Rsop msc что это
Команда GPResult: диагностика результирующих групповых политик
Утилита GPResult.exe – представляет собой консольное приложение, предназначенное для анализа настроек и диагностики групповых политик, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные результирующего набора политик (Resultant Set of Policy, RSOP), список примененных доменных политик (GPO), их настройки и детальную информацию об ошибках их обработки. Утилита входит в состав ОС Windows начиная со времен Windows XP. Утилита GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какая именно GPO изменила ту или иную настройку Windows, разобраться с причинами долгого применения GPP/GPO.
В этой статье мы рассмотрим особенности использования команды GPResult для диагностирования работы и отладки применения групповых политик в домене Active Directory.
Изначально для диагностики применения групповых политик в Windows использовалась графическая консоль RSOP.msc, которая позволяла получить настройки результирующих политик (доменных + локальных), примененные к компьютеру и пользователю в графическом виде аналогичном консоли редактора GPO (ниже на примере представления консоли RSOP.msc видно, что настройки обновлений заданы политикой WSUS_SERVERS).
Однако, консоль RSOP.msc в современных версиях Windows использовать нецелесообразно, т.к. она не отражает настройки, примененные различными расширениями групповых политик (client side extensions — CSE), например GPP (Group Policy Preferences), не позволяет выполнять поиск, предоставляет мало диагностической информации. Поэтому на данный момент именно команда GPResult является основным средством диагностики применения GPO в Windows (в Windows 10 даже появляется предупреждение, что RSOP не дает полный отчет в отличие от GPResult).
Использование утилиты GPResult.exe
Команда GPResult выполняется на компьютере, на котором нужно проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:
GPRESULT [/S [/U [/P ]]] [/SCOPE ] [/USER ] [/R | /V | /Z] [(/X | /H) [/F]]
Чтобы получить подробную информацию о групповых политиках, которые применяются к данном объекту AD (пользователю и компьютеру), и других параметрах, относящихся к инфраструктуре GPO (т.е. результирующие настройки политик GPO – RsoP), выполните команду:
Результаты выполнения команды разделены на 2 секции:
Вкратце пробежимся по основным параметрам/разделам, которые нас могут заинтересовать в выводе GPResult:
В нашем примере видно, что на объект пользователя действуют 4 групповые политики.
Если вы не хотите, чтобы в консоль одновременно выводилась информация и о политиках пользователя и о политиках компьютера, вы можете с помощью опции /scope вывести только интересующий вас раздел. Только результирующие политики пользователя:
gpresult /r /scope:user
или только примененные политики компьютера:
gpresult /r /scope:computer
Т.к. утилита Gpresult выводит свои данные непосредственно в консоль командной строки, что бывает не всегда удобно для последующего анализа, ее вывод можно перенаправить в буфер обмена:
или текстовый файл:
Gpresult /r > c:\gpresult.txt
Чтобы вывести сверхподробную информацию RSOP, нужно добавить ключ /z.
HTML отчет RSOP с помощью GPResult
Кроме того, утилита GPResult может сгенерировать HTML-отчет по примененным результирующим политикам (доступно в Windows 7 и выше). В данном отчете будет содержаться подробная информация обо всех параметрах системы, которые задаются групповыми политиками и именами конкретных GPO, которые их задали (получившийся отчет по структуре напоминает вкладку Settings в консоли управления доменными групповыми политиками – GPMC). Сгенерировать HTML отчет GPResult можно с помощью команды:
GPResult /h c:\gp-report\report.html /f
Чтобы сгенерировать отчет и автоматически открыть его в браузере, выполните команду:
GPResult /h GPResult.html & GPResult.html
Получение данных GPResult с удаленного компьютера
GPResult может собрать данные и с удаленной компьютера, избавляя администратора от необходимости локального или RDP входа на удаленный компьютер. Формат команды сбора данных RSOP с удаленного компьютера такой:
GPResult /s server-ts1 /r
Аналогичным образом вы можете удаленно собрать данные как по пользовательским политикам, так и по политиками компьютера.
