báo: THÔNG TIN:Người dùng “miền \ người dùng” không có dữ liệu RSOP . Điều này xảy ra vì GPResult cố gắng thu thập dữ liệu của người dùng đã khởi chạy nó, nhưng vì người dùng này chưa đăng nhập nên không có thông tin RSOP cho anh ta. Để thu thập thông tin RSOP cho người dùng có phiên hoạt động, bạn cần chỉ định tài khoản của họ:
gpresult /r /user:corp\edward
Ngoài ra, hãy kiểm tra thời gian (và múi giờ) trên máy khách. Thời gian phải khớp với thời gian trên bộ điều khiển miền chạy vai trò FSMO PDC (Bộ điều khiển miền chính).
Các GPO sau không được áp dụng vì chúng đã bị lọc ra
Khi gỡ rối các Chính sách nhóm được áp dụng, bạn cần chú ý đến phần: Các GPO sau không được áp dụng vì chúng đã bị lọc ra . Nó chứa danh sách các GPO không được áp dụng cho đối tượng này vì bất kỳ lý do gì. Dưới đây là một số lý do tại sao GPOsare không được áp dụng cho một đối tượng Active Directory cụ thể:
- Lọc:Không được Áp dụng (Rỗng) - chính sách trống (không có gì để áp dụng);
- Lọc:Bị từ chối (Lý do không xác định) - người dùng / máy tính có thể không có quyền đọc / áp dụng chính sách này. Các quyền có thể được định cấu hình trong tab Bảo mật của Bảng điều khiển Quản lý Chính sách Nhóm (
gpmc.msc); - Lọc:Bị từ chối (Bảo mật) - một lời từ chối rõ ràng được chỉ định trong phần Áp dụng chính sách nhóm hoặc đối tượng AD không có trong danh sách nhóm trong phần Lọc bảo mật của GPO.
Bạn cũng có thể xem liệu GPO có nên được áp dụng cho một đơn vị tổ chức (OU) trong AD hay cho một đối tượng cụ thể trên tab quyền hiệu quả (Nâng cao -> Truy cập hiệu quả) trong GPMC hay không.
Phần đính kèmBộ Chính sách Kết quả (RSOP.msc) trong Windows
Ban đầu, bảng điều khiển đồ họa RSOP.msc được sử dụng để chẩn đoán Chính sách nhóm được áp dụng trong Windows. Phần đính vào mmc này cho phép bạn nhận cài đặt của các chính sách kết quả (miền + cục bộ) được áp dụng cho máy tính và người dùng ở dạng đồ họa tương tự như bảng điều khiển trình soạn thảo GPO. RSOP.msc bảng điều khiển trên ảnh chụp màn hình bên dưới cho thấy cài đặt cập nhật Windows được định cấu hình bởi chính sách WSUS_SERVERS.
Bạn không thể sử dụng RSOP.msc để phân tích đầy đủ các GPO được áp dụng trong các phiên bản Windows hiện đại. Nó không hiển thị các cài đặt được áp dụng thông qua Tiện ích mở rộng phía máy khách (CSE), chẳng hạn như GPP (Tùy chọn chính sách nhóm), không cho phép tìm kiếm và cung cấp ít thông tin chẩn đoán. Khi chạy rsop.msc trên Windows 10 và 11, đã có cảnh báo rằng bạn nên sử dụng gpresult để nhận báo cáo GPO đầy đủ.
Starting with Vista, the Resultant Set of Policies (RSoP) report does not show all Microsoft Group Policy settings. To see the full set of Microsoft Group Policy settings applied for a computer or user, use the command-line tool gpresult.
Trong bài viết này, chúng tôi đã xem xét cách sử dụng lệnh GPResult để phân tích các Chính sách nhóm kết quả được áp dụng trong Windows. Ngoài ra, hướng dẫn sau đây có thể hữu ích để khắc phục sự cố GPO trong miền:“Các vấn đề thường gặp khiến Chính sách Nhóm không được áp dụng cho máy khách”.