איך להשתמש ב-RSOP לבדיקת הגדרות GPO שהוחלו

מדריכים

כאשר אתה מחיל מופע של מופע (GPO) של Group Policy Object (GPO) של Active Directory (AD) על מאות או אפילו אלפי מחשבים יעד, יש סיכוי שזה יקח זמן עד שכולם יקבלו את זה. איך תדע מתי מחשב מקבל מדיניות חדשה או מגשימה הגדרות מדיניות מעודכנות? באמצעות כלי ה – RSOP.

כלי ה-RSOP או Resultant Set Of Policy, הוא כלי מובנה ב- Windows שמאפשר לך לגלות אילו הגדרות מדיניות מיושבות על מחשבים מקומיים ומרוחקים. אם אתה תואם מה התצורה ש-GPOs מגדירים על המחשב שלך, קרא הלאה!

קשור:איך לוודא GPOs שיושבים עם כלי GPResult

בואו נתחיל.

דרישות מקדימות

המדר הזה ירוץ דרך מספר הדגמאות שונות. אם ברצונך להתחיל, הקפד לוודא שיש לך את התחום הבא:

  • תחום של Active Directory – כל גרסה של AD תפעיל. המדר הזה ישתמש בדומיין בשם HomeLab.Local.
  • A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
  • A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
  • פתחי יציאות TCP 445, 135, יציאות דינמיות של RPC, ו־כל היציאות עבור WMI פתוחות על המחשב המרוחק. ניתן ליצור מדריך GPO בשם Group Policy Reporting Firewall Ports כדי לוודא שכל היציאות פתוחות.
  • זכויות מנהל מקומיות בשני המחשבים, המקומי והמרוחק.
  • A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.

מהו הכלי RSOP?

כאשר את מקצת GPO למחשב ב־Active Directory, המחשב צריך להתקשר לשרת התחום ולפי הזמן המוגדר לרענון של GPO (GPO refresh interval), יש לו לראות את ה-GPO ולנסות להחיל את ההגדרות שה-GPO מגדיר.

קשור:מהו Group Policy ואיך הוא פועל (בפרט)

כאשר המחשב מחיל את ההגדרות של GPO, ההגדרות האלה מאוחסנות על המחשב במסד הנתונים של דגם ניהול מידע כללי (CIMOM) באמצעות Windows Management Instrumentation (WMI). כדי לבדוק את ההגדרות המיושם, יש להפעיל את כלי RSOP. כלי RSOP מייצר דוח על המדינויים שהוחלו (או מתוכננים) למשתמשים ולמחשבים במחשב.

RSOP מצוין לפתרון בעיות בהן יש רבות מדינויים סותרים. באמצעות RSOP, ניתן לבדוק אילו GPO קיבלו עדיפות ודרסו אחד את השני.

מצבים

RSOP כולל שני מצבים שונים לעזור בגילוי כיצד GPO משפיעים על מחשבי היעד; מצב רישום ומצב תכנון.

  • מצב רישום – השימוש הנפוץ ביותר ב-RSOP המשמש ליצירת דוח על כל מדינויים שהוחלו לכל המשתמשים המחוברים ולמחשב עצמו.
  • מצב תכנון – שימוש פחות נפוץ ב-RSOP המאפשר לך לדמות אילו הגדרות ייושם על מחשב אם היו מיושמים עליו GPO אחד או יותר. מצב תכנון עובד לקביעת מה יקרה כאשר משתמש מועבר לקבוצת AD שונה, לדוגמה.

בדיקת ה-GPO המיושמים מקומית עם RSOP

שוב נתחיל עם דגמים ידיים של RSOP. תחילה, נכסה כיצד להפעיל את כלי ה-RSOP ואילו סוגי מידע אפשר לצפות בהם.

על המחשב המקומי שלך, שמחובר לדומיין, פתח חלון של פקודת שורת פקודה או PowerShell כמנהל.

קשור:איך להפעיל את PowerShell כמנהל

אם אינך מפעיל חלון של פקודת שורת פקודה או PowerShell כמנהל, אז RSOP לא יזכה לגישה להגדרות המחשב (רק הגדרות משתמש המחובר). בעת הפעלת RSOP, יתקבל שגיאה שמסבירה שאין לך הרשאות מספיקות.

