GPResult 도구를 사용하여 적용된 GPO 확인하는 방법

튜토리얼

활성 디렉터리 조직 단위 (OU)에 그룹 정책 개체 (GPO)를 적용해 보았고 적용되었는지 여부를 확인하고 싶은 적이 있습니까? 그렇다면 gpresult 명령을 이해해야 합니다.

AD를 930+ 백만 개의 위험에 노출된 비밀번호로 스캔하십시오. 비밀번호 관련 취약점을 식별하는 무료 읽기 전용 도구인 Specops Password Auditor를 다운로드하십시오.

이 자습서에서는 로컬 및 원격 Windows 컴퓨터에서 그룹 정책 설정을 확인하는 방법을 배우게 됩니다.

시작해 봅시다!

전제 조건

이 자습서의 예제를 따라하려면 다음이 필요합니다:

  • 활성 디렉터리 도메인. 모든 버전이 작동합니다. 이 자습서에서는 HomeLab.Local이라는 도메인을 사용합니다.
  • A domain-joined Windows PC with at least one GPO applied to it. If you’d like to learn how to invoke gpresult remotely, you’ll need a second domain-joined PC. This tutorial will use two Windows 10 computers called Win10VM1 and Win10VM2.
  • 로컬 PC 및 원격 PC에서 로컬 관리자 권한.

GPResult는 Windows에 내장된 명령줄 도구로, 도메인에 가입된 컴퓨터에 대한 사용자 및 컴퓨터 기반 정책에 대한 보고서를 생성합니다.

활성 디렉터리 관리자가 OU에 GPO를 할당하면 해당 OU에 있는 컴퓨터 또는 사용자가 해당 설정을 적용하기 위해 확인합니다. 대상 컴퓨터가 GPO를 받는 시점이 gpresult가 필요한 시점입니다.

각 컴퓨터가 이러한 설정을 실제로 받아들이고 적용하는 시간은 그룹 정책 새로 고침 간격에 따라 달라집니다.

gpresult 유틸리티를 사용하면 대상 컴퓨터에서 명령을 실행하여 적용되어야 할 GPO를 확인할 수 있습니다.

관련:GPUpdate 명령 이해하기

GPResult로 도움 받기

기타 명령줄 유틸리티와 마찬가지로 gpresult에는 간단한 내장 도움말 시스템이 있습니다. 이 도움말 시스템을 사용하면 기억하기 어려운 스위치를 쉽게 찾을 수 있습니다.

gpresult를 스위치 없이 실행하면 아래에 표시된대로 모든 스위치를 찾을 수 있습니다. 매개변수의 역할을 궁금해할 때 이 게시물로 돌아가지 않고도 내장 도움말이 존재한다는 것을 기억하세요!

Help information for gpresult command

결과 정책 집합(RSOP) 데이터 검색

매개변수 없이 gpresult를 실행하면 도움말 정보만 표시됩니다. 정보를 검색하려면 필요합니다! 먼저 /r 스위치 또는 결과 정책 집합이 작동하는 방법을 알아보겠습니다.

정책의 결과 집합 (RSOP)은 그룹 정책의 여러 측면을 쿼리할 수 있게 해주는 그룹 정책 애드온입니다. RSOP는 컴퓨터에 할당된 정책의 결과를 발견하는 훌륭한 방법입니다.

GPResult는 정책 설정인 사용자 및 컴퓨터 OU 경로, 도메인 이름, AD 그룹 멤버십, 보안 설정, 그리고 사용자와 컴퓨터 모두에 대한 적용된 GPO 등을 포함한 로깅 모드에서 RSOP 데이터를 표시합니다.

gpresult를 사용하여 RSOP 데이터를 쿼리하려면 cmd.exe 또는 PowerShell을 관리자 권한으로 열고 아래에 표시된 대로 /r 스위치를 사용하여 gpresult를 호출하십시오.

Gpresult /R

아래에서 특정 컴퓨터 (컴퓨터 설정) 및 해당 컴퓨터에 로그온할 모든 사용자를 대상으로 하는 GPO (사용자 설정)의 모든 GPO를 반환하는 것을 볼 수 있습니다.

gpresult /R을 관리자 권한이 아닌 명령 프롬프트에서 실행할 수 있지만 명령을 실행하는 사용자에게만 적용된 정책을 표시합니다.

Displaying output for Gpresult /R command

세부적으로 파악하기: 적용된 그룹 정책 정보 찾기

만약 특정 컴퓨터에 적용된 GPO를 발견하려면 /r 스위치로 얻는 RSOP 데이터를 사용할 수 있습니다. 그러나 RSOP 데이터는 한계가 있습니다. RSOP 데이터는 로그온 스크립트의 마지막 실행 시간, GPO가 생성된 레지스트리 키 등의 정보를 제공하지 않습니다.

/v 또는 verbose 스위치를 사용하여 gpresult가 제공하는 가능한 많은 정보를 확인하려면 아래와 같이 사용하십시오.

Gpresult /V

/v가 제공하는 정보를 모두 확인해보세요. 그것은 많은 정보입니다!

Verifying GPOs applied on the computer
Password policies applied on the computer
Services disabled on the computer
Verifying Logon Scripts configured for user
Wallpaper set via user policy in GPO
Full registry key path for the policies
Verifying GPOs applied for user

/r/v의 차이점을 살펴보세요. /r은 GPO 이름만 제공하는 반면 /v는 로그온 스크립트 파일 이름 및 스크립트가 컴퓨터에서 마지막으로 실행된 시간을 제공합니다.

