Wenn Sie ein Active Directory (AD) Gruppenrichtlinienobjekt (GPO) auf Hunderte oder sogar Tausende von Zielcomputern anwenden, dauert es wahrscheinlich eine Weile, bis alle es erhalten haben. Wie wissen Sie, wann ein Computer eine neue Richtlinie empfängt oder aktualisierte Richtlinieneinstellungen abruft? Mit dem RSOP-Tool.
Das RSOP-Tool oder Resultant Set Of Policy ist ein integriertes Windows-Tool, mit dem Sie herausfinden können, welche Richtlinieneinstellungen auf lokalen und entfernten Computern angewendet werden. Wenn Sie sich fragen, welche Konfiguration GPOs auf Ihrem PC festlegen, lesen Sie weiter!
Los geht’s.
Voraussetzungen
In diesem Tutorial werden einige verschiedene Demos durchgeführt. Wenn Sie mitmachen möchten, stellen Sie bitte sicher, dass Sie Folgendes haben:
- Eine Active Directory-Domäne – Jede Version von AD funktioniert. In diesem Tutorial wird eine Domäne namens HomeLab.Local verwendet.
- A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
- A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
- TCP-Ports 445, 135, RPC-Dynamik-Ports und alle Ports für WMI sind auf dem Remote-Computer geöffnet. Sie können eine Start-GPO namens Gruppenrichtlinienberichterstattungs-Firewall-Ports erstellen, um sicherzustellen, dass alle Ports geöffnet sind.
- Lokale Administratorrechte sowohl auf dem lokalen PC als auch auf dem Remote-PC.
- A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.
Was ist das RSOP-Tool?
Wenn Sie einer Gruppenrichtlinie einen Computer in Active Directory zuweisen, sollte dieser Computer eine Verbindung zum Domänencontroller herstellen und, basierend auf dem definierten GPO-Aktualisierungsintervall, bald sehen, dass GPO und versuchen, die von der GPO definierten Einstellungen anzuwenden.
Wenn der Computer die GPO-Einstellungen anwendet, werden diese Richtlinieneinstellungen anschließend auf dem Computer im Common Information Management Object Model (CIMOM)-Datenbank unter Verwendung von Windows Management Instrumentation (WMI) gespeichert. Um diese angewendeten Einstellungen zu überprüfen, führen Sie das RSOP-Tool aus. Das RSOP-Tool generiert einen Bericht über die Richtlinien, die für Benutzer und Computer auf dem PC angewendet (oder geplant) sind.
RSOP ist ideal zum Beheben von Situationen, in denen mehrere konkurrierende Richtlinien vorhanden sind. Mit RSOP können Sie überprüfen, welche GPOs Vorrang hatten und eine andere außer Kraft gesetzt haben.
Modi
RSOP hat zwei verschiedene Modi, um Ihnen bei der Entdeckung zu helfen, wie GPOs Zielcomputer beeinflussen: Protokoll- und Planungsmodus.
- Protokollmodus – Die häufigste Verwendung von RSOP, um einen Bericht über alle angewendeten Richtlinien für alle angemeldeten Benutzer und den Computer selbst zu generieren.
- Planungsmodus – Eine weniger häufige Verwendung von RSOP, die es Ihnen ermöglicht, zu simulieren, welche Einstellungen auf einen Computer angewendet werden wenn eine oder mehrere GPOs auf sie angewendet wurden. Der Planungsmodus dient dazu festzustellen, was passieren wird, wenn ein Benutzer beispielsweise in eine andere AD-Gruppe verschoben wird.
Lokale angewendete GPOs mit RSOP überprüfen
Lassen Sie uns jetzt mit einigen praktischen Demonstrationen von RSOP beginnen. Zuerst werden wir besprechen, wie man das RSOP-Tool aufruft und welche Art von Informationen Sie erwarten können.
Öffnen Sie auf Ihrem lokalen, domänenbeigetretenen Windows-PC ein Eingabeaufforderungs- oder PowerShell-Fenster als Administrator.