לאחר מכן, הפעל את הפקודה rsop.msc. פעולה זו תפעיל את ה-MMC snap-in של RSOP.

כאשר אתה מפעיל את RSOP, הוא יתחיל לקרוא מיד את כל המדינויים המיושם ויאזין דוח. RSOP מוגדר כברירת מחדל למצב יומן. מתחת תראה את תוצאות הרצת RSOP על מחשב בשם WIN10VM1 המחובר כמשתמש בשם LabAdmin.

הרחב את כל התיקיות ותראה כל הגדרה נגד כל ה-GPOs שמיושם על המשתמש או המחשב הספציפי.

אם אין לך ראיה להגדרת GPO מסוימת שנוצרה לאחרונה, הפעל את הפקודה gpupdate /force על המחשב כדי לרענן ידנית את הגדרות המדינוי.

Running the gupdate force command

לדוגמה, למטה תראו מדיניות מקומית בשם HostName.bat המשוייכת להתחברות המשתמש במחשב. בתוך המדיניות יש קובץ batch בשם HostName.bat בתקן תצורת משתמש —> הגדרות Windows —> תסריטים —> התחברות.

Local Group Policy Editor

בביצוע של RSOP על מחשב שהוגדרה בו מדיניות מקומית, יראה את התסריט בהפעלה ואת שם המדיניות שיישמה אותו.

Resultant Set of Policy console

בדיקת שינויים במדיניות באמצעות מצב תכנון של RSOP

אולי אתה מוכן להפעיל GPO חשוב למחשבים רבים. תוכל לנסות בפועל וליישם אותו מיד לכל המחשבים בבת אחת, או להשתמש במצב התכנון של RSOP.

בשימוש במצב התכנון, תוכל לדמות הרבה תרחישים שונים כאשר תיישם GPO למחשב כמו כש:

  • המחשב היעד יש לו חיבור רשת איטי
  • אתה מפעיל עיבוד לולאות
  • המחשב היעד יש לו הרבה GPO שיישמו עליו לבדוק עדיפות מדיניות
  • A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
  • A user or computer is moved between domains, OUs or even AD sites.
  • A WMI filter is applied to an OU

מצב התכנון יעזור לך להתמודד עם כל המשתנים התנאיים שמדיניות GPO יכולה להשליך עליך.

להפעלת RSOP במצב תכנון:

1. פתח פרומט פקודות או קונסולת PowerShell מוגברת והקלד את mmc. זה יפתח את קונסולת MMC.

שים לב שאין אפשרות פשוטה להפעיל את rsop.msc במקרה זה. הדרך היחידה לשנות את מצב ה-RSOP היא כאשר אתה מוסיף תוספת MMC, כפי שתראה.

2. בקונסולת MMC, פתח את תפריט הקובץ ולחץ על הוסף/הסר Snap-in, כפי שמוצג למטה.

MMC console Add/Remove option

3. בתיבת הדו שיח השייכת להוספת או הסרת Snap-ins, בחר תוצאת הגדרות המדיניות והקלק הוסף כדי להעביר את ה-Snap-in מהחלון השמאלי לחלון הימני.

Displaying Resultant Set of Policy option

4. לאחר מכן, לחץ עם העכבר הימני על תוסף ה-MMC של תוצאות הקביעות של המדיניות, כפי שמוצג למטה, לחץ על ייצור נתוני RSOP ואז על הבא כדי לדלג על שלב המבוא.

Generate RSoP Data option

5. במסך בחירת המצב, בחר מצב תכנון ולחץ על הבא כדי להגיע למסך בחירת המחשב.

Selecting Planning mode option

6. לאחר מכן, לחץ על עיון מתחת למידע של משתמש כדי לבחור את המשתמש שעלול להיות מושפע ממדיניות קבוצת המדיניות הבאה. כמו כן, לחץ על מחסנית ועל עיון מתחת למידע של מחשב כדי לבחור את ה-OU שיכיל גם מחשב בו יכול להתחבר משתמש זה.

