Como Verificar as GPOs Aplicadas com a Ferramenta GPResult

Tutoriais

Você já aplicou um Objeto de Diretiva de Grupo (GPO) a uma unidade organizacional (OU) do Active Directory e desejou verificar se eles foram aplicados ou não? Se sim, você precisa entender o comando gpresult.

Verifique seu AD em busca de mais de 930 milhões de senhas comprometidas. Baixe o Specops Password Auditor, uma ferramenta GRATUITA somente leitura que identifica vulnerabilidades relacionadas a senhas.

Neste tutorial, você aprenderá como usar o comando gpresult para verificar as configurações de Diretiva de Grupo em máquinas Windows locais e remotas.

Vamos começar!

Pré-requisitos

Se você deseja acompanhar os exemplos deste tutorial, certifique-se de ter o seguinte:

  • Um domínio do Active Directory. Qualquer versão funcionará. Este tutorial usará um domínio chamado HomeLab.Local.
  • A domain-joined Windows PC with at least one GPO applied to it. If you’d like to learn how to invoke gpresult remotely, you’ll need a second domain-joined PC. This tutorial will use two Windows 10 computers called Win10VM1 and Win10VM2.
  • Direitos de administrador local no seu PC local e no PC remoto.

Entendendo o Comando GPResult

O GPResult é uma ferramenta de linha de comando incorporada no Windows que gera relatórios sobre as políticas aplicadas a um computador associado a um domínio, tanto para políticas baseadas em usuário quanto em computador.

Quando um administrador do Active Directory atribui uma GPO a uma OU, os computadores ou usuários nessa OU verificam e aplicam essas configurações. É nesse momento que o gpresult entra em ação quando os computadores de destino recebem a GPO.

O tempo que cada computador realmente recebe e aplica essas configurações depende do intervalo de atualização da Política de Grupo.

O utilitário gpresult permite que você execute um comando nesses computadores de destino para confirmar se as GPOs que você acha que devem ser aplicadas realmente estão.

Relacionado:Entendendo o Comando GPUpdate

Obtendo Ajuda com o GPResult

Assim como muitas outras utilidades de linha de comando, o gpresult possui um simples sistema de ajuda integrado. Esse sistema de ajuda permite que você encontre facilmente todos aqueles comandos difíceis de lembrar.

Você pode encontrar todos os comandos que o gpresult fornece simplesmente executando gpresult sem nenhum comando, conforme mostrado abaixo. Em vez de voltar a este post quando estiver se perguntando o que um parâmetro faz, lembre-se de que a ajuda integrada existe!

Help information for gpresult command

Recuperando Dados do Conjunto Resultante de Política (RSOP)

Executar gpresult sem parâmetros mostrará apenas informações de ajuda. Você precisa disso para recuperar algumas informações! Para começar, vamos cobrir como o comando /r ou conjunto resultante de política funciona.

O Conjunto de Resultados de Política (RSOP) é um complemento da Política de Grupo que permite consultar vários aspectos da Política de Grupo. RSOP é uma ótima maneira de descobrir o resultado da política atribuída a um computador.

GPResult exibe dados do RSOP no modo de registro, que inclui configurações de política como caminho de OU de usuário e computador, nome de domínio, associações de grupos AD, configurações de segurança e GPOs aplicadas tanto para usuários quanto para computadores.

Para usar gpresult para consultar dados do RSOP, abra o cmd.exe ou o PowerShell como administrador. invoque gpresult com o /r switch conforme mostrado abaixo.

Gpresult /R

Você pode ver abaixo que, entre outras coisas, gpresult retorna todas as GPOs que o computador específico (CONFIGURAÇÕES DO COMPUTADOR) e GPOs direcionadas a todos os usuários que irão fazer login no computador (CONFIGURAÇÕES DO USUÁRIO).

Você pode executar gpresult /R em um prompt de comando não administrativo, mas ele mostrará apenas as políticas aplicadas ao usuário que está executando o comando.

Displaying output for Gpresult /R command

Obtendo Detalhes: Encontrando Informações Detalhadas Aplicadas da Política de Grupo

Se você simplesmente precisa descobrir quais GPOs estão aplicadas a um computador específico ou usuário(s) nesse computador, os dados do RSOP que você obtém com o switch /r funcionarão. Mas os dados do RSOP só vão até certo ponto. Os dados do RSOP não fornecem informações como o horário da última execução de um script de logon, a chave do registro em que a GPO é criada e muito mais.

Para descobrir o máximo de informações que gpresult pode fornecer, use o switch /v ou verbose conforme mostrado abaixo.

Gpresult /V

Confira todas as informações que /v fornece. Isso é muita informação!

Verifying GPOs applied on the computer
Password policies applied on the computer
Services disabled on the computer
Verifying Logon Scripts configured for user
Wallpaper set via user policy in GPO
Full registry key path for the policies
Verifying GPOs applied for user

Veja as diferenças entre /r e /v abaixo. Você verá que /r só fornece o nome da GPO enquanto /v fornece o nome do arquivo do script de logon e a última vez que o script foi executado no computador.