Пользователь username не имеет данных RSOP
При включенном UAC запуск GPResult без повышенных привилегий выводит параметры только пользовательского раздела групповых политик. Если нужно одновременно отобразить оба раздела (USER SETTINGS и COMPUTER SETTINGS), команду нужно запускать в командной строке, запущенной с правами администратора. Если командная строка с повышенными привилегиями запущена от имени учетной записи отличной от текущего пользователя системы, утилита выдаст предупреждение INFO: The user “domain\user” does not have RSOP data (Пользователь «domain\user» не имеет данных RSOP). Это происходит потому, что GPResult пытается собрать информацию для пользователя, ее запустившего, но т.к. данный пользователь не выполнил вход (logon) в систему, информация RSOP для него отсутствует. Чтобы собрать информацию RSOP по пользователю с активной сессией, нужно указать его учетную запись:
gpresult /r /user:tn\edward
Если вы не знаете имя учтённой записи, которая залогинена на удаленном компьютере, учетную запись можно получить так:
Также проверьте время (и часовой пояс) на клиенте. Время должно соответствовать времени на PDC (Primary Domain Controller).
Следующие политики GPO не были применены, так как они отфильтрованы
При траблшутинге групповых политик стоит также обращать внимание на секцию: The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы). В этой секции отображается список GPO, которые по той или иной причине не применяются к этому объекту. Возможные варианты, по которым политика может не применяться:
Итак, в этой статье мы рассмотрели особенности диагностики применения групповых политик с помощью утилиты GPResult и рассмотрели типовые сценарии ее использования.
Использование оснастки результирующей политики для просмотра параметров политики
15 июня 2022 г. настольное приложение Internet Explorer 11 будет снято с службы поддержки. Список того, что имеется в области, см. в faq. Те же приложения и сайты IE11, которые вы используете сегодня, можно открывать в Microsoft Edge в режиме Internet Explorer. Более подробную информацию см. здесь.
После того, как вы развернете настраиваемый пакет Internet Explorer для своих сотрудников, вы можете использовать оснастку результирующей политики (RSoP), чтобы просмотреть созданные параметры политики. Оснастка результирующей политики используется в два этапа. Сначала запускается мастер результирующей политики, чтобы определить данные для просмотра. Затем отдельные элементы открываются в окне консоли для просмотра параметров. Дополнительные сведения о том, как использовать RSoP, см. в разделе Результирующая политика.
Добавление оснастки результирующей политики
На экране Пуск введите MMC.
Откроется консоль управления (MMC).
Щелкните Файл, а затем щелкните Добавить или удалить оснастку.
В окне Доступные оснастки перейдите вниз к параметру оснастки Результирующая политика, нажмите кнопку Добавить, а затем— кнопку ОК.
Теперь оснастку результирующей политики можно использовать на консоли.
Использование оснастки результирующей политики
Щелкните правой кнопкой мыши элемент Результирующая политика, а затем выберите пункт Создать данные RSoP.
Мастер результирующей политики нужно выполнить только при первом запуске оснастки.
Нажмите кнопку Далее на экране Приветствие.
В меню Конфигурация компьютерапоследовательно выберите элементы Административные шаблоны, Компоненты Windows, IE, а затем выберите функцию, для которой необходимо просмотреть параметры политики.
Управление групповыми политиками в организации. Часть 6
Введение
Результирующая политика представляет собой результат применения объектов групповых политик к пользователю или компьютеру с учетом всех связей GPO, исключений, а также фильтров безопасности и WMI. RSoP предоставляет сведения обо всех параметрах политики, которые задаются администратором, включая административные шаблоны, перенаправление папки, настройку веб-браузера Internet Explorer, параметры безопасности, сценарии и установку программ. Помимо этого, результирующие политики позволяют определить набор примененных политик и их приоритеты. По сути, результирующая политика работает в двух режимах – режиме планирования и режиме журналирования (также этот режим называется режимом входа). К режиму планирования относится метод моделирования результатов групповой политики, который применяется к пользователю или компьютеру на основе конкретных переменных, который был подробно описан в предыдущей статье. Режим журналирования предоставляет информацию о результатах параметров групповых политик, которые уже применяются к существующим пользователям или компьютерам. Результирующая политика запрашивает локальный или удаленный компьютер и извлекает точные параметры, которые применяются к компьютеру или пользователю, успешно вошедшему в свой компьютер. В сформированном отчете результирующей политики отображаются даже приложения, доступные для данного пользователя или компьютера, а также любые изменения в конфигурации программ, которые были объявлены или применены, что значительно упрощает планирование сценариев и применение такой функции, как AppLocker. В этой статье вы узнаете именно о принципах работы RSoP.
