كيفية التحقق من GPOs المطبقة باستخدام أداة GPResult – techsyncer

هل سبق لك أن قمت بتطبيق كائن سياسة المجموعة (GPO) على وحدة تنظيمية في Active Directory (OU) وترغب في التحقق مما إذا كانت تم تطبيقها أم لا؟ إذا كان الأمر كذلك ، فإنك بحاجة إلى فهم أمر “gpresult”.

فحص نظام AD الخاص بك لـ930+ مليون كلمة مرور تم اختراقها. قم بتنزيل أداة Specops Password Auditor، وهي أداة مجانية للقراءة فقط تحدد الثغرات المتعلقة بكلمة المرور.

في هذا البرنامج التعليمي ، ستتعلم كيفية استخدام أمر “gpresult” للتحقق من إعدادات سياسة المجموعة في أجهزة Windows المحلية وعن بُعد.

لنبدأ!

المتطلبات الأساسية

إذا كنت ترغب في متابعة الأمثلة في هذا البرنامج التعليمي ، تأكد من وجود ما يلي:

نطاق Active Directory. أي إصدار سيعمل. سيتم استخدام النطاق المسمى HomeLab.Local في هذا البرنامج التعليمي.
A domain-joined Windows PC with at least one GPO applied to it. If you’d like to learn how to invoke gpresult remotely, you’ll need a second domain-joined PC. This tutorial will use two Windows 10 computers called Win10VM1 and Win10VM2.
حقوق المسؤول المحلي على جهاز الكمبيوتر المحلي وجهاز الكمبيوتر عن بُعد.

فهم أمر GPResult

GPResult هو أداة سطر أوامر مدمجة في Windows تقوم بإنشاء تقارير حول السياسات التي تم تطبيقها على جهاز الكمبيوتر المنضم إلى النطاق لكل من السياسات المستندة إلى المستخدم والسياسات المستندة إلى الكمبيوتر.

عندما يقوم مسؤول Active Directory بتعيين GPO على OU ما ، يقوم أجهزة الكمبيوتر أو المستخدمون في تلك الوحدة التنظيمية بالتحقق ثم تطبيق هذه الإعدادات. بعد تلقي الأجهزة المستهدفة لـ GPO ، يأتي دور أمر “gpresult”.

الوقت الذي يتلقى فيه كل كمبيوتر فعليًا الإعدادات ويطبقها يعتمد على فاصل تحديث سياسة المجموعة.

أداة gpresult تتيح لك تشغيل أمر على هذه الكمبيوترات المستهدفة لتأكيد أن سياسات المجموعات التي تعتقد أنها يجب تطبيقها فعليًا تم تطبيقها بالفعل.

الحصول على مساعدة باستخدام أداة GPResult

مثل العديد من الأدوات الأخرى في سطر الأوامر، تحتوي أداة gpresult على نظام مساعدة مدمج بسيط. يتيح لك هذا النظام العثور بسهولة على جميع تلك الخيارات الصعبة المنسية بسهولة.

يمكنك العثور على جميع الخيارات التي توفرها gpresult ببساطة عن طريق تشغيل gpresult بدون خيارات كما هو موضح أدناه. بدلاً من العودة إلى هذا المنشور عندما تتساءل عن ما يفعله معلم، تذكر أن المساعدة المدمجة موجودة!

استرداد بيانات مجموعة السياسة الناتجة (RSOP)

سيعرض تشغيل gpresult بدون معلمات معلومات المساعدة فقط. تحتاج إلى ذلك لاسترداد بعض المعلومات! للبدء، دعنا نغطي أولاً كيفية عمل التبديل /r أو مجموعة السياسة الناتجة.

مجموعة النتائج الناتجة عن السياسة (RSOP) هو إضافة لسياسة المجموعة تتيح لك الاستعلام عن جوانب مختلفة من سياسة المجموعة. يعتبر RSOP وسيلة رائعة لاكتشاف نتيجة السياسة المخصصة لجهاز الكمبيوتر.

GPResult يعرض بيانات RSOP في وضع التسجيل الذي يتضمن إعدادات السياسة مثل مسار OU للمستخدم والكمبيوتر واسم النطاق وانتماءات مجموعات AD وإعدادات الأمان وسياسات المجموعات المستخدمة لكل من المستخدمين والكمبيوترات.