Differences in /r and /v

Limitando o GPresult às Configurações Baseadas em Usuário ou Computador

Como mencionado, por padrão, o gpresult retorna configurações baseadas tanto em usuário quanto em computador. Às vezes, especialmente ao gerenciar GPOs com centenas de configurações, a quantidade de saída pode se tornar avassaladora.

Se você precisa apenas procurar por configurações aplicadas ao computador ou usuário, o gpresult permite limitar o âmbito da consulta usando o parâmetro /scope. Ao especificar computer ou user como o argumento do parâmetro /scope, o gpresult retornará apenas as configurações aplicadas a todos os usuários ou ao computador.

Para ver os dados do RSOP para todas as políticas no computer scope, execute o comando abaixo.

Gpresult /R /Scope computer

E quanto a encontrar todas as políticas no modo verbose apenas para todos os usuários?

Gpresult /V /Scope user

O parâmetro /scope pode ser usado em conjunto com outros comandos como /r e /v para limitar o escopo do comando.

Se você estiver executando o cmd.exe ou PowerShell como administrador e invocar o GPResult, ele retornará as configurações de Política de Grupo para todos os usuários. Se você usar o switch /scope user, ele removerá as configurações baseadas no computador, mas ainda retornará as configurações para todos os usuários.

Se você precisar limitar as configurações a um único usuário conectado ao mesmo tempo, use o parâmetro /user seguido do nome de usuário desejado como argumento.

Gpresult /R /user user01

Se você tentar consultar dados RSOP para um usuário que não existe, o GPResult retornará a mensagem O usuário "<usuário>" não possui dados RSOP.

Exportando a saída do GPResult

Às vezes, apenas retornar informações para o console de linha de comando não é suficiente. Talvez você precise criar um relatório ou compartilhar os resultados com outra pessoa. Nesse caso, você precisa exportar os resultados para algum outro formato.

Você pode exportar a saída do GPResult de algumas maneiras diferentes.

Exportando Resultados para um Arquivo de Texto

Uma das maneiras mais fáceis de exportar resultados para um arquivo é usando o recurso de redirecionamento de saída do prompt de comando ou do PowerShell. Ao “canalizar” os resultados da linha de comando para um arquivo com o operador de redirecionamento > seguido por um nome de arquivo de texto, o texto conterá exatamente o que você veria no console.

O comando abaixo retornaria todos os dados RSOP e criaria um arquivo chamado C:\Temp\RsopReport.txt contendo os resultados completos do comando GPResult.

Gpresult /R > c:\Temp\RsopReport.txt

Relacionado:Redirecionando Saída para um Arquivo com o Cmdlet Out-File do PowerShell

Exportando os Resultados para um Arquivo HTML ou XML

Ao contrário do redirecionamento nativo de um prompt de comando para um arquivo de texto, você também pode gerar e salvar as informações de política aplicada em um arquivo HTML ou XML. Usando a chave /H (para HTML) ou a chave /X (para XML) seguido pelo caminho para o arquivo HTML solicitado, o GPResult criará um arquivo HTML bem formatado com a saída.

Gpresult /H c:\Temp\RsopData.html
Gpresult /X c:\Temp\RsopXMLRreport.xml

Se o arquivo já existir, o GPResult retornará um erro. Force o GPResult a sobrescrever o arquivo existente usando a chave /F.

Executando GPResult Remotamente

Ao longo deste tutorial, você tem executado o GPResult localmente. Usando o parâmetro /s, o GPResult também pode buscar todas as mesmas configurações de Diretiva de Grupo remotamente.

Por exemplo, para encontrar dados RSOP para o usuário user01 que tenha feito login no computador remoto win10vm1 pelo menos uma vez, você executaria o seguinte:

gpresult /R /S win10vm1 /user user01
Finding RSOP data

Talvez você esteja logado em um computador que não tem permissões para consultar informações de Política de Grupo em um computador remoto. Nesse caso, o GPResult falhará a menos que você especifique credenciais alternativas.

Especifique credenciais alternativas usando os parâmetros /U (nome de usuário) e /P (senha) conforme mostrado abaixo.

gpresult /R /S win10vm1 /scope user /U homelab\MyLabAdmin /P password
Specify alternate credentials

Será que senhas comprometidas estão espreitando no seu Active Directory? Baixe o Auditor de Senhas Specops e verifique vulnerabilidades de senha GRATUITAMENTE!

Conclusão

Agora você deve saber como usar o comando GPResult para consultar configurações de Política de Grupo aplicadas em computadores locais e remotos. Este comando prático é uma ótima ferramenta de descoberta e solução de problemas no arsenal de qualquer administrador do Active Directory.

Da próxima vez que se perguntar: “Como confirmo que um computador associado ao domínio aplicou a GPO que espero?”, qual ferramenta você usará?

Source:
https://adamtheautomator.com/gpresult/