Como Verificar as GPOs Aplicadas com a Ferramenta GPResult

Tutoriais

Já alguma vez aplicou um Objeto de Política de Grupo (GPO) a uma unidade organizacional (OU) do Active Directory e quis verificar se foram aplicados ou não? Se sim, precisa de compreender o comando gpresult.

Verifique o seu AD para mais de 930 milhões de senhas comprometidas. Faça o download do Specops Password Auditor, uma ferramenta GRATUITA de apenas leitura que identifica vulnerabilidades relacionadas com senhas.

Neste tutorial, aprenderá como utilizar o comando gpresult para verificar as configurações da Política de Grupo em máquinas Windows locais e remotas.

Vamos começar!

Pré-requisitos

Se quiser acompanhar os exemplos neste tutorial, certifique-se de que tem o seguinte:

  • Um domínio do Active Directory. Qualquer versão funcionará. Este tutorial usará um domínio chamado HomeLab.Local.
  • A domain-joined Windows PC with at least one GPO applied to it. If you’d like to learn how to invoke gpresult remotely, you’ll need a second domain-joined PC. This tutorial will use two Windows 10 computers called Win10VM1 and Win10VM2.
  • Direitos de administrador local no seu PC local e PC remoto.

Compreensão do Comando GPResult

O GPResult é uma ferramenta de linha de comandos integrada no Windows que gera relatórios sobre as políticas aplicadas a um computador associado a um domínio, tanto para políticas baseadas em utilizadores como para políticas baseadas em computadores.

Quando um administrador do Active Directory atribui um GPO a uma OU, os computadores ou utilizadores nessa OU verificam então para aplicar essas definições. Quando os computadores de destino recebem o GPO é onde o gpresult entra.

O tempo que cada computador realmente recebe e aplica essas configurações depende do intervalo de atualização da Política de Grupo.

A utilidade gpresult permite que você execute um comando nesses computadores-alvo para confirmar que as GPOs que você pensa que deveriam ser aplicadas realmente estão.

Relacionado:Entendendo o Comando GPUpdate

Obtendo Ajuda com o GPResult

Assim como muitas outras utilidades de linha de comando, o gpresult possui um sistema de ajuda integrado simples. Esse sistema de ajuda permite que você encontre facilmente todos aqueles comandos difíceis de lembrar.

Você pode encontrar todos os comandos que o gpresult fornece simplesmente executando gpresult sem nenhum comando, como mostrado abaixo. Em vez de voltar a este post quando estiver se perguntando o que um parâmetro faz, lembre-se de que a ajuda integrada existe!

Help information for gpresult command

Recuperando Dados do Conjunto de Políticas Resultantes (RSOP)

Executar gpresult sem parâmetros só mostrará informações de ajuda. Você precisa dele para recuperar algumas informações! Para começar, vamos primeiro cobrir como funciona o comando /r ou conjunto de políticas resultantes.

Conjunto Resultante de Política (RSOP) é um complemento de Política de Grupo que permite consultar vários aspectos da Política de Grupo. RSOP é uma ótima maneira de descobrir o resultado da política atribuída a um computador.

GPResult exibe dados do RSOP no modo de registro, que inclui configurações de política como caminho OU de usuário e computador, nome de domínio, pertencimento a grupos AD, configurações de segurança e GPOs aplicadas tanto para usuários quanto para computadores.

Para usar gpresult para consultar dados do RSOP, abra o cmd.exe ou o PowerShell como administrador. invoque gpresult com o parâmetro /r como mostrado abaixo.

Gpresult /R

Como pode ser visto abaixo, entre outras coisas, gpresult retorna todas as GPOs que o computador específico (CONFIGURAÇÕES DO COMPUTADOR) e as GPOs destinadas a todos os usuários que vão fazer login no computador (CONFIGURAÇÕES DO USUÁRIO).

Você pode executar gpresult /R em um prompt de comando não administrativo, mas ele só mostrará políticas aplicadas ao usuário que está executando o comando.

Displaying output for Gpresult /R command

Detalhando: Encontrando Informações Detalhadas Aplicadas da Política de Grupo

Se você simplesmente precisa descobrir quais GPOs são aplicadas a um computador específico ou usuário(s) nesse computador, os dados do RSOP que você obtém com a opção /r funcionarão. Mas os dados do RSOP têm suas limitações. Os dados do RSOP não fornecem informações como o horário da última execução de um script de logon, a chave do registro na qual a GPO foi criada e mais.

Para descobrir o máximo de informações possível, use a opção /v ou verbose, conforme mostrado abaixo.

Gpresult /V

Confira todas as informações que a opção /v fornece. São muitas informações!

Verifying GPOs applied on the computer
Password policies applied on the computer
Services disabled on the computer
Verifying Logon Scripts configured for user
Wallpaper set via user policy in GPO
Full registry key path for the policies
Verifying GPOs applied for user

Veja as diferenças entre /r e /v abaixo. Você verá que /r apenas fornece o nome da GPO, enquanto /v fornece o nome do arquivo do script de logon e o último horário em que o script foi executado no computador.

