איך לאמת את ה-GPOs שהוחלו עם כלי GPResult

מדריכים

האם אי פעם החלקת מופע של Group Policy Object (GPO) ליחידת ארגון (OU) ב-Active Directory ורצית לוודא האם הם מיושם או לא? אם כן, יש לך צורך להבין את הפקודה gpresult.

סרוק את ה-AD שלך לסיסמאות פגועות בכמות של 930 מיליון סיסמאות. הורד את Specops Password Auditor, כלי קריאה בלבד שמזהה חשיפות בסיסמאות.

במדריך זה, תלמד כיצד להשתמש בפקודה gpresult כדי לוודא את הגדרות מדיניות הקבוצה במכשירים Windows מקומיים ומרוחקים.

בואו נתחיל!

דרישות מוקדמות

אם ברצונך לעקוב אחר הדוגמאות במדריך זה, הקפד לוודא שיש לך את הפריטים הבאים:

  • דומיין ב-Active Directory. כל גרסה תעבוד. במדריך זה נעשה שימוש בדומיין בשם HomeLab.Local.
  • A domain-joined Windows PC with at least one GPO applied to it. If you’d like to learn how to invoke gpresult remotely, you’ll need a second domain-joined PC. This tutorial will use two Windows 10 computers called Win10VM1 and Win10VM2.
  • זכויות מנהל מקומי על המחשב המקומי שלך ועל המחשב המרוחק.

הבנה של הפקודה GPResult

GPResult היא כלי שורת פקודה מובנה ב-Windows שיוצר דוחות על מדיניות המיושמת במחשב המצורף לדומיין, הן לגברת המשתמש והן למדיניות המבוססת על מחשב.

כאשר מנהל Active Directory מקצה מופע של GPO ל-OU, המחשבים או המשתמשים ב-OU אז נכנסים לאחריות ליישם את ההגדרות האלו. ברגע שהמחשבים היעד מקבלים את ה-GPO, פקודת gpresult נכנסת לתמוך.

הזמן שבו כל מחשב מקבל ומחיל את ההגדרות הללו תלוי במרווח רענון מדיניות קבוצה.

הכלי gpresult מאפשר לך להריץ פקודה על מחשבים אלו כדי לאשר שה-GPOs שאתה חושב שצריך להיות מיושמים באמת כן.

קשור:הבנת הפקודה GPUpdate

קבלת עזרה עם GPResult

כמו רבים מכלי השורת פקודה האחרים, ל-GPResult יש מערכת עזרה פשוטה מובנית. מערכת העזרה הזו מאפשרת לך למצוא בקלות את כל המתגים הקשים לזכור האלה.

אתה יכול למצוא את כל המתגים ש-GPResult מספק פשוט על ידי הרצת GPResult עם אף מתג, כפי שמוצג למטה. במקום לחזור לפוסט הזה כאשר אתה תתעקש לדעת מה עושה פרמטר, זכור שהעזרה המובנית קיימת!

Help information for gpresult command

איחזור נתוני סט מדיניות תוצאה

הרצת GPResult עם ללא מתגים תראה רק מידע עזרה. אתה צריך אותו כדי לאחזר מידע מסוים! להתחיל, בוא נכסות תחילה איך המתג / r או סט מדיניות תוצאה עובד.

תוצאה המוגדרת של מדיניות (RSOP) היא הרחבה של מדיניות קבוצתית שמאפשרת לך לשאול רגישויות שונות של מדיניות קבוצתית. RSOP היא דרך נהדרת לגלות את התוצאה של המדיניות שהוקצתה למחשב.

GPResult מציג נתוני RSOP ב מצב רישום הכולל הגדרות מדיניות כגון נתיב OU של משתמש ומחשב, שם התחום, חברות קבוצת AD, הגדרות אבטחה ו-GPOs שהוחלו לשני המשתמשים והמחשבים.

כדי להשתמש ב gpresult כדי לשאול נתוני RSOP, פתח cmd.exe או PowerShell בתור מנהל. קרא ל gpresult עם המתג /r כפי שמוצג למטה.

Gpresult /R

ניתן לראות למטה כי, בין היתר, gpresult מחזיר את כל ה-GPOs של המחשב הספציפי (הגדרות מחשב) ו-GPOs הממוקדות לכל המשתמשים שיתחברו למחשב (הגדרות משתמש).

ניתן להריץ gpresult /R בפקודת פועל לא מנהל אך זה יראה רק מדיניות שהוחלה על המשתמש שמריץ את הפקודה.

Displaying output for Gpresult /R command

קבלת פרטים מפורטים: מציאת מידע מדויק של מדיניות קבוצתית שהוחלה

אם פשוט נדרש לגלות אילו GPOs מיושמות על מחשב מסוים או משתמשים (משתמש) במחשב זה, הנתונים RSOP שאתה מקבל מהמתג /r יעבודים. אך נתוני RSOP הולכים רק עד כדי כך. נתוני RSOP אינם מספקים מידע כגון הזמן האחרון בו בוצע תסריט כניסה, הרשומה ברישום שבה נוצר ה-GPO, ועוד.

כדי לגלות כמה מידע ש-gpresult יכול לספק, השתמש במתג /v או verbose כפי שמוצג למטה.

Gpresult /V

בדוק רק את כל המידע שמספק /v. זה הרבה מידע!

Verifying GPOs applied on the computer
Password policies applied on the computer
Services disabled on the computer
Verifying Logon Scripts configured for user
Wallpaper set via user policy in GPO
Full registry key path for the policies
Verifying GPOs applied for user

בדוק את ההבדלים בין /r ובין /v למטה. תראה ש-/r מספק רק את שם ה-GPO בעוד /v מספק את שם קובץ תסריט הכניסה והזמן האחרון בו נבצע התסריט על המחשב.

