Hoe toegepaste GPO’s verifiëren met de GPResult-tool

Handleidingen

Heb je ooit een Group Policy Object (GPO) toegepast op een organisatie-eenheid (OU) van Active Directory en wil je controleren of ze zijn toegepast? Zo ja, dan moet je het gpresult-commando begrijpen.

Scan uw AD op meer dan 930 miljoen gecompromitteerde wachtwoorden. Download Specops Password Auditor, een GRATIS alleen-lezen tool die kwetsbaarheden met betrekking tot wachtwoorden identificeert.

In deze tutorial leer je hoe je het gpresult-commando kunt gebruiken om Group Policy-instellingen op lokale en externe Windows-machines te controleren.

Laten we beginnen!

Vereisten

Als je de voorbeelden in deze tutorial wilt volgen, zorg er dan voor dat je het volgende hebt:

  • Een Active Directory-domein. Elke versie werkt. In deze tutorial wordt een domein met de naam HomeLab.Local gebruikt.
  • A domain-joined Windows PC with at least one GPO applied to it. If you’d like to learn how to invoke gpresult remotely, you’ll need a second domain-joined PC. This tutorial will use two Windows 10 computers called Win10VM1 and Win10VM2.
  • Lokale beheerdersrechten op je lokale pc en externe pc.

Begrip van het GPResult-commando

GPResult is een opdrachtregelhulpprogramma dat is ingebouwd in Windows en rapporten genereert over toegepaste beleidsregels op een op het domein aangesloten computer, zowel voor gebruikers- als voor computergerelateerde beleidsregels.

Wanneer een beheerder van Active Directory een GPO toewijst aan een OU, controleren de computers of gebruikers in die OU vervolgens om die instellingen toe te passen. Wanneer de doelcomputers de GPO ontvangen, komt gpresult in beeld.

De tijd waarop elke computer daadwerkelijk die instellingen ontvangt en toepast, hangt af van het verversingsinterval voor groepsbeleid.

Het hulpprogramma gpresult stelt u in staat een opdracht uit te voeren op deze doelcomputers om te bevestigen dat de GPO’s die u denkt te moeten worden toegepast, daadwerkelijk worden toegepast.

Gerelateerd:Het Commando GPUpdate Begrijpen

Hulp krijgen met GPResult

Net als veel andere opdrachtregelhulpprogramma’s heeft gpresult een eenvoudig ingebouwd helpssysteem. Dit helpssysteem stelt u in staat om gemakkelijk alle moeilijk te onthouden schakelaars te vinden.

U kunt alle schakelaars vinden die gpresult biedt door eenvoudig gpresult uit te voeren zonder schakelaars, zoals hieronder wordt getoond. In plaats van terug te komen naar deze post wanneer u zich afvraagt wat een parameter doet, onthoud dat de ingebouwde hulp bestaat!

Help information for gpresult command

Resultaat van het toegepaste groepsbeleid (RSOP) ophalen

Het uitvoeren van gpresult zonder parameters toont alleen helpinformatie. U hebt het nodig om wat informatie op te halen! Laten we eerst eens kijken hoe de /r-schakelaar of resultaat van het toegepaste groepsbeleid werkt.

Resultant Set of Policy (RSOP) is een aanvulling op Group Policy waarmee u verschillende aspecten van Group Policy kunt opvragen. RSOP is een uitstekende manier om het resultaat van het beleid dat aan een computer is toegewezen te ontdekken.

GPResult geeft RSOP-gegevens weer in logmodus, inclusief beleidsinstellingen zoals de paden van gebruikers- en computer-OU’s, domeinnaam, AD-groepslidmaatschappen, beveiligingsinstellingen en toegepaste GPO’s voor zowel gebruikers als computers.

Om gpresult te gebruiken om RSOP-gegevens op te vragen, opent u cmd.exe of PowerShell als beheerder. Roep gpresult aan met de /r schakelaar zoals hieronder getoond.

Gpresult /R

U kunt hieronder zien dat gpresult onder andere alle GPO’s teruggeeft die zijn toegepast op de specifieke computer (COMPUTERINSTELLINGEN) en GPO’s die gericht zijn op alle gebruikers die zich aanmelden bij de computer (GEBRUIKERSINSTELLINGEN).

U kunt gpresult /R uitvoeren op een niet-beheerdersopdrachtprompt, maar het toont alleen beleid dat is toegepast op de gebruiker die de opdracht uitvoert.

Displaying output for Gpresult /R command

Diepgaand gaan: Gedetailleerde toegepaste informatie over groepsbeleid vinden

Als je eenvoudigweg wilt ontdekken welke GPO’s van toepassing zijn op een specifieke computer of gebruiker(s) op die computer, zal de RSOP-gegevens die je krijgt van de /r-schakelaar werken. Maar RSOP-gegevens gaan slechts tot op zekere hoogte. RSOP-gegevens bieden geen informatie zoals de laatste uitvoeringstijd van een aanmeldingsscript, de registerwaar de GPO in is gemaakt, en meer.

Om zoveel mogelijk informatie te ontdekken als gpresult kan bieden, gebruik de /v– of verbose-schakelaar zoals hieronder weergegeven.

Gpresult /V

Bekijk gewoon alle informatie die /v biedt. Dat is veel informatie!

Verifying GPOs applied on the computer
Password policies applied on the computer
Services disabled on the computer
Verifying Logon Scripts configured for user
Wallpaper set via user policy in GPO
Full registry key path for the policies
Verifying GPOs applied for user

Bekijk de verschillen in /r en /v hieronder. Je zult zien dat /r alleen de GPO-naam geeft, terwijl /v de aanmeldingsscriptbestandsnaam en de laatste keer dat het script op de computer is uitgevoerd, geeft.