בתמונת המסך הבאה, הסימולציה תספק את כל ההגדרות שהמשתמש בשם HOMELAB\User01 יקבל אם הוא יתחבר לכל מחשב ב OU Desktop VMs.

Select user OU and computer OU

7. כעת, בחר אפשרויות אם ברצונך לסימולציה של מצבים נוספים:

לחץ על Next כאשר תסיים.

Slow network connection and loopback processing mode

8. אם אין לך כוונה להחיל ישירות את ה-GPO על ה-OU שבו יהיה המשתמש או המחשב, לחץ על Browse כדי לשנות את ה-OU לאחד מהאובייקטים. כאשר תסיים, לחץ על Next.

בשלב השישי, קבעת את ה-OUs שבהם יימצאו המשתמש והמחשב היעד. כאן, אתה מגדיר את ה-OU שאתה מתכוון להחיל עליו את ה-GPO.

Changing the path for the simulated applied GPO

9. עכשיו, הזן את קבוצת ה-AD שאתה מתכוון שהמשתמש יהיה בה על ידי לחיצה על הוספה. למדריך זה, המשתמש יהיה בקבוצת DeniedGPOUsers.

Displaying User Security Groups

תראה למטה שקבוצת DeniedGPOUsers מונעת את החילה של GPO זו.

Displaying custom permissions for DeniedGPOUsers AD group

10. לְבָאָה, לַדַּרְךְ שֶׁל הֲדָרַת פְּרוֹמוֹת WMI וַאֲגַף הַמַּחֲשָבִים. אִם, עַם זֹאת, אַתָּה תַּתְכִּנֵן לִהְיוֹת תוֹכֵנִי פְּרוֹמוֹת WMI עַל ה-GPO או לְאַפֵּשֵׁר/לְאַפֵּשֵׁר אִפְשׁוֹר עַם קַבָּוצַת AD שֶׁל חֶשְׁבּוֹן הַמַּחֲשָב, אַתָּה יָכוֹל לַעֲשׂוֹת אֵת הַשִּׁינוּיִים הַמְּדוּמִים הָאֵלֶּה.

11. לְבָסוֹף, עַל מַסְךְ הַסִּיכוֹם, עָבַר עַל כָּל הַפְּרָטִים. הַשְׁאֵר אֶת אִפְשׁוּר הַצְּבָר הַמִּידָע הַמַּרוּחֶב וּלְחַץ עַל הַבֻּכְרוֹת. כְּאָשֶׁר אַתָּה מַפְעִיל אֶת אִפְשׁוּר הַצְּבָר הַמִּידָע הַמַּרוּחֶב, מַרְכֵּז הָ RSOP מְאַסֵּף מִידָע נוֹסֵף עַם שֶׁהוּא מַבְצִע אֶת הַשְׁאֵילָתָה. הוּא כוֹלֶז מַסְרִיח כְּרָשָׁתוֹת רֶשֶׁת אוֹ שְׁגִיאוֹת AD שֶׁמּוֹשְׁפָּעוֹת עַל הַמְּדִינָיוֹת כְּאָשֶׁר נִמְשַׁכְתָּה. הַפְּעִלָת הָאִפְשׁוּר הַזֶּה עֲשׂוּיָה לְגָדוֹל מְאֹד אֶת הַזְּמָן לְתַהֲלִיך הַתַּמְעִיל, אֲבָל הִיא תִּסְפֵּק מִידָע יוֹתֵר מַעֲנָיִן אִם יִתְרוֹעַ שְׁגִיאָה.

לְאַחַר שֶׁהָ RSOP נוֹצָר, עַץ יְמִין עַל הָהָגָה הַמַּחֲשָׁב או קְבִיעָה שֶׁל מַחֲשָׁב הַמְּשַׁתֵּל וּלְחַץ עַל פַּרְטִים. לָכֵן לְחַץ עַל כַּרְטִיס מִידָע הַשְׁגָּאוֹת לִצְפוֹת בְּכָל הַשְּׁגִיאוֹת שֶׁנוֹצְרוּ בְּזִמְן הַהַדְמָאָה.