لاستخدام gpresult للاستعلام عن بيانات RSOP، قم بفتح cmd.exe أو PowerShell بصلاحيات المسؤول. قم بتنفيذ gpresult باستخدام التبديل /r كما هو موضح أدناه.

Gpresult /R

يمكنك أن ترى أدناه، بين أمور أخرى، أن gpresult يعيد جميع سياسات المجموعة التي يتم تطبيقها على الكمبيوتر المعين (إعدادات الكمبيوتر) وسياسات المجموعة المستهدفة لجميع المستخدمين الذين سيقومون بتسجيل الدخول إلى الكمبيوتر (إعدادات المستخدم).

يمكنك تشغيل gpresult /R على موجه أوامر غير إداري ولكنه سيظهر فقط للمستخدم الذي يقوم بتشغيل الأمر.

Displaying output for Gpresult /R command

الحصول على تفاصيل دقيقة: العثور على معلومات مفصلة حول السياسة المجموعة المطبقة

إذا كنت بحاجة إلى اكتشاف ما هي السياسات المجموعة المفروضة على جهاز كمبيوتر معين أو على المستخدمين على ذلك الكمبيوتر، فإن البيانات RSOP التي تحصل عليها من التبديل /r ستكون مفيدة. ولكن البيانات RSOP تصل إلى حد معين فقط. البيانات RSOP لا توفر معلومات مثل وقت تنفيذ آخر سكريبت تسجيل الدخول، والمفتاح في سجل التسجيل الذي تم إنشاء السياسة المجموعة فيه، والمزيد.

لاكتشاف أكبر قدر من المعلومات التي يمكن أن يوفرها gpresult، استخدم التبديل /v أو verbose كما هو موضح أدناه.

Gpresult /V

تحقق فقط من جميع المعلومات التي يوفرها /v. هذا الكثير من المعلومات!

Password policies applied on the computer

Verifying Logon Scripts configured for user

تحقق من الفروقات في /r و /v أدناه. سترى أن /r يوفر فقط اسم السياسة المجموعة بينما /v يوفر اسم ملف سكريبت تسجيل الدخول وآخر مرة تم تنفيذ السكريبت على الكمبيوتر.

تحديد نتائج GPresult لإعدادات المستخدم أو المستندة إلى الحواسيب

كما ذكر، يعيد gpresult، بشكل افتراضي، كل من الإعدادات المستندة إلى المستخدم والحاسوب. في بعض الأحيان، وخاصة عند إدارة السياسات المجموعة التي تحتوي على مئات الإعدادات، قد تكون كمية الإخراج مرهقة.

إذا كنت بحاجة إلى البحث فقط عن الإعدادات المفروضة على الحاسوب أو المستخدم، يسمح لك gpresult بتحديد نطاق الاستعلام باستخدام المعلمة /scope. من خلال تحديد computer أو user كوسيط للمعلمة /scope، سوف يعيد gpresult فقط الإعدادات المفروضة على جميع المستخدمين أو الحاسوب.

لرؤية بيانات RSOP لجميع السياسات في نطاق الـcomputer، قم بتشغيل الأمر التالي.

Gpresult /R /Scope computer

كيف يمكن العثور على جميع السياسات في وضع التفصيل لجميع المستخدمين فقط؟

Gpresult /V /Scope user

يمكن استخدام المعلمة /scope بالإضافة إلى مفاتيح أخرى مثل /r و /v لتحديد نطاق أي من الأمرين.

إذا كنت تقوم بتشغيل cmd.exe أو PowerShell كمسؤول وتستدعي GPResult ، فسيُعيد إعدادات سياسة المجموعة لجميع المستخدمين. إذا استخدمت مفتاح التبديل /scope user ، فسيتم إزالة إعدادات المستندة إلى الكمبيوتر ولكنه سيعيد لا تزال الإعدادات لـ جميع المستخدمين.

إذا كنت بحاجة إلى تحديد الإعدادات لمستخدم واحد مسجل الدخول في نفس الوقت ، استخدم المعلمة /user تليها اسم المستخدم المرغوب كوسيط.

