Cómo verificar las directivas de grupo aplicadas con la herramienta GPResult

Tutoriales

¿Alguna vez has aplicado un Objeto de directiva de grupo (GPO) a una unidad organizativa (OU) de Active Directory y deseas verificar si realmente se aplicaron? Si es así, necesitas entender el comando gpresult.

Escanea tu AD en busca de más de 930 millones de contraseñas comprometidas. Descarga Specops Password Auditor, una herramienta GRATUITA de solo lectura que identifica vulnerabilidades relacionadas con contraseñas.

En este tutorial, aprenderás a utilizar el comando gpresult para verificar la configuración de la directiva de grupo en máquinas locales y remotas con Windows.

¡Empecemos!

Requisitos previos

Si deseas seguir los ejemplos de este tutorial, asegúrate de tener lo siguiente:

  • Un dominio de Active Directory. Cualquier versión funcionará. Este tutorial utilizará un dominio llamado HomeLab.Local.
  • A domain-joined Windows PC with at least one GPO applied to it. If you’d like to learn how to invoke gpresult remotely, you’ll need a second domain-joined PC. This tutorial will use two Windows 10 computers called Win10VM1 and Win10VM2.
  • Derechos de administrador local en tu PC local y PC remota.

Entendiendo el comando GPResult

GPResult es una herramienta de línea de comandos integrada en Windows que genera informes sobre las directivas aplicadas a una computadora unida al dominio, tanto para políticas basadas en usuarios como en computadoras.

Cuando un administrador de Active Directory asigna un GPO a una OU, las computadoras o usuarios en esa OU verifican para aplicar esos ajustes. Es aquí donde entra en juego gpresult.

El tiempo que cada computadora realmente recibe y aplica esos ajustes depende del intervalo de actualización de la Directiva de grupo.

La utilidad gpresult te permite ejecutar un comando en estas computadoras objetivo para confirmar que las Directivas de grupo que crees que deberían aplicarse realmente lo estén.

Relacionado:Comprendiendo el Comando GPUpdate

Obtener Ayuda con GPResult

Al igual que muchas otras utilidades de línea de comandos, gpresult tiene un sencillo sistema de ayuda integrado. Este sistema de ayuda te permite encontrar fácilmente todos esos interruptores difíciles de recordar.

Puedes encontrar todos los interruptores que proporciona gpresult simplemente ejecutando gpresult sin interruptores, como se muestra a continuación. ¡En lugar de volver a este mensaje cuando te preguntes qué hace un parámetro, recuerda que la ayuda integrada existe!

Help information for gpresult command

Recuperando Datos del Conjunto de Políticas Resultantes (RSOP)

Ejecutar gpresult sin parámetros solo mostrará información de ayuda. ¡Necesitas para recuperar algo de información! Para empezar, primero cubramos cómo funciona el interruptor /r o conjunto de políticas resultantes.

Resultado del Conjunto de Directivas (RSOP) es un complemento de Directiva de Grupo que te permite consultar varios aspectos de la Directiva de Grupo. RSOP es una excelente manera de descubrir el resultado de la directiva asignada a una computadora.

GPResult muestra datos de RSOP en modo de registro, que incluye configuraciones de directivas como la ruta OU de usuario y computadora, nombre de dominio, membresías de grupos AD, configuraciones de seguridad y GPO aplicadas tanto a usuarios como a computadoras.

Para utilizar gpresult para consultar datos de RSOP, abre cmd.exe o PowerShell como administrador. Invoca gpresult con el interruptor /r como se muestra a continuación.

Gpresult /R

Puedes ver a continuación que, entre otras cosas, gpresult devuelve todas las GPO que la computadora en particular (CONFIGURACIÓN DE LA COMPUTADORA) y las GPO dirigidas a todos los usuarios que iniciarán sesión en la computadora (CONFIGURACIÓN DE USUARIO).

Puedes ejecutar gpresult /R en un símbolo del sistema no administrativo, pero solo mostrará las políticas aplicadas al usuario que está ejecutando el comando.

Displaying output for Gpresult /R command

Detalles específicos: Encontrar información detallada de la Directiva de Grupo aplicada.

Si simplemente necesitas descubrir qué GPO se aplican a una computadora específica o usuario(s) en esa computadora, los datos de RSOP que obtienes del interruptor /r funcionarán. Pero los datos de RSOP solo llegan hasta cierto punto. Los datos de RSOP no proporcionan información como la última vez que se ejecutó un script de inicio de sesión, la clave del registro en la que se creó la GPO y más.

Para descubrir tanta información como gpresult puede proporcionar, utiliza el interruptor /v o verbose como se muestra a continuación.

Gpresult /V

Observa toda la información que /v proporciona. ¡Es mucha información!

Verifying GPOs applied on the computer
Password policies applied on the computer
Services disabled on the computer
Verifying Logon Scripts configured for user
Wallpaper set via user policy in GPO
Full registry key path for the policies
Verifying GPOs applied for user

Compara las diferencias entre /r y /v a continuación. Verás que /r solo proporciona el nombre de la GPO, mientras que /v proporciona el nombre del archivo del script de inicio de sesión y la última vez que se ejecutó el script en la computadora.