Создание отчетов RSoP
Функционал клиентских и серверных операционных систем Windows позволяет вам управлять компонентом RSoP для настройки групповой политики в организации и генерировать отчеты при помощи следующих средств:
Использование оснастки «Результирующая политика»
Преимущество использования оснастки «Результирующая политика» заключается в том, что анализировать применение групповых политик при помощи данной оснастки вы можете как в доменной среде, так и находясь в рабочей группе. Соответственно, результат применения объектов групповых политик к пользователю или компьютеру можно просматривать как в серверной операционной системе, так и в клиентской ОС. В этом разделе вы узнаете о применении данной оснастки, а также о сохранении, изменении и обновлении запроса результирующей политики.
Открытие оснастки «Результирующая политика»
Открыть оснастку «Результирующая политика» вы можете одним из следующих способов:
Если вы открываете оснастку RSoP вторым способом, то функционал результирующей политики обработает данные, согласно параметрам, которые были указаны в диалоговом окне «Выполнить». На следующей иллюстрации вы можете увидеть диалоговое окно обработки данных RSoP:
Рис. 1. Диалоговое окно «Обработка результирующей политики (RSoP)»
Генерирование отчета журналирования RSoP
В предыдущем разделе я говорил о том, что предоставление информации о результатах параметров групповых политик, которые применяются к существующим пользователям или компьютерам называется режимом журналирования RSoP. В этом разделе рассказывается о том, как можно сгенерировать отчет журналирования результирующей политики. В основном данный режим RSoP используется для выявления параметров политики, применяемых для указанного компьютера или пользователя, изучения неверных или измененных параметров политики, а также для просмотра того, как могут повлиять группы безопасности на параметры политики. Для того чтобы сгенерировать такой отчет, выполните действия, указанные в следующей процедуре:
Рис. 2. Открытие мастера результирующей политики
Рис. 3. Страница «Выбор режима» мастера результирующей политики
Рис. 4. Страница «Выбор компьютера» мастера результирующей политики
Рис. 5. Страница «Выбор пользователя» мастера результирующей политики
Рис. 6. Сводка указанных ранее параметров результирующей политики
Рис. 7. Завершающая страница мастера результирующей политики
В рамках данной статьи генерирование отчетов режима планирования групповых политик рассматриваться не будет, так как моделирование групповой политики было подробно рассмотрено в предыдущей статье данного цикла.
Анализ отчета и выполнение дополнительных действий
После того как отчет будет сгенерирован, вы увидите, что в оснастке «Результирующая политика» будут отображаться все параметры политик, которые могли быть настроены для указанного вами компьютера и пользователя. В области сведений данной оснастки, в узлах «Конфигурация компьютера» и «Конфигурация пользователя» отображаются конфигурация программ, конфигурация Windows, а также дополнительные параметры системного реестра. Если вы открыли данную оснастку, используя команду rsop.msc без параметров, то для вас будет открыта оснастка результирующей политики с параметрами политики локального компьютера и локального пользователя.
В узле конфигурации программ, в области сведений вы можете проанализировать результаты RSoP, которые относятся к настройке программ. В узле «Конфигурация Windows» вы можете анализировать такие параметры политики, как: сценарии, параметры безопасности, где отображаются абсолютно все политики безопасности, которые вы даже не сможете найти в оснастке «Редактирование групповых политик» на клиентском компьютере. Помимо этого, открыв любую политику безопасности, вы не сможете изменить ее параметры, но для вас будет доступна новая вкладка под названием «Приоритет», в которой вы можете увидеть, какие объекты групповой политики влияют на данный параметр, в порядке от новых к старым. Также вы можете просмотреть политики веб-браузера Internet Explorer и настройки административных шаблонов, причем для административных шаблонов в области сведений будет отображаться новый столбец «Имя объекта групповой политики», в котором указывается название объекта групповой политики.
