Avez-vous déjà appliqué un objet de stratégie de groupe (GPO) à une unité organisationnelle (OU) de l’Active Directory et souhaité vérifier s’ils sont appliqués ou non? Si c’est le cas, vous devez comprendre la commande gpresult.
Scannez votre AD pour 930+ millions de mots de passe compromis. Téléchargez Specops Password Auditor, un outil gratuit en lecture seule qui identifie les vulnérabilités liées aux mots de passe.
Dans ce tutoriel, vous apprendrez comment utiliser la commande gpresult pour vérifier les paramètres de la stratégie de groupe sur des machines Windows locales et à distance.
Commençons!
Prérequis
Si vous souhaitez suivre les exemples de ce tutoriel, assurez-vous de disposer des éléments suivants:
- Un domaine Active Directory. Toute version fera l’affaire. Ce tutoriel utilisera un domaine appelé HomeLab.Local.
- A domain-joined Windows PC with at least one GPO applied to it. If you’d like to learn how to invoke
gpresultremotely, you’ll need a second domain-joined PC. This tutorial will use two Windows 10 computers called Win10VM1 and Win10VM2. - Des droits d’administrateur local sur votre PC local et sur votre PC distant.
Compréhension de la commande GPResult
GPResult est un outil en ligne de commande intégré à Windows qui génère des rapports sur les stratégies appliquées à un ordinateur joint à un domaine, à la fois pour les stratégies basées sur l’utilisateur et sur l’ordinateur.
Lorsqu’un administrateur d’Active Directory attribue un GPO à une OU, les ordinateurs ou utilisateurs dans cette OU vérifient ensuite pour appliquer ces paramètres. C’est là que gpresult intervient lorsque les ordinateurs cibles reçoivent le GPO.
Le temps qu’il faut à chaque ordinateur pour réellement recevoir et appliquer ces paramètres dépend de l’intervalle de rafraîchissement de la Stratégie de groupe.
Le programme utilitaire gpresult vous permet d’exécuter une commande sur ces ordinateurs cibles pour confirmer que les GPO que vous pensez devoir être appliquées le sont effectivement.
Obtenir de l’aide avec GPResult
Comme de nombreux autres utilitaires en ligne de commande, gpresult dispose d’un système d’aide intégré simple. Ce système d’aide vous permet de trouver facilement tous ces commutateurs difficiles à mémoriser.
Vous pouvez trouver tous les commutateurs fournis par gpresult en exécutant simplement gpresult sans commutateur, comme indiqué ci-dessous. Plutôt que de revenir à ce post lorsque vous vous demandez ce qu’un paramètre fait, rappelez-vous que l’aide intégrée existe!
Récupération des données de l’ensemble des résultats de la Stratégie (RSOP)
Exécuter gpresult sans paramètres affichera uniquement des informations d’aide. Vous en avez besoin pour récupérer certaines informations! Pour commencer, couvrons d’abord le commutateur /r ou ensemble des résultats de la stratégie.
Le jeu de résultats de stratégie résultant (RSOP) est un complément de la stratégie de groupe qui vous permet d’interroger différents aspects de la stratégie de groupe. RSOP est un excellent moyen de découvrir le résultat de la stratégie attribuée à un ordinateur.
GPResultaffiche les données RSOP en mode journalisation, ce qui inclut les paramètres de stratégie tels que le chemin de l’OU utilisateur et ordinateur, le nom de domaine, les appartenances aux groupes AD, les paramètres de sécurité et les GPO appliqués pour les utilisateurs et les ordinateurs.
Pour utiliser gpresult pour interroger les données RSOP, ouvrez cmd.exe ou PowerShell en tant qu’administrateur. invoquez gpresult avec l’interrupteur /r comme indiqué ci-dessous.
Vous pouvez voir ci-dessous que, entre autres, gpresult renvoie tous les GPO appliqués à l’ordinateur particulier (PARAMÈTRES DE L’ORDINATEUR) et les GPO ciblant tous les utilisateurs qui se connecteront à l’ordinateur (PARAMÈTRES UTILISATEUR).
Vous pouvez exécuter
gpresult /Rsur une invite de commande non administrateur, mais cela ne montrera que les stratégies appliquées à l’utilisateur qui exécute la commande.
Aller plus loin : Trouver des informations détaillées sur les stratégies de groupe appliquées
Si vous avez simplement besoin de découvrir quels GPO sont appliqués à un ordinateur particulier ou à un utilisateur sur cet ordinateur, les données RSOP que vous obtenez à partir de l’option /r fonctionneront. Cependant, les données RSOP ont leurs limites. Les données RSOP ne fournissent pas d’informations telles que l’heure d’exécution de la dernière connexion d’un script, la clé de registre dans laquelle le GPO est créé, et plus encore.
Pour découvrir autant d’informations que gpresult peut fournir, utilisez l’option /v ou verbose comme indiqué ci-dessous.
Jetez un œil à toutes les informations que /v fournit. C’est beaucoup d’informations!
