Wie man angewendete GPOs mit dem GPResult-Tool überprüft

Haben Sie jemals ein Gruppenrichtlinienobjekt (GPO) auf eine Active Directory-Organisationseinheit (OU) angewendet und wollten überprüfen, ob sie angewendet wurden? Wenn ja, müssen Sie den Befehl gpresult verstehen.

Scannen Sie Ihre AD nach über 930 Millionen kompromittierten Passwörtern. Laden Sie Specops Password Auditor herunter, ein KOSTENLOSES Tool zur Identifizierung von passwortbezogenen Sicherheitslücken.

In diesem Tutorial erfahren Sie, wie Sie den Befehl gpresult verwenden, um Gruppenrichtlinieneinstellungen auf lokalen und entfernten Windows-Maschinen zu überprüfen.

Legen wir los!

Voraussetzungen

Wenn Sie den Beispielen in diesem Tutorial folgen möchten, stellen Sie bitte sicher, dass Sie Folgendes haben:

• Eine Active Directory-Domäne. Jede Version funktioniert. In diesem Tutorial wird eine Domäne namens HomeLab.Local verwendet.
• A domain-joined Windows PC with at least one GPO applied to it. If you’d like to learn how to invoke gpresult remotely, you’ll need a second domain-joined PC. This tutorial will use two Windows 10 computers called Win10VM1 and Win10VM2.
• Lokale Administratorrechte auf Ihrem lokalen PC und Remote-PC.

Verständnis des Befehls GPResult

GPResult ist ein Befehlszeilentool, das in Windows integriert ist und Berichte über Richtlinien generiert, die auf einen Domänencomputer sowohl für benutzerbasierte als auch für computergestützte Richtlinien angewendet werden.

Wenn ein Active Directory-Administrator ein GPO einer OU zuweist, überprüfen die Computer oder Benutzer in dieser OU dann, um diese Einstellungen anzuwenden. Wenn die Zielcomputer das GPO erhalten, kommt gpresult ins Spiel.

Die Zeit, zu der jeder Computer diese Einstellungen tatsächlich empfängt und anwendet, hängt vom Aktualisierungsintervall für Gruppenrichtlinien ab.

Das Dienstprogramm gpresult ermöglicht es Ihnen, einen Befehl auf diesen Zielcomputern auszuführen, um zu bestätigen, dass die GPOs, von denen Sie denken, dass sie angewendet werden sollen, tatsächlich angewendet werden.

Verwandte:Verständnis des Befehls GPUpdate

Hilfe bei GPResult erhalten

Wie viele andere Befehlszeilen-Dienstprogramme verfügt gpresult über ein einfaches integriertes Hilfesystem. Dieses Hilfesystem ermöglicht es Ihnen, alle schwer zu merkenden Schalter leicht zu finden.

Sie können alle Schalter, die gpresult bereitstellt, einfach durch Ausführen von gpresult ohne Schalter wie unten gezeigt finden. Statt zu diesem Beitrag zurückzukehren, wenn Sie sich fragen, was ein Parameter bewirkt, denken Sie daran, dass die integrierte Hilfe existiert!

Abrufen von Ergebnissen des Richtliniensatzes (RSOP)

Das Ausführen von gpresult ohne Parameter zeigt nur Hilfsinformationen an. Sie benötigen es, um einige Informationen abzurufen! Lassen Sie uns zunächst behandeln, wie der Schalter /r oder Resultierender Satz von Richtlinien funktioniert.

Ergebnis des Richtliniensatzes (RSOP) ist ein Gruppenrichtlinien-Add-On, das es ermöglicht, verschiedene Aspekte der Gruppenrichtlinie abzufragen. RSOP ist eine großartige Möglichkeit, das Ergebnis der Richtlinie zu entdecken, die einem Computer zugewiesen ist.

GPResult zeigt RSOP-Daten im Protokollmodus an, der Richtlinieneinstellungen wie Benutzer- und Computer-OU-Pfad, Domänenname, AD-Gruppenmitgliedschaften, Sicherheitseinstellungen und angewendete GPOs sowohl für Benutzer als auch für Computer enthält.