Wenn Sie keine Eingabeaufforderung oder PowerShell als Administrator ausführen, hat RSOP keinen Zugriff auf die Computereinstellungen (nur auf die Einstellungen des angemeldeten Benutzers). Wenn Sie RSOP ausführen, erhalten Sie einen Fehler, der anzeigt, dass Sie über unzureichende Berechtigungen verfügen.
Führen Sie anschließend den Befehl rsop.msc aus. Diese Aktion ruft das RSOP MMC-Snap-In auf.
Wenn Sie RSOP aufrufen, beginnt es sofort mit dem Lesen aller angewendeten Richtlinien und der Generierung eines Berichts. RSOP wird standardmäßig im Protokollierungsmodus ausgeführt. Im Folgenden sehen Sie die Ergebnisse des Ausführens von RSOP auf einem Computer namens WIN10VM1, der als Benutzer namens LabAdmin angemeldet ist.
Erweitern Sie jede der Ordner, und Sie sehen jede Einstellung in allen GPOs, die auf diesen bestimmten Benutzer oder Computer angewendet werden.
Wenn Sie eine erwartete GPO-Einstellung für eine kürzlich erstellte GPO nicht sehen, führen Sie den Befehl gpupdate /force auf dem PC aus, um die Richtlinieneinstellungen manuell zu aktualisieren.
Im Folgenden sehen Sie ein lokales Richtlinie namens HostName.bat, das dem Benutzeranmeldung auf dem PC zugewiesen ist. Innerhalb der Richtlinie befindet sich eine Stapeldatei namens HostName.bat unter Benutzerkonfiguration —> Windows-Einstellungen —> Skripte —> Anmeldung.
Wenn Sie RSOP auf einem Computer ausführen, auf dem eine lokale Richtlinie konfiguriert ist, sehen Sie das angewendete Anmeldeskript und den Namen der Richtlinie, die es angewendet hat.
Testen von Richtlinienänderungen mit dem Planungsmodus von RSOP
Vielleicht sind Sie bereit, eine wichtige Gruppenrichtlinie auf viele Computer auszurollen. Sie könnten sie sofort auf alle Computer gleichzeitig anwenden („Test in der Produktion“), oder Sie könnten den Planungsmodus von RSOP verwenden.
Mit dem Planungsmodus können Sie viele verschiedene Szenarien simulieren, wenn Sie eine Gruppenrichtlinie auf einen Computer anwenden würden, zum Beispiel wenn:
- Der Ziel-PC eine langsame Netzwerkverbindung hat
- Sie die Loopback-Verarbeitung aktivieren
- Der Ziel-PC viele angewendete Gruppenrichtlinien hat, um die Richtlinienvorrang zu testen
- A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
- A user or computer is moved between domains, OUs or even AD sites.
- A WMI filter is applied to an OU
Der Planungsmodus hilft Ihnen, alle bedingten Variablen zu berücksichtigen, mit denen Gruppenrichtlinien Sie konfrontieren können.
So führen Sie RSOP im Planungsmodus aus:
1. Öffnen Sie eine Befehlsaufforderung oder eine erhöhte PowerShell-Konsole und geben Sie mmc ein. Dies öffnet die MMC-Konsole.
Beachten Sie, dass Sie in diesem Fall nicht einfach rsop.msc ausführen können. Die einzige Möglichkeit, den RSOP-Modus zu ändern, besteht darin, ein MMC-Snap-In hinzuzufügen, wie Sie sehen werden.
2. Öffnen Sie im MMC-Konsolenfenster das Dateimenü und klicken Sie auf Snap-In hinzufügen/entfernen, wie unten gezeigt.
3. Im Dialogfeld Hinzufügen oder Entfernen von Snap-Ins wählen Sie Resultierende Gruppenrichtlinien aus und klicken auf Hinzufügen, um das Snap-In vom linken Fenster in das rechte Fenster zu verschieben.