Рис. 8. Административные шаблоны результирующей политики
Дополнительные параметры реестра представляют собой набор параметров реестра, связанных с политикой, не имеющие связанного административного шаблона. Поскольку связь с административным шаблоном отсутствует, в объяснении параметра указываются только раздел реестра и объект групповой политики, задающий этот раздел.
Рис. 9. Обновление запросов результирующей политики
Помимо всех вышеперечисленных действий, вы можете сохранить оснастку с данными сгенерированного отчета для дальнейшего изучения и анализа. По умолчанию, при сохранении оснастки данные, которые были вами сгенерированы не сохраняются. Для того чтобы их сохранить, выполните следующие действия:
Энциклопедия Windows
Все об использовании и настройке Windows
Утилита RSoP
Утилита RSoP впервые стала доступна в виде дополнительного инструмента ресурсного набора в операционной системе Windows 2000. Утилита была выпущена для упрощения диагностики и анализа объектов групповой политики. Для диагностики политик на уровне сайта, домена и подразделения необходимо вручную подсчитывать конечный результат применения политик.
Самым точным способом получения результирующих параметров политики для определенного пользователя является такая последовательность действий.
1. Распечатать снимок экрана с параметрами политики локального компьютера.
2. Распечатать снимок экрана параметров групповой политики компьютера на уровне сайта.
3. Распечатать снимок экрана параметров групповой политики компьютера и пользователя на уровне домена.
4. Распечатать снимок экрана параметров групповой политики пользователя и компьютера на уровне подразделения.
5. Сравнить снимки экрана для получения результата применения всех политик.
Это непростая задача. Для определения результирующей политики необходимо помнить последовательность L-S-D-OU (локальная, сайт, домен, подразделение), в соответствии с которой применяется политики. При этом необходимо сравнить снимки экранов и определить конечный результат развертывания политики. К сожалению, такой подход не принимает во внимание блокирование наследования политик и блокирование переопределения параметров групповых политик.
При работе с политиками сайтов, подразделений и дочерних подразделений, управление политиками практически сводится к использованию метода «научного тыка» для определения конечного результата применения политик. Появление утилиты позволило быстро анализировать объекты групповой политики для получения результирующих параметров применения политики.
RSoP может быть запущена в двух различных режимах: режим протоколирования и режим планирования. Режим протоколирования используется для определения фактических результирующих параметров объекта групповой политики для пользователя или компьютера. Режим планирования является более гибким и позволяет выполнять имитацию сценариев «что-если» на основании данных Active Directory.
Например, в режиме протоколирования можно просмотреть параметры результирующей политики для пользователя или компьютера в лесу. Режим планирования позволяет создать подразделение и дочернее подразделения, настроить политики, приятые по умолчанию для каждого из подразделений, и воспользоваться RSoP для определения результирующей политики для дочернего подразделения. Если проще, то режим протоколирования позволяет получить текущие параметры политики, а режим планирования позволяет получить параметры политики при указанных условиях.
Так как RSoP встроена в операционную систему Windows Server 2003, точки вызова этой утилиты можно найти практически везде. Например, можно щелкнуть правой кнопкой мыши на подразделении в оснастке Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers), выбрать Все задачи (All Tasks) и запустить RSoP (Planning). Можно щелкнуть правой кнопкой на объекте пользователя, выбрать Все задачи (All Tasks) и щелкнуть на RSoP (Planning) или RSoP (Logging).
Кроме этого, ярлыки для запуска RSoP находятся в оснастках Active Directory — Сайты и службы (Active Directory — Sites and Services) и Active Directory — Домены и доверие (Active Directory — Domains and Trusts).