Um gpresult zur Abfrage von RSOP-Daten zu verwenden, öffnen Sie cmd.exe oder PowerShell als Administrator. Rufen Sie gpresult mit dem Schalter /r wie unten gezeigt auf.

Gpresult /R

Wie unten gezeigt, gibt gpresult unter anderem alle GPOs zurück, die dem bestimmten Computer (COMPUTEREINSTELLUNGEN) und GPOs zugewiesen sind, die auf alle Benutzer abzielen, die sich am Computer anmelden werden (USER-EINSTELLUNGEN).

Sie können gpresult /R auf einer nicht-administrativen Eingabeaufforderung ausführen, aber es werden nur Richtlinien angezeigt, die auf den Benutzer angewendet werden, der den Befehl ausführt.

Genauer werden: Detaillierte angewendete Gruppenrichtlinieninformationen finden

Wenn Sie einfach herausfinden möchten, welche Gruppenrichtlinien auf einem bestimmten Computer oder Benutzer angewendet werden, funktionieren die RSOP-Daten, die Sie mit dem /r-Schalter erhalten. Aber RSOP-Daten reichen nur bis zu einem gewissen Punkt. RSOP-Daten liefern keine Informationen wie die letzte Ausführungszeit eines Anmelde-Skripts, den Registrierungsschlüssel, in dem die GPO erstellt wurde, und mehr.

Um so viele Informationen wie möglich zu entdecken, die gpresult bieten kann, verwenden Sie den /v– oder verbose-Schalter wie unten gezeigt.

Gpresult /V

Schauen Sie sich einfach alle Informationen an, die /v bereitstellt. Das ist eine Menge Informationen!

Vergleichen Sie die Unterschiede zwischen /r und /v unten. Sie werden sehen, dass /r nur den GPO-Namen liefert, während /v den Dateinamen des Anmelde-Skripts und die letzte Ausführungszeit des Skripts auf dem Computer liefert.

Beschränkung von GPresult auf benutzer- oder rechnerbasierte Einstellungen

Wie erwähnt, gibt gpresult standardmäßig sowohl benutzer- als auch rechnerbasierte Einstellungen zurück. Manchmal, insbesondere beim Verwalten von GPOs mit Hunderten von Einstellungen, kann die Menge an Ausgaben überwältigend sein.

Wenn Sie nur nach Einstellungen suchen möchten, die auf den Computer oder den Benutzer angewendet wurden, erlaubt es Ihnen gpresult, den Umfang der Abfrage mit dem /scope-Parameter zu begrenzen. Indem Sie entweder computer oder user als Argument des /scope-Parameters angeben, gibt gpresult nur Einstellungen zurück, die auf alle Benutzer oder den Computer angewendet wurden.

Um RSOP-Daten für alle Richtlinien im computer-Bereich zu sehen, führen Sie den unten stehenden Befehl aus.

Gpresult /R /Scope computer

Wie wäre es, wenn alle Richtlinien im ausführlichen Modus für alle Benutzer gefunden werden?

Gpresult /V /Scope user

Der Parameter /scope kann zusätzlich zu anderen Schaltern wie /r und /v verwendet werden, um den Bereich eines Befehls einzuschränken.

Wenn Sie cmd.exe oder PowerShell als Administrator ausführen und GPResult aufrufen, werden die Gruppenrichtlinieneinstellungen für alle Benutzer zurückgegeben. Wenn Sie den Schalter /scope user verwenden, werden computergestützte Einstellungen entfernt, es werden jedoch weiterhin Einstellungen für alle Benutzer zurückgegeben.

Wenn Sie Einstellungen auf einen einzelnen Benutzer während der gleichzeitigen Anmeldung beschränken müssen, verwenden Sie den Parameter /user gefolgt vom gewünschten Benutzernamen als Argument.

Gpresult /R /user user01

Wenn Sie versuchen, RSOP-Daten für einen Benutzer abzufragen, der nicht existiert, gibt GPResult die Meldung Der Benutzer "<Benutzer>" hat keine RSOP-Daten zurück.