4. Klicken Sie anschließend mit der rechten Maustaste auf das MMC-Snap-In Resultierende Gruppenrichtlinien, wie unten gezeigt, klicken Sie auf RSOP-Daten generieren und Weiter, um den Einführungsschritt zu überspringen.
5. Auf dem Bildschirm Modusauswahl wählen Sie den Planungs-Modus und klicken auf Weiter, um zum Bildschirm Computer-Auswahl zu gelangen.
6. Klicken Sie anschließend unter Benutzerinformationen auf Durchsuchen, um den Benutzer auszuwählen, der von einer bevorstehenden GPO betroffen sein könnte. Klicken Sie auch auf Container und Durchsuchen unter Computerinformationen, um die OU auszuwählen, die einen PC enthalten könnte, auf den dieser Benutzer sich einloggen könnte.
In der folgenden Bildschirmaufnahme werden alle Einstellungen angezeigt, die ein Benutzer namens HOMELAB\User01 erhalten würde, wenn er sich auf einem beliebigen Computer in der OU Desktop-VMs anmelden würde.
7. Wählen Sie nun Optionen aus, wenn Sie einige weitere Situationen simulieren möchten:
- Erkennung einer langsamen Verbindung durch Gruppenrichtlinien
- Loopback-Verarbeitung – Durch Auswahl von Ersetzen oder Zusammenführen werden die Benutzerrichtlinieneinstellungen und Computerrichtlinieneinstellungen im Konfliktfall ersetzt/zusammengeführt.
- Standort – Zur Simulation des AD-Standorts, in den der Desktop eingeloggt ist.
Klicken Sie auf Weiter, wenn Sie fertig sind.
8. Wenn Sie die GPO nicht direkt auf die OU anwenden möchten, in der sich der Benutzer oder Computer befindet, klicken Sie auf Durchsuchen, um die OU für eines der Objekte zu ändern. Klicken Sie anschließend auf Weiter.
In Schritt sechs haben Sie die OUs definiert, in denen sich der Benutzer und der Zielcomputer befinden. Hier definieren Sie die OU, auf die Sie die GPO anwenden möchten.
9. Geben Sie nun die AD-Gruppe ein, in der sich der Benutzer befinden soll, indem Sie auf „Hinzufügen“ klicken. In diesem Tutorial wird der Benutzer in der Gruppe DeniedGPOUsers sein.
Wie unten zu sehen ist, wird der Gruppe DeniedGPOUsers die Anwendung dieser GPO verweigert.
10. Als nächstes gehen Sie in diesem Tutorial die Bildschirme zur Definition von WMI-Filtern und Computergruppen durch. Wenn Sie jedoch planen, einen WMI-Filter auf der Gruppenrichtlinie einzurichten oder die Anwendung der Gruppenrichtlinie über die AD-Gruppe zu verweigern/zuzulassen, in der das Computerkonto enthalten ist, können Sie diese simulierten Änderungen vornehmen.
11. Überprüfen Sie abschließend auf dem Zusammenfassungsbildschirm alle Details. Lassen Sie die Option „Erweiterte Fehlerinformationen sammeln“ aktiviert und klicken Sie auf Weiter. Wenn Sie die Option „Erweiterte Fehlerinformationen“ aktivieren, sammelt das RSOP-Snap-In weitere Fehlerinformationen, wenn es die Abfrage ausführt. Diese Fehlermeldung enthält Netzwerk- oder AD-Probleme, die sich auf die Richtlinie auswirken, wenn sie implementiert wird. Das Aktivieren dieser Option kann die Zeit zur Verarbeitung der Simulation erheblich verlängern, liefert jedoch ausführlichere Informationen im Fehlerfall.
Nachdem die RSOP-Konsole erstellt wurde, klicken Sie mit der rechten Maustaste auf den Knoten „Computerkonfiguration“ oder „Benutzerkonfiguration“ und wählen Sie Eigenschaften. Klicken Sie dann auf die Registerkarte „Fehlerinformationen“, um etwaige Fehler anzuzeigen, die während der Simulation aufgetreten sind.