Differences in /r and /v

הגבלת GPresult להגדרות המבוססות על מחשב או משתמש

כפי שצוין, gpresult, כברירת מחדל, מחזיר גם הגדרות המבוססות על מחשב וגם הגדרות המבוססות על משתמש. לפעמים, במיוחד כאשר מנהלים GPOs עם מאות הגדרות, כמות הפלט עשויה להיות מוחלטת.

אם נדרש רק לחפש הגדרות שיישמו על המחשב או המשתמש, gpresult מאפשר לך להגביל את היקף השאילתה באמצעות הפרמטר /scope. בהגדרת אחת מבין computer או user כפרמטר הארגומנט של /scope, gpresult יחזיר רק הגדרות המיושמות על כל המשתמשים או על המחשב.

כדי לראות נתוני RSOP לכל המדיניות בטווח ה-computer, הריץ את הפקודה שלמטה.

Gpresult /R /Scope computer

איך למצוא את כל המדיניות במצב verbose לכל המשתמשים בלבד? 

Gpresult /V /Scope user

הפרמטר /scope ניתן לשימוש יחד עם מתגים אחרים כמו /r ו- /v כדי להגביל את הטווח של כל פקודה.

אם אתה מפעיל את cmd.exe או PowerShell כמנהל וקורא ל- GPResult, הוא יחזיר הגדרות מדיניות קבוצה עבור כל המשתמשים. אם אתה משתמש במתג /scope user, הוא יסיר הגדרות מבוססות מחשב אך עדיין יחזיר הגדרות עבור כל המשתמשים.

אם נדרש להגביל הגדרות למשתמש יחיד מחובר באותו זמן, השתמש בפרמטר /user ואז את שם המשתמש הרצוי כארגומנט.

Gpresult /R /user user01

אם תנסה לשאול נתוני RSOP עבור משתמש שאינו קיים, GPResult יחזיר את ההודעה המשתמש "<user>" אין לו נתוני RSOP.

ייצוא תוצאות GPresult

לעיתים פשוט להחזיר מידע לקונסולת של הפקודה אינו מספיק. אולי תרצה לבנות דוח או לשתף את התוצאות עם מישהו אחר. במקרה כזה, עליך לייצא את התוצאות לפורמט אחר.

ניתן לייצא את תוצאות GPResult בכמה דרכים שונות.

ייצוא תוצאות לקובץ טקסט

אחת מהדרכים הקלות ביותר לייצא תוצאות לקובץ היא להשתמש בשורת הפקודה או ביכולת ההפניה של PowerShell. על ידי "מקשר" את תוצאות שורת הפקודה לקובץ עם אופרטור ההפניה (>). יחד עם שם קובץ טקסט, הטקסט יכיל בדיוק את מה שתראה בקונסול.

הפקודה למטה תחזיר את כל נתוני RSOP ותיצור קובץ בשם C:\Temp\RsopReport.txt המכיל את תוצאות הפקודה GPResult כולן.

Gpresult /R > c:\Temp\RsopReport.txt

קשור:הפניה של פלט לקובץ באמצעות פקודת ה- Out-File של PowerShell

ייצוא תוצאות לקובץ HTML או XML

בניגוד להפניה טבעית משורת הפקודה לקובץ טקסט, ניתן גם ליצור ולשמור מידע על התקנת המדיניות שיימומשו לקובץ HTML או XML. באמצעות המתג /H (עבור HTML) או המתג /X (עבור XML) יחד עם הנתיב אל קובץ ה-HTML המבוקש, GPResult ייצור קובץ HTML בפורמט יפה.

Gpresult /H c:\Temp\RsopData.html
Gpresult /X c:\Temp\RsopXMLRreport.xml

אם הקובץ כבר קיים, GPResult יחזיר שגיאה. יש לכם אפשרות לכפות על GPResult לדרוס את הקובץ הקיים על ידי השגת המתג /F.

הפעלת GPResult מרחוק

במהלך ההדרכה הזו, השתמשתם ב-GPResult באופן מקומי. באמצעות הפרמטר /s, GPResult יכולה גם להריץ ולאחזר את אותן הגדרות של מדיניות קבוצתית מרחוק.

לדוג, כדי למצוא נתוני RSOP עבור המשתמש user01 שנכנס למערכת המרוחקת win10vm1 לפחות פעם אחת, יש להריץ את הפקודה הבאה:

gpresult /R /S win10vm1 /user user01
Finding RSOP data

ייתכן שאתה מחובר למחשב שאין לו הרשאות לשאילתת מידע קבוצת מדיניות על מחשב מרוחק. במקרה כזה, GPResult יכשל אלא אם תציין הרשאות חלופיות.

ציין הרשאות חלופיות באמצעות הפרמטרים /U (שם משתמש) ו־/P (סיסמה), כפי שמוצג למטה.

gpresult /R /S win10vm1 /scope user /U homelab\MyLabAdmin /P password
Specify alternate credentials

האם סיסמאות מסוכנות חורגות באזור הפעולה של ה Active Directory שלך? הורד את Specops Password Auditor וגלה חולשות בסיסמאות בחינם!

סיכום

עכשיו אתה אמור לדעת כיצד להשתמש בפקודת GPResult לשאילתת הגדרות מדיניות קבוצה שהוחלו על מחשבים מקומיים ומרוחקים. פקודה זו היא כלי נהדר לגילוי ותיקול בכל ערסנל הניהול של מנהלי Active Directory.

בפעם הבאה שתתקל בשאלה "איך אני מאשר שמחשב המצורף לדומיין החיבור שלו החיל את מדיניות הקבוצה שאני מצפה אליה?", איזה כלי תשתמש?

Source:
https://adamtheautomator.com/gpresult/