Gpresult /R /user user01

إذا حاولت الاستعلام عن بيانات RSOP لمستخدم غير موجود ، سيُعيد GPResult الرسالة المستخدم "<user>" ليس لديه بيانات RSOP.

تصدير نتائج GPresult الإخراج

في بعض الأحيان ، لا يكون من الكافي إرجاع المعلومات إلى وحدة تحكم سطر الأوامر. ربما تحتاج إلى بناء تقرير أو مشاركة النتائج مع شخص آخر. في هذه الحالة ، تحتاج إلى تصدير النتائج إلى تنسيق آخر ما.

يمكنك تصدير ناتج GPResult بعدة طرق مختلفة.

تصدير النتائج إلى ملف نصي

واحدة من أسهل الطرق لتصدير النتائج إلى ملف هو استخدام سطر الأوامر أو ميزة تحويل الإخراج في برنامج PowerShell. من خلال توجيه نتائج سطر الأوامر إلى ملف باستخدام عامل التحويل > تليه اسم ملف نصي، ستحتوي النص على بالضبط ما تراه في واجهة الأوامر.

سيعيد الأمر أدناه جميع بيانات RSOP وينشئ ملفًا يسمى C:\Temp\RsopReport.txt يحتوي على جميع نتائج أمر GPResult.

Gpresult /R > c:\Temp\RsopReport.txt

تصدير النتائج إلى ملف HTML أو XML

على عكس التوجيه الافتراضي من سطر الأوامر إلى ملف نصي، يمكنك أيضًا إنشاء وحفظ معلومات السياسة المطبقة في ملف HTML أو XML. باستخدام مفتاح /H (للـ HTML) أو المفتاح /X (للـ XML) تليه مسار الملف المطلوب لـ HTML، سيقوم GPResult بإنشاء ملف HTML مُنسق بشكل جيد مع النتائج.

Gpresult /H c:\Temp\RsopData.html
Gpresult /X c:\Temp\RsopXMLRreport.xml

إذا كان الملف موجودًا بالفعل، سيُعيد GPResult خطأ. لإجبار GPResult على استبدال الملف الموجود، استخدم المفتاح /F.

تشغيل GPResult عن بُعد

طوال هذا البرنامج التعليمي، كنت تقوم بتشغيل GPResult محليًا. باستخدام المعامل /s، يمكن لـ GPResult أيضًا استرداد جميع إعدادات سياسة المجموعة نفسها عن بُعد أيضًا.

على سبيل المثال، للعثور على بيانات RSOP للمستخدم user01 الذي قام بتسجيل الدخول إلى الكمبيوتر win10vm1 على الأقل مرة واحدة، يجب عليك تشغيل الأمر التالي:

gpresult /R /S win10vm1 /user user01

ربما تكون مسجل الدخول إلى جهاز كمبيوتر لا يحق له الاستعلام عن معلومات سياسة المجموعة على جهاز كمبيوتر بعيد. في هذه الحالة، سيفشل GPResult ما لم تحدد بيانات اعتماد بديلة.

حدد بيانات اعتماد بديلة باستخدام المعلمات /U (اسم المستخدم) و /P (كلمة المرور) كما هو موضح أدناه.

gpresult /R /S win10vm1 /scope user /U homelab\MyLabAdmin /P password

هل تنتظر كلمات مرور مخترقة في دليل النشاط الخاص بك؟ قم بتنزيل مدقق كلمات المرور Specops و افحص عن الضعف في كلمات المرور مجانًا!

الاستنتاج

يجب أن تعرف الآن كيفية استخدام أمر GPResult للاستعلام عن إعدادات سياسة المجموعة المطبقة على الكمبيوترين المحليين والبعيدين. هذا الأمر المفيد هو أداة اكتشاف وتحليل ممتازة في أدوات أي مسؤول لدليل النشاط.

في المرة القادمة التي تجد نفسك تتساءل: “كيف يمكنني تأكيد أن جهاز الكمبيوتر المنضم إلى النطاق قد قام بتطبيق GPO الذي أتوقع؟”، ما هي الأداة التي ستستخدمها؟