Come Verificare le GPO Applicate con lo Strumento GPResult

Tutorial

Hai mai applicato un Oggetto della Policy di Gruppo (GPO) a un’Unità Organizzativa (OU) di Active Directory e desiderato verificare se sono effettivamente applicate? In tal caso, è necessario comprendere il comando gpresult.

Scansiona il tuo AD per oltre 930 milioni di password compromesse. Scarica Specops Password Auditor, uno strumento GRATUITO in sola lettura che identifica vulnerabilità legate alle password.

In questo tutorial, imparerai come utilizzare il comando gpresult per verificare le impostazioni delle Policy di Gruppo su macchine Windows locali e remote.

Cominciamo!

Prerequisiti

Se desideri seguire gli esempi in questo tutorial, assicurati di avere quanto segue:

  • Un dominio Active Directory. Qualsiasi versione va bene. Questo tutorial utilizzerà un dominio chiamato HomeLab.Local.
  • A domain-joined Windows PC with at least one GPO applied to it. If you’d like to learn how to invoke gpresult remotely, you’ll need a second domain-joined PC. This tutorial will use two Windows 10 computers called Win10VM1 and Win10VM2.
  • Diritti di amministratore locale sul tuo PC locale e remoto.

Comprensione del comando GPResult

GPResult è uno strumento a riga di comando integrato in Windows che genera report sulle policy applicate a un computer connesso a un dominio, sia per le policy basate su utente che su computer.

Quando un amministratore di Active Directory assegna una GPO a un’OU, i computer o gli utenti in quella OU controllano per applicare tali impostazioni. Il momento in cui i computer di destinazione ricevono la GPO è dove entra in gioco gpresult.

Il tempo che ogni computer effettivamente riceve e applica tali impostazioni dipende dall’intervallo di aggiornamento della Directiva di gruppo.

Il comando gpresult ti consente di eseguire un comando su questi computer di destinazione per confermare che le GPO che pensi dovrebbero essere applicate lo siano effettivamente.

Correlato:Comprensione del comando GPUpdate

Ottieni assistenza con GPResult

Come molti altri utilità a riga di comando, gpresult ha un semplice sistema di aiuto integrato. Questo sistema di aiuto ti permette di trovare facilmente tutti quegli interruttori difficili da ricordare.

Puoi trovare tutti gli interruttori che gpresult fornisce semplicemente eseguendo gpresult senza interruttori come mostrato di seguito. Piuttosto che tornare a questo post quando ti chiedi cosa fa un parametro, ricorda che l’aiuto integrato esiste!

Help information for gpresult command

Recupero dei dati del set di policy risultanti (RSOP)

Eseguire gpresult senza parametri mostrerà solo le informazioni di aiuto. Ne hai bisogno per recuperare alcune informazioni! Per iniziare, vediamo prima come funziona l’interruttore /r o set di policy risultanti.

Risultato dell’insieme di criteri (RSOP) è un componente aggiuntivo di Group Policy che consente di interrogare vari aspetti della Group Policy. RSOP è un ottimo modo per scoprire il risultato della policy assegnata a un computer.

GPResult visualizza i dati RSOP in modalità di registrazione, che include impostazioni di policy come il percorso OU dell’utente e del computer, il nome del dominio, le appartenenze ai gruppi AD, le impostazioni di sicurezza e le GPO applicate sia per gli utenti che per i computer.

Per utilizzare gpresult per interrogare i dati RSOP, apri cmd.exe o PowerShell come amministratore. Esegui gpresult con l’opzione /r come mostrato di seguito.

Gpresult /R

Puoi vedere qui sotto che, tra le altre cose, gpresult restituisce tutte le GPO che il particolare computer (IMPOSTAZIONI COMPUTER) e le GPO che mirano a tutti gli utenti che si connetteranno al computer (IMPOSTAZIONI UTENTE).

Puoi eseguire gpresult /R su un prompt dei comandi non amministrativo, ma mostrerà solo le policy applicate all’utente che sta eseguendo il comando.

Displaying output for Gpresult /R command

Ottieni Dettagli: Trovare Informazioni Dettagliate sulle Policy di Gruppo Applicate

Se hai semplicemente bisogno di scoprire quali GPO sono applicati a un particolare computer o utente(i) su quel computer, i dati RSOP che ottieni dalla commutazione /r funzioneranno. Ma i dati RSOP arrivano solo fino a un certo punto. I dati RSOP non forniscono informazioni come l’ultimo momento di esecuzione di uno script di accesso, la chiave del registro in cui è creata la GPO e altro ancora.

Per scoprire il maggior numero possibile di informazioni come può fornire gpresult, usa la commutazione /v o verbose come mostrato di seguito.

Gpresult /V

Controlla tutte le informazioni che /v fornisce. È davvero tanta informazione!

Verifying GPOs applied on the computer
Password policies applied on the computer
Services disabled on the computer
Verifying Logon Scripts configured for user
Wallpaper set via user policy in GPO
Full registry key path for the policies
Verifying GPOs applied for user

Controlla le differenze tra /r e /v di seguito. Vedrai che /r fornisce solo il nome della GPO mentre /v fornisce il nome del file dello script di accesso e l’ultimo momento in cui lo script è stato eseguito sul computer.