Summary Screen

12. לְאַחַר שֶׁהָ RSOP נִגְמַר, נַוְוִיג בַּמְקוֹרוֹת תַּחַת תַּצִּבוּר הַמַּחֲשָׁב וּהָצָבת הַמְּשַׁתֵּל לְוַדּוֹן אִם הַפּוֹלְסוֹת הַמְּיֻחָדוֹת נִיתָּנו.

תִּרְאֶה שְׁנֵי חַלוֹנוֹת לָמַטֶּה; בַּשְּׂמֹאל, תִּרְאֶה אֶת ה-GPO הָאָמִיתִי הַמְּיֻחָד (RSOP בְּמָצָב רִישׁוּם) וּבַשָּׂמֵאל, תִּרְאֶה מָה יֵרָאֶה הָ RSOP אִם הַמְּשַׁתֵּל יֵוסַר מִקַּבּוּץ הַ-DeniedGPOUsers שֶׁל AD.

GPO Applied

הֲסִקּוּת הַשְׁתָּמְשוּ בִּ RSOP לְפַעֵלּוּת פּוֹלְסוֹת מַרְחוֹק עִם RSOP

למניעת צורך לעבור אל כל מסוף מקומי של מחשב, RSOP מאפשר גם לבדוק הגדרות מרחוק לשני מצבים – הרשמה ותכנון. בדוגמה זו, המדריך ישתמש במצב הרשמה.

1. פתח RSOP על ידי ביצוע השלבים 1-4 במבחן שינויי מדיניות עם מצב התכנון של RSOP.

2. במסך בחירת המצב, בחר במצב הרשמה ולחץ על הבא כדי להגיע למסך בחירת המחשב.

Selecting Logging Mode

3. במסך בחירת המחשב, בחר מחשב אחר מאחר ואתה הולך לשאול מחשב מרוחק ולחץ עיון.

Selecting remote PC

4. בתיבת בחר מחשב, הזן את שם המחשב המרוחק ולחץ בדוק שמות. פעולה זו תחפש את חשבון המחשב של ה-AD. אם נמצא, יש להדגיש את שם המחשב, כפי שמוצג למטה.

Remote PC name

5. לחץ על הבא במסך בחירת המחשב. כאן, תוכל לבחור אל תציג הגדרות מדיניות עבור המחשב שנבחר בתוצאות… אך אתה הולך לבדוק הגדרות של מחשב ומשתמש.

Resultant Set of Policy wizard

6. לבחור את המשתמש שתרצה לבדוק את ההגדרות שלו. תראה את רשימת המשתמשים שנכנסו למחשב המרוחק לפחות פעם אחת.

בחר משתמש מהרשימה ולחץ הבא.

שים לב לאפשרות המשתמש הנוכחי שהיא מנוטרלת. RSOP אינו תומך באיתור המשתמש המחובר מרחוק. עליך לבחור באופן פעיל.

Selecting user on remote PC

7. בטל את תיבת הסימון אגוד מידע רחב. לחץ על המשך כדי להמשיך. RSOP כעת תתחבר למחשב המרוחק ותנסה לאחזר את כל הגדרות RSOP עבור המשתמש והמחשב הנבחרים.

Resultant Set of Policy Wizard gather extended error information option

8. לחץ על סיום כאשר סיימת.

Resultant Set of Policy wizard complete

9. כעת תראה את אותו ה- MMC snap-in המדויק שראית כאשר ביצעת בדיקה של הגדרות מקומיות. אך הפעם, ההגדרות הן ממחשב מרוחק.

Verifying GPO on remote PC

מסקנה

כלי ה- RSOP שימושי כאשר נדרש למצוא מהר את כל ההגדרות שהוחלו ממדיניות הקבוצה המקשרות למחשב או למשתמש. באמצעות הכלי הזה ניתן לראות את ההגדרות שהוחלו; ולא רק את כל ההגדרות של מדיניות הקבוצה המיועדת למחשב או למשתמש מסוים.

היכן אתה רואה את עצמך משתמש ב- RSOP בעתיד?

Source:
https://adamtheautomator.com/rsop/