Ausgabe von GPResult

Manchmal reicht es nicht aus, Informationen einfach an die Befehlszeile zurückzugeben. Vielleicht müssen Sie einen Bericht erstellen oder die Ergebnisse mit jemand anderem teilen. In diesem Fall müssen Sie die Ergebnisse in ein anderes Format exportieren.

Sie können die Ausgabe von GPResult auf verschiedene Arten exportieren.

Ausgabe der Ergebnisse in eine Textdatei

Einer der einfachsten Wege, Ergebnisse in eine Datei zu exportieren, ist die Verwendung der Befehlszeile oder der Ausgabeumleitungsfunktion von PowerShell. Durch das „Pipe“-Symbolisieren der Befehlszeilenergebnisse in eine Datei mit dem Umleitungsoperator > gefolgt von einem Dateinamen enthält der Text genau das, was Sie in der Konsole sehen würden.

Der untenstehende Befehl würde alle RSOP-Daten zurückgeben und eine Datei namens C:\Temp\RsopReport.txt erstellen, die die gesamten Ergebnisse des GPResult-Befehls enthält.

Gpresult /R > c:\Temp\RsopReport.txt

Verwandt:Ausgabeumleitung in eine Datei mit dem PowerShell Out-File Cmdlet

Exportieren von Ergebnissen in eine HTML- oder XML-Datei

Im Gegensatz zur nativen Umleitung von der Befehlszeile in eine Textdatei können Sie auch die angewendeten Richtlinieninformationen in einer HTML- oder XML-Datei generieren und speichern. Mit dem Schalter /H (für HTML) oder dem Schalter /X (für XML) gefolgt vom Pfad zur gewünschten HTML-Datei wird GPResult eine schön formatierte HTML-Datei mit der Ausgabe erstellen.

Gpresult /H c:\Temp\RsopData.html
Gpresult /X c:\Temp\RsopXMLRreport.xml

Wenn die Datei bereits vorhanden ist, gibt GPResult einen Fehler zurück. Erzwingen Sie, dass GPResult die vorhandene Datei überschreibt, indem Sie den Schalter /F verwenden.

Ausführung von GPResult remote

In diesem Tutorial haben Sie GPResult lokal ausgeführt. Mit dem Parameter /s kann GPResult auch alle gleichen Gruppenrichtlinieneinstellungen remote abrufen.

Zum Beispiel, um RSOP-Daten für den Benutzer user01 zu finden, der sich mindestens einmal auf dem entfernten Computer win10vm1 angemeldet hat, führen Sie folgendes aus:

gpresult /R /S win10vm1 /user user01

Vielleicht sind Sie auf einem Computer angemeldet, der keine Rechte zum Abfragen von Gruppenrichtlinieninformationen auf einem Remote-Computer hat. In diesem Fall wird GPResult fehlschlagen, es sei denn, Sie geben alternative Anmeldeinformationen an.

Geben Sie alternative Anmeldeinformationen an, indem Sie die Parameter /U (Benutzername) und /P (Passwort) wie unten gezeigt verwenden.

gpresult /R /S win10vm1 /scope user /U homelab\MyLabAdmin /P password

Verbergen kompromittierte Passwörter in Ihrem Active Directory? Laden Sie Specops Password Auditor herunter und scannen Sie kostenlos nach Passwortschwachstellen!

Zusammenfassung

Sie sollten nun wissen, wie Sie das GPResult-Kommando verwenden, um angewendete Gruppenrichtlinieneinstellungen sowohl auf lokalen als auch auf entfernten Computern abzufragen. Dieses praktische Kommando ist ein großartiges Entdeckungs- und Troubleshooting-Tool in der Werkzeugkiste eines jeden Active Directory-Administrators.

Das nächste Mal, wenn Sie sich fragen: „Wie bestätige ich, dass ein Domänencomputer die von mir erwartete GPO angewendet hat?“, welches Tool werden Sie verwenden?