Differences in /r and /v

Limitando GPresult a configuraciones basadas en usuarios o en la computadora

Como se mencionó, gpresult, de forma predeterminada, devuelve configuraciones tanto basadas en usuarios como en la computadora. A veces, especialmente al gestionar GPO con cientos de configuraciones, la cantidad de salida puede resultar abrumadora.

Si solo necesitas buscar configuraciones aplicadas a la computadora o al usuario, gpresult te permite limitar el alcance de la consulta utilizando el parámetro /scope. Al especificar ya sea computer o user como argumento del parámetro /scope, gpresult solo devolverá configuraciones aplicadas a todos los usuarios o la computadora.

Para ver los datos de RSOP para todas las políticas en el alcance de la computadora, ejecuta el siguiente comando.

Gpresult /R /Scope computer

¿Qué tal encontrar todas las políticas en modo detallado para todos los usuarios solamente? 

Gpresult /V /Scope user

El parámetro /scope puede ser utilizado además de otros interruptores como /r y /v para limitar el alcance de cualquiera de los comandos.

Si estás ejecutando cmd.exe o PowerShell como administrador e invocas GPResult, devolverá configuraciones de directiva de grupo para todos los usuarios. Si usas el interruptor /scope user, eliminará las configuraciones basadas en computadora pero seguirá devolviendo configuraciones para todos los usuarios.

Si necesitas limitar las configuraciones a un solo usuario conectado al mismo tiempo, utiliza el parámetro /user seguido del nombre de usuario deseado como argumento.

Gpresult /R /user user01

Si intentas consultar datos de RSOP para un usuario que no existe, GPResult devolverá el mensaje El usuario "<usuario>" no tiene datos de RSOP.

Exportando la salida de GPResult

A veces, simplemente devolver información a la consola de línea de comandos no es suficiente. Tal vez necesites construir un informe o compartir los resultados con alguien más. En ese caso, necesitas exportar los resultados a algún otro formato.

Puedes exportar la salida de GPResult de algunas maneras diferentes.

Exportar Resultados a un Archivo de Texto

Una de las formas más sencillas de exportar resultados a un archivo es utilizando el símbolo del sistema o la función de redirección de salida de PowerShell. Al “canalizar” los resultados de la línea de comandos a un archivo con el operador de redirección > seguido de un nombre de archivo de texto, el texto contendrá exactamente lo que verías en la consola.

El siguiente comando devolvería todos los datos de RSOP y crearía un archivo llamado C:\Temp\RsopReport.txt que contiene todos los resultados del comando GPResult.

Gpresult /R > c:\Temp\RsopReport.txt

Relacionado:Redirigir la salida a un archivo con el cmdlet Out-File de PowerShell

Exportar resultados a un archivo HTML o XML

A diferencia de la redirección nativa desde un símbolo del sistema a un archivo de texto, también puedes generar y guardar la información de política aplicada en un archivo HTML o XML. Usando el interruptor /H (para HTML) o el interruptor /X (para XML) seguido de la ruta al archivo HTML solicitado, GPResult creará un archivo HTML con formato agradable con la salida.

Gpresult /H c:\Temp\RsopData.html
Gpresult /X c:\Temp\RsopXMLRreport.xml

Si el archivo ya existe, GPResult devolverá un error. Forzar a GPResult a sobrescribir el archivo existente utilizando el interruptor /F.

Ejecutar GPResult de forma remota

A lo largo de este tutorial, has estado ejecutando GPResult localmente. Usando el parámetro /s, GPResult también puede recuperar todos los mismos ajustes de directiva de grupo de forma remota.

Por ejemplo, para encontrar datos RSOP para el usuario user01 que ha iniciado sesión en la computadora remota win10vm1 al menos una vez, ejecutarías lo siguiente:

gpresult /R /S win10vm1 /user user01
Finding RSOP data

Tal vez estés iniciado sesión en una computadora que no tiene permisos para consultar información de Directiva de Grupo en una computadora remota. En ese caso, GPResult fallará a menos que especifiques credenciales alternativas.

Especifica credenciales alternativas usando los parámetros /U (nombre de usuario) y /P (contraseña) como se muestra a continuación.

gpresult /R /S win10vm1 /scope user /U homelab\MyLabAdmin /P password
Specify alternate credentials

¿Hay contraseñas comprometidas acechando en tu Active Directory? ¡Descarga Specops Password Auditor y escanea vulnerabilidades de contraseñas GRATIS!

Conclusión

Ahora deberías saber cómo usar el comando GPResult para consultar la configuración de Directiva de Grupo aplicada en computadoras locales y remotas. Este útil comando es una gran herramienta de descubrimiento y resolución de problemas en el arsenal de cualquier administrador de Active Directory.

La próxima vez que te preguntes, “¿Cómo confirmo que una computadora unida al dominio ha aplicado la GPO que espero?”, ¿qué herramienta usarás?

Source:
https://adamtheautomator.com/gpresult/