12. Sobald die RSOP abgeschlossen ist, navigieren Sie durch die Ordner unter Computerkonfiguration und Benutzerkonfiguration , um die angewendeten Richtlinien zu überprüfen.
Sie sehen unten zwei Fenster; auf der linken Seite sehen Sie die tatsächlich angewendete Gruppenrichtlinie (RSOP im Protokollierungsmodus) und auf der rechten Seite sehen Sie, wie RSOP aussehen würde, wenn der Benutzer aus der AD-Gruppe DeniedGPOUsers entfernt würde.
Überprüfen von mit RSOP angewendeten GPOs über Remotezugriff
Um zu verhindern, dass Sie jedes Mal zur lokalen Konsole jedes Computers gehen müssen, ermöglicht RSOP auch die Überprüfung von Einstellungen aus der Ferne sowohl im Protokoll- als auch im Planungsmodus. In dieser Demonstration wird der Protokollmodus verwendet.
1. Öffnen Sie RSOP, indem Sie die Schritte 1-4 im Abschnitt Testen von Richtlinienänderungen mit dem Planungsmodus von RSOP oben durchführen.
2. Wählen Sie im Modusauswahlbildschirm den Protokollmodus und klicken Sie auf Weiter, um zum Computerauswahlbildschirm zu gelangen.
3. Wählen Sie auf dem Bildschirm Computerauswahl Einen anderen Computer aus, da Sie einen Remote-Computer abfragen werden, und klicken Sie auf Durchsuchen.
4. Geben Sie im Feld Computer auswählen den Namen des Remote-PCs ein und klicken Sie auf Namen überprüfen. Diese Aktion sucht nach dem AD-Computerkonto des Computers. Wenn es gefunden wird, wird der PC-Name unterstrichen, wie unten gezeigt.
5. Klicken Sie auf Weiter auf dem Bildschirm Computerauswahl. Hier könnten Sie Keine Richtlinieneinstellungen für den ausgewählten Computer in den Ergebnissen anzeigen… auswählen, aber Sie werden sowohl Computer- als auch Benutzereinstellungen überprüfen.
6. Wählen Sie als nächstes den Benutzer aus, dessen angewendete Benutzerrichtlinien Sie überprüfen möchten. Sie sehen eine Liste der Benutzer, die sich mindestens einmal am Remote-Computer angemeldet haben.
Wählen Sie einen Benutzer aus der Liste aus und klicken Sie auf Weiter.
Beachten Sie, dass die Option Aktueller Benutzer ausgegraut ist. RSOP unterstützt das Auffinden des remote angemeldeten Benutzers nicht. Sie müssen explizit einen auswählen.
7. Deaktivieren Sie das Kontrollkästchen Erweiterte Fehlerinformationen sammeln. Klicken Sie auf Weiter, um fortzufahren. RSOP wird jetzt eine Verbindung zum Remote-Computer herstellen und versuchen, alle RSOP-Einstellungen sowohl für den ausgewählten Benutzer als auch für den Computer abzurufen.
8. Klicken Sie auf Fertigstellen, wenn Sie fertig sind.
9. Sie sehen jetzt genau dasselbe MMC-Snap-In wie beim Überprüfen der lokalen Einstellungen. Diesmal stammen die Einstellungen jedoch von einem Remote-PC.
Schlussfolgerung
Das RSOP-Tool ist praktisch, wenn Sie schnell alle angewendeten GPO-Einstellungen für einen Computer oder Benutzer finden müssen. Die Verwendung dieses Tools ermöglicht es Ihnen, die angewendeten Einstellungen zu sehen; nicht nur alle Einstellungen für GPOs, die auf einen bestimmten Computer oder Benutzer abzielen.
Wo sehen Sie sich in Zukunft die Verwendung von RSOP?