Wanneer je een Group Policy Object (GPO) van Active Directory (AD) toepast op honderden of zelfs duizenden doelcomputers, is de kans groot dat het even duurt voordat ze het allemaal ontvangen. Hoe weet je wanneer een computer een nieuw beleid ontvangt of bijgewerkte beleidsinstellingen ophaalt? Gebruik de RSOP-tool.
De RSOP-tool of Resultant Set Of Policy is een ingebouwde Windows-tool waarmee je kunt ontdekken welke beleidsinstellingen zijn toegepast op lokale en externe computers. Als je wilt weten welke configuratie GPO’s instellen op je pc, lees dan verder!
Laten we beginnen.
Vereisten
Deze tutorial zal verschillende demonstraties doorlopen. Als je wilt volgen, zorg er dan voor dat je het volgende hebt:
- Een Active Directory-domein – Elke versie van AD werkt. Deze tutorial gebruikt een domein genaamd HomeLab.Local.
- A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
- A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
- TCP-poorten 445, 135, RPC-dynamische poorten en alle poorten voor WMI zijn open op de externe computer. Je kunt een start-GPO maken met de naam Group Policy Reporting Firewall Ports om ervoor te zorgen dat alle poorten open zijn.
- Lokale beheerdersrechten op zowel de lokale pc als de externe pc.
- A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.
Wat is de RSOP-tool?
Wanneer je een GPO toewijst aan een computer in Active Directory, moet die computer contact opnemen met de domeincontroller en, op basis van het gedefinieerde GPO vernieuwingsinterval, snel die GPO zien en proberen de instellingen toe te passen die de GPO definieert.
Wanneer de computer de GPO-instellingen toepast, worden deze beleidsinstellingen vervolgens opgeslagen op de computer in de database van het Common Information Management Object Model (CIMOM) met behulp van de Windows Management Instrumentation (WMI). Om deze toegepaste instellingen te inspecteren, voert u de RSOP-tool uit. De RSOP-tool genereert een rapport over de beleidsregels die worden toegepast (of gepland) voor gebruikers en computers op de pc.
RSOP is geweldig voor het oplossen van situaties waarin u meerdere conflicterende beleidsregels heeft. Met behulp van RSOP kunt u controleren welke GPO’s voorrang hadden en een andere overruilden.
Modi
RSOP heeft twee verschillende modi om u te helpen ontdekken hoe GPO’s van invloed zijn op doelcomputers; logboekregistratie en planningsmodus.
- Logboekregistratiemodus – De meest voorkomende gebruiksmodus van RSOP die wordt gebruikt om een rapport te genereren over alle toegepaste beleidsregels voor alle aangemelde gebruikers en de computer zelf.
- Planningsmodus – Een minder vaak gebruikte modus van RSOP waarmee u kunt simuleren welke instellingen van toepassing zouden zijn op een computer als één of meer GPO’s op hen waren toegepast. Planningsmodus werkt om te bepalen wat er zal gebeuren wanneer een gebruiker bijvoorbeeld naar een andere AD-groep wordt verplaatst.
Inspecteren van lokaal toegepaste GPO’s met RSOP
Laten we nu beginnen met wat praktische demonstraties van RSOP. Eerst zullen we bekijken hoe we het RSOP-hulpmiddel kunnen openen en welke soort informatie je kunt verwachten te zien.
Op je lokale, domein-gekoppelde Windows PC, open een command prompt of PowerShell-venster als administrator.
Als je geen command prompt of PowerShell als beheerder uitvoert, heeft RSOP geen toegang tot de computerinstellingen (alleen instellingen van ingelogde gebruikers). Wanneer je RSOP uitvoert, krijg je een foutmelding die aangeeft dat je onvoldoende rechten hebt.
Vervolgens voer je het commando rsop.msc uit. Deze actie zal de RSOP MMC-snap-in openen.
Wanneer je RSOP opent, begint het onmiddellijk alle toegepaste beleidsregels te lezen en een rapport te genereren. RSOP wordt standaard uitgevoerd in log-modus. Hieronder zie je de resultaten van het uitvoeren van RSOP op een computer met de naam WIN10VM1 ingelogd als een gebruiker genaamd LabAdmin.
Ontvouw elk van de mappen en je zult elke instelling zien over alle GPO’s die zijn toegepast op die specifieke gebruiker of computer.