Differences in /r and /v

Limitando o GPresult para Configurações Baseadas em Usuário ou Computador

Como mencionado, por padrão, o gpresult retorna configurações baseadas em usuário e computador. Às vezes, especialmente ao gerenciar GPOs com centenas de configurações, a quantidade de saída pode ser esmagadora.

Se você precisa apenas buscar configurações aplicadas ao computador ou usuário, o gpresult permite limitar o escopo da consulta usando o parâmetro /scope. Ao especificar computer ou user como argumento do parâmetro /scope, o gpresult retornará apenas configurações aplicadas a todos os usuários ou ao computador.

Para ver os dados do RSOP para todas as políticas no escopo do computer, execute o comando abaixo.

Gpresult /R /Scope computer

Como encontrar todas as políticas no modo detalhado para todos os usuários apenas?

Gpresult /V /Scope user

O parâmetro /scope pode ser usado em conjunto com outros comandos, como /r e /v, para limitar o escopo de qualquer comando.

Se você estiver executando cmd.exe ou PowerShell como administrador e invocar o GPResult, ele retornará as configurações de Política de Grupo para todos os usuários. Se você usar o comando /scope user, ele removerá as configurações baseadas no computador, mas ainda retornará configurações para todos os usuários.

Se precisar limitar as configurações a um único usuário conectado ao mesmo tempo, use o parâmetro /user seguido pelo nome de usuário desejado como argumento.

Gpresult /R /user user01

Se você tentar consultar dados RSOP para um usuário que não existe, o GPResult retornará a mensagem O usuário "<user>" não possui dados RSOP.

Exportando Saída do GPResult

Às vezes, apenas retornar informações para a console de linha de comando não é suficiente. Talvez você precise criar um relatório ou compartilhar os resultados com outra pessoa. Nesse caso, você precisa exportar os resultados para algum outro formato.

Você pode exportar a saída do GPResult de algumas maneiras diferentes.

Exportando Resultados para um Arquivo de Texto

Uma das maneiras mais simples de exportar resultados para um arquivo é usando o prompt de comando ou o recurso de redirecionamento de saída do PowerShell. Ao “redirecionar” os resultados da linha de comando para um arquivo com o operador de redirecionamento > seguido pelo nome do arquivo de texto, o texto conterá exatamente o que você veria no console.

Abaixo, o comando retornaria todos os dados RSOP e criaria um arquivo chamado C:\Temp\RsopReport.txt contendo todos os resultados do comando GPResult.

Gpresult /R > c:\Temp\RsopReport.txt

Relacionado:Redirecionando Saída para um Arquivo com o Cmdlet Out-File do PowerShell

Exportando Resultados para um Arquivo HTML ou XML

Ao contrário do redirecionamento nativo de um prompt de comando para um arquivo de texto, você também pode gerar e salvar as informações de política aplicada em um arquivo HTML ou XML. Usando a opção /H (para HTML) ou a opção /X (para XML) seguida do caminho para o arquivo HTML solicitado, o GPResult criará um arquivo HTML formatado de maneira agradável com a saída.

Gpresult /H c:\Temp\RsopData.html
Gpresult /X c:\Temp\RsopXMLRreport.xml

Se o arquivo já existir, o GPResult retornará um erro. Force o GPResult a sobrescrever o arquivo existente usando a opção /F.

Executando o GPResult Remotamente

Ao longo deste tutorial, você executou o GPResult localmente. Usando o parâmetro /s, o GPResult também pode recuperar todas as mesmas configurações de Política de Grupo remotamente.

Por exemplo, para encontrar dados RSOP para o usuário user01 que tenha feito login no computador remoto win10vm1 pelo menos uma vez, você executaria o seguinte:

gpresult /R /S win10vm1 /user user01
Finding RSOP data

Talvez você esteja logado em um computador que não tem permissões para consultar informações de Política de Grupo em um computador remoto. Nesse caso, o GPResult falhará a menos que você especifique credenciais alternativas.

Especifique credenciais alternativas usando os parâmetros /U (nome de usuário) e /P (senha) conforme mostrado abaixo.

gpresult /R /S win10vm1 /scope user /U homelab\MyLabAdmin /P password
Specify alternate credentials

Será que senhas comprometidas estão à espreita no seu Active Directory? Baixe o Specops Password Auditor e faça uma verificação de vulnerabilidades de senha GRATUITAMENTE!

Conclusão

Agora você deve saber como usar o comando GPResult para consultar configurações de Política de Grupo aplicadas em computadores locais e remotos. Este comando prático é uma ótima ferramenta de descoberta e solução de problemas no arsenal de qualquer administrador do Active Directory.

Da próxima vez que se perguntar: “Como confirmar que um computador associado ao domínio aplicou a GPO que eu esperava?”, qual ferramenta você usará?

Source:
https://adamtheautomator.com/gpresult/