Differences in /r and /v

사용자 또는 컴퓨터 기반 설정에 GPresult 제한하기

기본적으로 gpresult는 사용자 및 컴퓨터 기반 설정을 모두 반환합니다. 때로는 특히 수백 개의 설정을 관리할 때 출력량이 너무 많아질 수 있습니다.

컴퓨터 또는 사용자에 적용된 설정만 찾으려면 gpresult를 사용하여 쿼리의 범위/scope 매개변수를 사용하여 제한할 수 있습니다. /scope 매개변수 인수로 computer 또는 user를 지정하면 gpresult는 모든 사용자 또는 컴퓨터에 적용된 설정만 반환합니다.

컴퓨터 범위의 모든 정책에 대한 RSOP 데이터를 보려면 아래 명령을 실행하세요.

Gpresult /R /Scope computer

어떤 사용자든지 모든 사용자에 대한 자세한 모드에서 모든 정책을 찾는 것은 어떨까요?

Gpresult /V /Scope user

/scope 매개변수는 /r/v와 같은 다른 스위치와 함께 사용하여 명령의 범위를 제한하는 데 사용할 수 있습니다.

cmd.exe 또는 PowerShell을 관리자로 실행하고 GPResult를 호출하면 모든 사용자의 그룹 정책 설정을 반환합니다. /scope user 스위치를 사용하면 컴퓨터 기반 설정을 제거하지만 모든 사용자의 설정을 여전히 반환합니다.

동시에 로그온한 단일 사용자의 설정을 제한해야 하는 경우 /user 매개변수를 사용하고 원하는 사용자 이름을 인수로 지정하십시오.

Gpresult /R /user user01

존재하지 않는 사용자에 대해 RSOP 데이터를 쿼리하려고 시도하는 경우 GPResult는 메시지를 반환합니다. The user "<user>" does not have RSOP data.

GPresult 출력 내보내기

가끔은 명령 줄 콘솔에 정보를 반환하는 것만으로는 충분하지 않을 수 있습니다. 아마도 보고서를 작성하거나 결과를 다른 사람과 공유해야 할 수 있습니다. 이 경우 결과를 다른 형식으로 내보내야 합니다.

GPResult 출력을 몇 가지 다른 방법으로 내보낼 수 있습니다.

텍스트 파일로 결과 내보내기

결과를 파일로 내보내는 가장 쉬운 방법 중 하나는 명령 프롬프트 또는 PowerShell의 출력 리디렉션 기능을 사용하는 것입니다. 명령 줄 결과를 텍스트 파일 이름 뒤에 리디렉션 연산자 >와 함께 파일로 전달하면 텍스트에는 콘솔에서 볼 수 있는 내용이 정확히 포함됩니다.

아래 명령은 모든 RSOP 데이터를 반환하고 GPResult 명령의 전체 결과가 포함된 C:\Temp\RsopReport.txt라는 파일을 생성합니다.

Gpresult /R > c:\Temp\RsopReport.txt

관련 자료:PowerShell Out-File Cmdlet을 사용하여 파일로 출력 리디렉션

HTML 또는 XML 파일로 결과 내보내기

명령 프롬프트에서 텍스트 파일로의 기본 리디렉션과 달리, HTML 또는 XML 파일로 적용된 정책 정보를 생성하고 저장할 수도 있습니다. 요청한 HTML 파일의 경로 뒤에 /H 스위치(HTML용) 또는 /X 스위치(XML용)를 사용하면 GPResult가 서식이 잘 지정된 HTML 파일을 출력합니다.

Gpresult /H c:\Temp\RsopData.html
Gpresult /X c:\Temp\RsopXMLRreport.xml

파일이 이미 존재하는 경우, GPResult는 오류를 반환합니다. /F 스위치를 사용하여 GPResult가 기존 파일을 덮어쓸 수 있도록 강제할 수 있습니다.

원격으로 GPResult 실행하기

이 튜토리얼에서는 지금까지 GPResult를 로컬에서 실행했습니다. /s 매개변수를 사용하면 GPResult가 원격으로 동일한 그룹 정책 설정을 가져올 수도 있습니다.

예를 들어, 최소한 한 번은 원격 컴퓨터 win10vm1에 로그인한 사용자 user01의 RSOP 데이터를 찾으려면 다음을 실행하면 됩니다:

gpresult /R /S win10vm1 /user user01
Finding RSOP data

아마도 원격 컴퓨터에서 그룹 정책 정보를 조회할 수 있는 권한이 없는 컴퓨터에 로그인한 상태입니다. 이 경우, 대체 자격 증명을 지정하지 않으면 GPResult가 실패합니다.

다음과 같이 /U (사용자 이름) 및 /P (암호) 매개 변수를 사용하여 대체 자격 증명을 지정하세요.

gpresult /R /S win10vm1 /scope user /U homelab\MyLabAdmin /P password
Specify alternate credentials

Active Directory에서 침해된 암호가 있을까요? Specops Password Auditor를 다운로드하여 무료로 암호 취약점을 스캔하세요!

결론

이제 GPResult 명령을 사용하여 로컬 및 원격 컴퓨터에 적용된 그룹 정책 설정을 조회하는 방법을 알게 되었습니다. 이 편리한 명령은 Active Directory 관리자의 발견 및 문제 해결 도구입니다.

다음번에 “도메인에 가입된 컴퓨터가 예상한 GPO를 적용했는지 어떻게 확인할까요?”라고 궁금해질 때 어떤 도구를 사용하시겠습니까?

Source:
https://adamtheautomator.com/gpresult/