Als je een verwachte GPO-instelling niet ziet voor een recent aangemaakte GPO, voer dan het gpupdate /force commando op de PC uit om de beleidsinstellingen handmatig te vernieuwen.
Bijvoorbeeld, hieronder zie je een lokale beleid genaamd HostName.bat toegewezen aan de gebruikersaanmelding op de pc. Binnen het beleid bevindt zich een batchbestand genaamd HostName.bat onder Gebruikersconfiguratie -> Windows-instellingen -> Scripts -> Aanmelding.
Als je RSOP uitvoert op een computer met geconfigureerd lokaal beleid, zie je het aanmeldingsscript toegepast en de naam van het beleid dat het heeft toegepast.
Het testen van beleidswijzigingen met de planningsmodus van RSOP
Misschien ben je klaar om een belangrijke GPO uit te rollen naar veel computers. Je zou het direct op alle computers tegelijk kunnen toepassen om het in productie te testen, of je kunt de planningsmodus van RSOP gebruiken.
Met de planningsmodus kun je simulaties uitvoeren van verschillende scenario’s waarin je een GPO op een computer zou toepassen, zoals wanneer:
- De doel-pc heeft een trage netwerkverbinding
- Je loopbackverwerking inschakelt
- De doel-pc heeft veel toegepaste GPO’s om de beleidsvoorkeur te testen
- A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
- A user or computer is moved between domains, OUs or even AD sites.
- A WMI filter is applied to an OU
Met de planningsmodus kun je rekening houden met alle voorwaardelijke variabelen die GPO’s kunnen veroorzaken.
Om RSOP in de planningsmodus uit te voeren:
1. Open een opdrachtprompt of verhoogde PowerShell-console en typ mmc. Dit opent de MMC-console.
Let op dat je rsop.msc niet direct kunt uitvoeren in dit geval. De enige manier om de RSOP-modus te wijzigen, is wanneer je een MMC-snap-in toevoegt, zoals je zult zien.
2. In de MMC-console, open het menu Bestand en klik op Snap-in toevoegen/verwijderen, zoals hieronder weergegeven.
3. In het dialoogvenster Toevoegen of verwijderen Snap-ins, selecteer Resultant Set of Policy en klik op Toevoegen om de snap-in van het linker venster naar het rechter venster te verplaatsen.
4. Klik vervolgens met de rechtermuisknop op de Resultant Set of Policy MMC-snap-in, zoals hieronder weergegeven, klik op RSOP-gegevens genereren en Volgende om voorbij de introductiestap te gaan.
5. Op het scherm Selectie modus, selecteer de Plannings modus en klik op Volgende om naar het scherm Computerselectie te gaan.
6. Klik vervolgens op Bladeren onder Gebruikersinformatie om de gebruiker te selecteren die mogelijk wordt beïnvloed door een aankomende GPO. Klik ook op Container en Bladeren onder Computerinformatie om de OU te selecteren waarin een pc staat waarop deze gebruiker mogelijk zal inloggen.
In de volgende schermafbeelding zal de simulatie alle instellingen tonen die een gebruiker met de naam HOMELAB\User01 zou ontvangen als ze zouden inloggen op een willekeurige computer in de Desktop VMs OU.
7. Selecteer nu opties als je een paar meer situaties wilt simuleren:
- Trage linkdetectie van Group Policy
- Loopback-verwerking – Selecteren van Vervangen of Samenvoegen zal gebruikers- en computerbeleidsinstellingen vervangen/samenvoegen in geval van een conflict.
- Site – Om de AD-site van de desktop te simuleren waarop wordt ingelogd.
Klik op Volgende wanneer klaar.
8. Als je niet van plan bent om de GPO rechtstreeks toe te passen op de OU waarin de gebruiker of computer zich bevindt, klik dan op Bladeren om de OU voor het object te wijzigen. Klik vervolgens op Volgende.
In stap zes heb je de OUs gedefinieerd waarin de gebruiker en de doelcomputer zich zouden bevinden. Hier bepaal je de OU waarop je de GPO wilt toepassen.
9. Voer nu de AD-groep in waarin je wilt dat de gebruiker zit door op Toevoegen te klikken. Voor deze handleiding zal de gebruiker lid zijn van de DeniedGPOUsers-groep.
Je ziet hieronder dat de DeniedGPOUsers-groep wordt geweigerd om deze GPO toe te passen.