Самым простым способом анализа параметров политики с помощью RSoP в режиме протоколирования является запуск RSoP.msc из диалогового окна Выполнить (Run). Для запуска режима планирования стоит создать пустую консоль MMC и добавить туда оснастку RSoP. Для этого запустите MMC из диалогового окна Выполнить (Run) (введите mmc и нажмите клавишу ). Нажав комбинацию в консоли MMC можно открыть диалоговое окно для добавления оснасток. Кликните на кнопке Добавить (Add) и выберите подходящие оснастки.
Так как режим планирования является самым мощным и предоставляет больше всего параметров настройки, именно он будет рассматриваться в этом разделе. После загрузки оснастки RSoP в консоль MMC кликните правой кнопкой на оснастке и выберите Генерировать данные RSoP (Generate RSoP Data). Эта команда запускает Мастер результирующего набора политик (Resulting Set of Policy Wizard), который позволяет указать конкретную цель анализа.
После выбора объекта анализа предоставляется возможность выбора дополнительных параметров. Именно в процессе выбора дополнительных параметров выполняется имитация. Мастер позволяет выбрать параметры имитации, включая условия с низкой пропускной способностью подключений, режим обработки с замыканием на себя и выбор сайта.
Иногда не стоит получать все параметры групповой политки по сетевому подключению, особенно, если пользователь подключается через коммутируемое соединение. Например, не стоит использовать групповые политики для принудительной установки пакета Office XP для всех пользователей, включая тех, которые подключаются через коммутируемые соединения.
При включении обнаружения медленных подключений (Конфигурация компьютера или пользователя\Административные шаблоны\Система\Групповая политика\Обнаружение медленного подключения групповых политик (User or Computer Configuration\Administrative Templates\System\Group Policy\Group Policy Slow Link Detection)) применяются только разделы групповой политики Административные шаблоны (параметры системного реестра) и параметры безопасности.
Остальные параметры политики, включая распространение программного обеспечения и перенаправление папок не применяются. По умолчанию, медленным подключением является подключение со скоростью 500Кбит/с, но но это значение можно изменить при включении обнаружения медленных подключений.
Как только будут установлены расширенные параметры анализа политик, последним шагом настройки анализа RSoP является выбор объекта пользователя или компьютера, к которым будет применятся имитация, и выбор фильтров инструментария управления Windows (WMI), позволяющих фильтровать эффективные параметры объекта групповой политики, которые будут применятся к объекту пользователя или компьютера.
Можно имитировать включение всех фильтров или тольк тех, которые выбраны для анализа. После успешного использования мастера можно получить результат настроек: результирующую политику.
Приятной возможностью RSoP является отображение политики, ответственной за каждый параметр. Но при этом не отображает переопределение параметра одной политики параметром другой политики. Для просмотра списка всех политик, которые принимают участие в создании определенного параметра, необходимо выполнить двойной щелчок на конкретном параметре, например, Запретить изменение свойств обоев рабочего стола (Prevent changing wallpaper properties), и перейти на вкладку Приоритет (Precedence).
PowerShell: системное администрирование и программирование
Всё о PowerShell в Windows и на Linux. Системное администрирование Windows
Использование инструмента GPResult для проверки того, какие объекты групповой политики применяются
GPResult.exe — это консольный административный инструмент, предназначенный для анализа и диагностики параметров групповой политики, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные RSOP (Resultant Set of Policy), список применённых политик домена (GPO), их настройки и подробную информацию об ошибках при обработке GPO. Этот инструмент является частью ОС Windows, начиная с Windows XP. Инструмент GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какой объект групповой политики изменил конкретную настройку Windows и как устранить проблемы с медленной обработкой GPO/GPP?
В этой статье мы рассмотрим нюансы использования команды GPResult для диагностики производительности и отладки групповых политик в домене Active Directory.
В более ранних версиях Windows для диагностики применения групповых политик на стороне клиента использовалась графическая консоль RSOP.msc, что позволяло получать результирующие параметры политики (домен + локальный), которые применяются к компьютеру и пользователю в графической форме, аналогичной консоли редактора GPO.