Comparez les différences entre /r et /v ci-dessous. Vous verrez que /r ne fournit que le nom du GPO tandis que /v fournit le nom du fichier du script de connexion et la dernière fois que le script a été exécuté sur l’ordinateur.
Limitation de GPresult aux paramètres basés sur l’utilisateur ou l’ordinateur
Comme mentionné, gpresult, par défaut, renvoie à la fois les paramètres basés sur l’utilisateur et l’ordinateur. Parfois, surtout lors de la gestion de GPO avec des centaines de paramètres, la quantité de sortie peut devenir écrasante.
Si vous devez uniquement rechercher les paramètres appliqués à l’ordinateur ou à l’utilisateur, gpresult vous permet de limiter la portée de la requête en utilisant le paramètre /scope. En spécifiant soit computer ou user comme argument du paramètre /scope, gpresult ne renverra que les paramètres appliqués à tous les utilisateurs ou à l’ordinateur.
Pour voir les données RSOP pour toutes les stratégies dans la portée computer, exécutez la commande ci-dessous.
Comment trouver toutes les politiques en mode verbeux uniquement pour tous les utilisateurs ?
Le paramètre
/scopepeut être utilisé en plus d’autres commutateurs comme/ret/vpour limiter la portée de n’importe quelle commande.
Si vous exécutez cmd.exe ou PowerShell en tant qu’administrateur et invoquez GPResult, il renverra les paramètres de la stratégie de groupe pour tous les utilisateurs. Si vous utilisez le commutateur /scope user, il supprimera les paramètres basés sur l’ordinateur mais renverra toujours les paramètres pour tous les utilisateurs.
Si vous avez besoin de limiter les paramètres à un seul utilisateur connecté en même temps, utilisez le paramètre /user suivi du nom d’utilisateur souhaité en tant qu’argument.
Si vous essayez de interroger les données RSOP pour un utilisateur qui n’existe pas, GPResult renverra le message
L'utilisateur "<utilisateur>" n'a pas de données RSOP.
Exportation des résultats de GPResult
Parfois, renvoyer simplement des informations à la console de ligne de commande ne suffit pas. Peut-être que vous devez créer un rapport ou partager les résultats avec quelqu’un d’autre. Dans ce cas, vous devez exporter les résultats vers un autre format.
Vous pouvez exporter la sortie de GPResult de quelques manières différentes.
Exporter les résultats vers un fichier texte
L’une des façons les plus simples d’exporter les résultats vers un fichier consiste à utiliser l’invite de commande ou la fonction de redirection de sortie de PowerShell. En « redirigeant » les résultats de la ligne de commande vers un fichier avec l’opérateur de redirection > suivi d’un nom de fichier texte, le texte contiendra exactement ce que vous verriez dans la console.
La commande ci-dessous renverrait toutes les données RSOP et créerait un fichier appelé C:\Temp\RsopReport.txt contenant l’intégralité des résultats de la commande GPResult.
Exportation des résultats vers un fichier HTML ou XML
Contrairement à la redirection native depuis une invite de commande vers un fichier texte, vous pouvez également générer et enregistrer les informations sur la stratégie appliquée dans un fichier HTML ou XML. En utilisant l’option /H (pour HTML) ou l’option /X (pour XML) suivie du chemin du fichier HTML demandé, GPResult créera un fichier HTML bien formaté avec la sortie.
Si le fichier existe déjà, GPResult renverra une erreur. Forcer GPResult à écraser le fichier existant en utilisant l’option
/F.
Exécution de GPResult à distance
Tout au long de ce tutoriel, vous avez exécuté GPResult localement. En utilisant le paramètre /s, GPResult peut également récupérer toutes les mêmes paramètres de stratégie de groupe à distance.
Par exemple, pour trouver les données RSOP de l’utilisateur user01 qui s’est connecté à l’ordinateur distant win10vm1 au moins une fois, vous exécuteriez ce qui suit :
Peut-être êtes-vous connecté à un ordinateur qui n’a pas les droits pour interroger les informations de la stratégie de groupe sur un ordinateur distant. Dans ce cas, GPResult échouera à moins que vous ne spécifiiez des informations d’identification alternatives.
Spécifiez les informations d’identification alternatives en utilisant les paramètres /U (nom d’utilisateur) et /P (mot de passe) comme indiqué ci-dessous.
Des mots de passe compromis se cachent-ils dans votre Active Directory ? Téléchargez Specops Password Auditor et analysez les vulnérabilités des mots de passe gratuitement !
Conclusion
Vous devriez maintenant savoir comment utiliser la commande GPResult pour interroger les paramètres de stratégie de groupe appliqués sur les ordinateurs locaux et distants. Cette commande pratique est un excellent outil de découverte et de dépannage dans l’arsenal de tout administrateur de l’Active Directory.
La prochaine fois que vous vous demanderez : « Comment confirmer qu’un ordinateur joint à un domaine a appliqué la GPO que j’attends ? », quel outil utiliserez-vous ?