10. Volgende, voor deze tutorial, stap door de schermen voor het definiëren van WMI-filters en computer groepen. Als je echter wel van plan bent een WMI-filter in te stellen op de GPO of GPO-toepassing te weigeren/toestaan op basis van de AD-groep waarin het computeraccount zich bevindt, kun je deze gesimuleerde wijzigingen aanbrengen.
11. Tenslotte, op het samenvattingscherm, controleer alle details. Laat de optie Verzamel uitgebreide foutinformatie ingeschakeld en klik op Volgende. Wanneer u de optie voor uitgebreide foutinformatie inschakelt, verzamelt de RSOP-snap-in meer foutinformatie wanneer de query wordt uitgevoerd. Dit foutbericht bevat netwerk- of AD-problemen die van invloed zijn op het beleid wanneer het wordt geïmplementeerd. Het inschakelen van deze optie kan de tijd om de simulatie te verwerken aanzienlijk verhogen, maar zal meer uitgebreide informatie verstrekken als er een fout optreedt.
Nadat de RSOP-console is gegenereerd, klik met de rechtermuisknop op de knoop Computerconfiguratie of Gebruikersconfiguratie en klik op Eigenschappen. Klik vervolgens op het tabblad Foutinformatie om eventuele fouten te bekijken die worden gegenereerd tijdens het simuleren van het beleid.
12. Nadat RSOP is voltooid, navigeer door de mappen onder Computerconfiguratie en Gebruikersconfiguratie om te verifiëren welke beleidsregels zijn toegepast.
Je ziet twee vensters hieronder; aan de linkerkant zie je de daadwerkelijk toegepaste GPO (RSOP in logging mode) en aan de rechterkant zie je hoe RSOP eruit zou zien als de gebruiker uit de DeniedGPOUsers AD-groep zou worden verwijderd.
Inspecteren van extern toegepaste GPO’s met RSOP
om te voorkomen dat je naar de lokale console van elke computer moet gaan, stelt rsop je ook in staat om instellingen op afstand te inspecteren voor zowel de logboek- als de planningsmodus. in deze demonstratie zal de tutorial de logboekmodus gebruiken.
1. open rsop door stappen 1-4 te doorlopen in de sectie testbeleidswijzigingen met de planningsmodus van rsop hierboven.
2. op het scherm modusselectie kies je de logboekmodus en klik je op volgende om naar het scherm computerselectie te gaan.
3. op het computerselectie scherm kies je een andere computer omdat je een externe computer gaat bevragen, en klik op bladeren.
4. in het vak selecteer computer, voer je de naam van de externe pc in en klik je op controleren. deze actie zoekt naar het computer-ad-account. als het wordt gevonden, wordt de pc-naam onderstreept, zoals hieronder getoond.
5. klik op volgende op het scherm computerselectie. hier kun je beleidsinstellingen niet weergeven voor de geselecteerde computer in de resultaten… selecteren, maar je gaat zowel computer- als gebruikersinstellingen inspecteren.
6. kies vervolgens de gebruiker waarvoor je toegepaste gebruikersbeleidsregels wilt inspecteren. je ziet de lijst met gebruikers die minstens één keer op de externe computer hebben ingelogd.
selecteer een gebruiker uit de lijst en klik op volgende.
merk op dat de optie huidige gebruiker grijs is. rsop ondersteunt niet het vinden van de op afstand ingelogde gebruiker. je moet er expliciet een kiezen.
7. Vink het selectievakje Uitgebreide foutinformatie verzamelen uit. Klik op Volgende om door te gaan. RSOP zal nu verbinding maken met de externe computer en proberen alle RSOP-instellingen op te halen voor zowel de geselecteerde gebruiker als de computer.
8. Klik op Voltooien wanneer klaar.
9. U ziet nu dezelfde MMC-snap-in als toen u lokale instellingen inspecteerde. Maar deze keer kwamen de instellingen van een externe pc.
Conclusie
De RSOP-tool is handig wanneer u snel alle toegepaste GPO-instellingen gericht op een computer of gebruiker wilt vinden. Door deze tool te gebruiken, kunt u de toegepaste instellingen zien; niet alleen alle instellingen voor GPO’s die een specifieke computer of gebruiker targeten.
Waar ziet u uzelf in de toekomst RSOP gebruiken?