Differences in /r and /v

Beperking van GPresult tot gebruikers- of op computer gebaseerde instellingen

Zoals vermeld, geeft gpresult, standaard, zowel gebruikers- als computergebaseerde instellingen terug. Soms, vooral bij het beheren van GPO’s met honderden instellingen, kan de hoeveelheid uitvoer overweldigend worden.

Als je alleen op zoek moet naar instellingen die zijn toegepast op de computer of gebruiker, stelt gpresult je in staat om de omvang van de query te beperken met behulp van de /scope-parameter. Door /scope als argument van de parameter /scope op te geven, zal gpresult alleen instellingen teruggeven die zijn toegepast op alle gebruikers of de computer.

Om RSOP-gegevens te zien voor alle beleidsregels in de computer-scope, voer de onderstaande opdracht uit.

Gpresult /R /Scope computer

Hoe zit het met het vinden van alle beleidsregels in de uitgebreide modus voor alle gebruikers alleen?

Gpresult /V /Scope user

De parameter /scope kan worden gebruikt in combinatie met andere schakelaars zoals /r en /v om de reikwijdte van elk commando te beperken.

Als je cmd.exe of PowerShell uitvoert als beheerder en GPResult oproept, worden de Group Policy-instellingen geretourneerd voor alle gebruikers. Als je de schakelaar /scope user gebruikt, worden computergerelateerde instellingen verwijderd, maar worden instellingen nog steeds geretourneerd voor alle gebruikers.

Als je de instellingen wilt beperken tot een enkele gebruiker die op dat moment is ingelogd, gebruik dan de parameter /user gevolgd door de gewenste gebruikersnaam als argument.

Gpresult /R /user user01

Als je probeert RSOP-gegevens op te vragen voor een niet-bestaande gebruiker, geeft GPResult de melding De gebruiker "<user>" heeft geen RSOP-gegevens.

Exporteren van GPResult-uitvoer

Soms is het alleen retourneren van informatie naar de command-line console niet genoeg. Misschien moet je een rapport maken of de resultaten delen met iemand anders. In dat geval moet je de resultaten exporteren naar een ander formaat.

Je kunt GPResult-uitvoer op verschillende manieren exporteren.

Resultaten exporteren naar een tekstbestand

Een van de gemakkelijkste manieren om resultaten naar een bestand te exporteren, is door gebruik te maken van de opdrachtprompt of de uitvoeringsomleiding van PowerShell. Door de resultaten van de opdracht via een “pipe” naar een bestand te sturen met de omleidingsoperator > gevolgd door de naam van een tekstbestand, bevat de tekst precies wat je op de console zou zien.

De onderstaande opdracht zou alle RSOP-gegevens retourneren en een bestand genaamd C:\Temp\RsopReport.txt aanmaken met de volledige resultaten van de GPResult-opdracht.

Gpresult /R > c:\Temp\RsopReport.txt

Gerelateerd:Uitvoer omleiden naar een bestand met de PowerShell Out-File Cmdlet

Resultaten exporteren naar een HTML- of XML-bestand

In tegenstelling tot de standaard omleiding vanaf een opdrachtprompt naar een tekstbestand, kunt u ook de toegepaste beleidsinformatie genereren en opslaan in een HTML- of XML-bestand. Door de schakelaar /H (voor HTML) of de schakelaar /X (voor XML) te gebruiken, gevolgd door het pad naar het gevraagde HTML-bestand, zal GPResult een mooi opgemaakt HTML-bestand met de uitvoer maken.

Gpresult /H c:\Temp\RsopData.html
Gpresult /X c:\Temp\RsopXMLRreport.xml

Als het bestand al bestaat, zal GPResult een foutmelding teruggeven. Forceer GPResult om het bestaande bestand te overschrijven door de schakelaar /F te gebruiken.

GPResult op afstand uitvoeren

Gedurende deze handleiding hebt u GPResult lokaal uitgevoerd. Met de parameter /s kan GPResult ook alle dezelfde Group Policy-instellingen op afstand ophalen.

Bijvoorbeeld, om RSOP-gegevens te vinden voor de gebruiker user01 die minstens één keer heeft ingelogd op de computer win10vm1, voert u het volgende uit:

gpresult /R /S win10vm1 /user user01
Finding RSOP data

Misschien bent u ingelogd op een computer die geen rechten heeft om Group Policy-informatie op een externe computer te bevragen. In dat geval zal GPResult falen tenzij u alternatieve referenties opgeeft.

Specificeer alternatieve referenties door de /U (gebruikersnaam) en /P (wachtwoord) parameters te gebruiken zoals hieronder weergegeven.

gpresult /R /S win10vm1 /scope user /U homelab\MyLabAdmin /P password
Specify alternate credentials

Zijn gecompromitteerde wachtwoorden aanwezig in uw Active Directory? Download Specops Password Auditor en scan op wachtwoordkwetsbaarheden GRATIS!

Conclusie

U zou nu moeten weten hoe u het GPResult-commando moet gebruiken om toegepaste Group Policy-instellingen op zowel lokale als externe computers te bevragen. Dit handige commando is een geweldig ontdekkings- en probleemoplossingsinstrument in de gereedschapskist van elke Active Directory-beheerder.

De volgende keer dat u zich afvraagt, “Hoe bevestig ik dat een op een domein aangesloten computer de verwachte GPO heeft toegepast?”, welk gereedschap zult u dan gebruiken?

Source:
https://adamtheautomator.com/gpresult/