Differences in /r and /v

Limitare GPresult alle Impostazioni Basate su Utente o Calcolate

Come accennato, gpresult, per impostazione predefinita, restituisce sia impostazioni basate sull’utente che sul computer. A volte, soprattutto quando si gestiscono GPO con centinaia di impostazioni, la quantità di output può diventare opprimente.

Se devi cercare solo le impostazioni applicate al computer o all’utente, gpresult ti consente di limitare lo scope della query utilizzando il parametro /scope. Specificando computer o user come argomento del parametro /scope, gpresult restituirà solo le impostazioni applicate a tutti gli utenti o al computer.

Per visualizzare i dati RSOP per tutte le policy nello scope del computer, esegui il comando seguente.

Gpresult /R /Scope computer

Come trovare tutte le politiche in modalità dettagliata solo per tutti gli utenti?

Gpresult /V /Scope user

Il parametro /scope può essere utilizzato in aggiunta ad altri interruttori come /r e /v per limitare il campo di applicazione di uno dei due comandi.

Se esegui cmd.exe o PowerShell come amministratore ed esegui GPResult, restituirà le impostazioni delle policy di gruppo per tutti gli utenti. Se usi l’interruttore /scope user, rimuoverà le impostazioni basate sul computer ma restituirà comunque le impostazioni per tutti gli utenti.

Se hai bisogno di limitare le impostazioni a un singolo utente loggato allo stesso tempo, utilizza il parametro /user seguito dal nome utente desiderato come argomento.

Gpresult /R /user user01

Se tenti di interrogare i dati di RSOP per un utente che non esiste, GPResult restituirà il messaggio L'utente "<user>" non ha dati RSOP.

Esportazione dell’Output di GPResult

A volte restituire semplicemente le informazioni alla console della riga di comando non è sufficiente. Forse è necessario creare un rapporto o condividere i risultati con qualcun altro. In tal caso, è necessario esportare i risultati in un altro formato.

È possibile esportare l’output di GPResult in alcuni modi diversi.

Esportare i risultati in un file di testo

Uno dei modi più semplici per esportare i risultati in un file è utilizzare il prompt dei comandi o la funzionalità di reindirizzamento dell’output di PowerShell. “Piping” i risultati della riga di comando in un file con l’operatore di reindirizzamento > seguito dal nome del file di testo, il testo conterrà esattamente ciò che si vedrebbe nella console.

Il comando sottostante restituirebbe tutti i dati RSOP e creerebbe un file chiamato C:\Temp\RsopReport.txt contenente tutti i risultati del comando GPResult.

Gpresult /R > c:\Temp\RsopReport.txt

Correlato:Reindirizzare l’output in un file con il cmdlet Out-File di PowerShell

Esportare i risultati in un file HTML o XML

A differenza del reindirizzamento nativo da un prompt dei comandi a un file di testo, è anche possibile generare e salvare le informazioni sulla policy applicata in un file HTML o XML. Utilizzando l’interruttore /H (per HTML) o l’interruttore /X (per XML) seguito dal percorso al file HTML richiesto, GPResult creerà un file HTML con un formato ben strutturato.

Gpresult /H c:\Temp\RsopData.html
Gpresult /X c:\Temp\RsopXMLRreport.xml

Se il file esiste già, GPResult restituirà un errore. Forza GPResult a sovrascrivere il file esistente utilizzando l’interruttore /F.

Esecuzione di GPResult in remoto

In tutto questo tutorial, hai eseguito GPResult in locale. Utilizzando il parametro /s, GPResult può anche eseguire il recupero di tutte le stesse impostazioni delle Group Policy in remoto.

Ad esempio, per trovare i dati RSOP per l’utente user01 che ha effettuato l’accesso al computer remoto win10vm1 almeno una volta, eseguirai quanto segue:

gpresult /R /S win10vm1 /user user01
Finding RSOP data

Forse hai effettuato l’accesso a un computer che non ha i diritti per interrogare le informazioni sulla Group Policy su un computer remoto. In tal caso, GPResult fallirà a meno che tu non specifichi credenziali alternative.

Specifica le credenziali alternative utilizzando i parametri /U (nome utente) e /P (password) come mostrato di seguito.

gpresult /R /S win10vm1 /scope user /U homelab\MyLabAdmin /P password
Specify alternate credentials

Sono presenti password compromesse nel tuo Active Directory? Scarica Specops Password Auditor e scansiona gratuitamente le vulnerabilità delle password!

Conclusione

Dovresti ora sapere come utilizzare il comando GPResult per interrogare le impostazioni della Group Policy applicate su computer locali e remoti. Questo comodo comando è uno strumento ottimo per la scoperta e la risoluzione dei problemi in qualsiasi arsenale di amministratori di Active Directory.

La prossima volta che ti chiederai, “Come confermo che un computer associato a un dominio ha applicato la GPO che mi aspetto?”, quale strumento userai?

Source:
https://adamtheautomator.com/gpresult/