Однако консоль RSOP.msc непрактична для использования в современных версиях Windows, поскольку она не отображает настройки, применяемые различными расширениями групповой политики (client-side extensions, CSE), такими как GPP (Group Policy Preferences, предпочтения групповой политики), не позволяет искать среди настроек, не обеспечивает достаточно диагностической информации (в Windows 10 даже появляется предупреждение о том, что RSOP не даёт полного отчёта, в отличие от GPResult). Таким образом, команда GPResult сегодня является основным инструментом для выполнения диагностики GPO в Windows.
Как использоваться инструментом Group Policy Results (GPResult.exe)?
Команду GPResult необходимо запустить на компьютере, на котором вы хотите проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:
Чтобы получить подробную информацию о групповых политиках, применённых к пользователю или компьютеру, а также о других параметрах, относящихся к инфраструктуре GPO (итоговые параметры политики GPO — RsoP), выполните следующую команду:
Результаты этой команды разделены на два раздела:
Давайте кратко рассмотрим основные настройки/разделы в выходных данных GPResult, которые могут нас заинтересовать:
В этом примере вы можете видеть, что к объекту пользователя применены 4 групповые политики.
Если вы не хотите одновременно отображать информацию о политиках пользователя и компьютера, вы можете использовать параметр /scope, чтобы отображать только нужный раздел. Только результирующая политика пользователя:
или только применяемые компьютерные политики:
Поскольку инструмент Gpresult отображает свои данные непосредственно в командной строке, что не всегда удобно для дальнейшего анализа, вывод можно перенаправить в буфер обмена:
или текстовый файл:
Чтобы отобразить сверхдетальную информацию RSOP, вам нужно добавить ключ /z:
Отчёт RSoP HTML с использованием GPResult
Чтобы сгенерировать отчёт и автоматически открыть его в браузере, выполните следующую команду:
HTML-отчет gpresult содержит довольно много полезной информации: вы можете увидеть ошибки, возникшие во время применения объектов групповой политики, время обработки (в мс) для определённых политик и CSE (в разделе Computer Details → Component Status section («Сведения о компьютере» → «Состояние компонента»)). Как видите, этот HTML-отчёт gpresult намного удобнее для анализа применяемых политик, чем rsop.msc.
Как запустить GPResult на удалённом компьютере?
GPResult также может собирать данные с удалённого компьютера без необходимости локального входа в удалённую систему или через RDP. Команда для сбора RSOP с удалённого компьютера выглядит так:
Точно так же вы можете удалённо собирать данные как о пользовательских, так и о компьютерных политиках.
У пользователя нет данных RSoP
Когда UAC включён и GPResult используется в режиме без повышенных прав, отображается только раздел пользовательских настроек групповых политик. Если вам нужно, чтобы отображались оба раздела (Конфигурация пользователя и Конфигурация компьютера), команда должна быть запущена в командной строке с правами администратора. Если командная строка с повышенными привилегиями запускается от имени учётной записи, отличной от текущего пользователя, инструмент покажет предупреждение: INFO: The user “domain\user” does not have RSOP data (ИНФОРМАЦИЯ: пользователь «домен\пользователь» не имеет данных RSOP). Это происходит из-за того, что GPResult пытается собрать данные пользователя, запустившего его, но поскольку этот пользователь не вошёл в систему, для него нет информации RSOP. Чтобы получить информацию RSOP от пользователя с активным сеансом, вам необходимо указать его учётную запись:
Если вы не знаете имя учётной записи, для которой выполнен вход на удалённый компьютер, вы можете получить такое имя пользователя:
Также проверьте время (и часовой пояс) на клиенте. Время должно совпадать со временем на контроллере домена.
Следующие политики GPO не были применены, так как они отфильтрованы
При устранении неполадок с групповыми политиками стоит обратить внимание на раздел: Следующие политики GPO не были применены, так как они отфильтрованы
Он содержит список объектов групповой политики, которые по какой-либо причине не применяются к этому объекту. Вот несколько причин, по которым политики не применяются:
Итак, в данной статье мы рассмотрели особенности диагностики применения групповых политик с помощью инструмента GPResult и рассмотрели основные сценарии его использования.
Все опции: GPResult
GPResult отображает результирующую политику (RSoP) для указанного пользователя и компьютера.