如何使用RSOP检查应用的GPO设置

教程

当您在数百甚至数千台目标计算机上应用活动目录(AD)组策略对象(GPO)时,它们都可能需要一段时间才能全部接收到。您如何知道计算机何时接收到新策略或检索到更新的策略设置?使用 RSOP 工具。

RSOP 工具或结果集合策略(Resultant Set Of Policy)是一个内置的 Windows 工具,允许您发现应用于本地和远程计算机的策略设置。如果您想知道 GPO 在您的 PC 上设置了什么配置,请继续阅读!

相关:如何使用 GPResult 工具验证应用的 GPO

让我们开始吧。

先决条件

本教程将演示几个不同的示例。如果您想跟着操作,请确保您具备以下条件:

  • 一个活动目录域 – 任何版本的 AD 都可以。本教程将使用一个名为 HomeLab.Local 的域。
  • A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
  • A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
  • TCP端口445、135、RPC动态端口所有用于WMI的端口在远程计算机上打开。您可以创建一个名为组策略报告防火墙端口的启动GPO,以确保所有端口都是开放的。
  • 本地PC和远程PC上都有本地管理员权限。
  • A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.

RSOP工具是什么?

当您在Active Directory中将GPO分配给计算机时,该计算机应该连接到域控制器,并根据定义的GPO刷新间隔,很快看到该GPO,并尝试应用GPO定义的设置。

相关:什么是组策略以及它是如何工作的(详细介绍)

当计算机应用 GPO 设置时,这些策略设置随后使用 通用信息管理对象模型 (CIMOM) 数据库和 Windows 管理工具 (WMI) 存储在计算机上。要检查这些应用的设置,请运行 RSOP 工具。RSOP 工具会生成有关已应用(或计划应用)于 PC 上的用户和计算机的策略的报告。

RSOP 对于存在多个冲突策略的故障排除非常有效。使用 RSOP,您可以检查哪些 GPO 优先并覆盖了其他设置。

模式

RSOP 有两种不同的模式,可帮助您发现 GPO 如何影响目标计算机;记录模式和计划模式。

  • 记录模式 – RSOP 的最常见用途,用于生成有关所有已登录用户和计算机本身的应用策略的报告。
  • 计划模式 – RSOP 的较少常见用途,允许您模拟应用于计算机的设置,如果一个或多个 GPO 应用于它们。计划模式可用于确定用户移动到不同 AD 组时会发生什么,例如。

使用 RSOP 检查本地应用的 GPO

让我们现在开始一些 RSOP 的实际演示。首先,让我们介绍如何启动 RSOP 工具以及您可以期望看到什么样的信息。

在您的本地,加入域的 Windows PC 上,以管理员身份打开命令提示符或 PowerShell 窗口。

相关:如何以管理员身份运行 PowerShell

如果您不以管理员身份运行命令提示符或 PowerShell,则 RSOP 将无法访问计算机设置(仅限已登录用户设置)。运行 RSOP 时,您将收到一个错误,指示您权限不足。

接下来,运行命令rsop.msc。此操作将启动 RSOP MMC 快照

启动 RSOP 后,它将立即开始读取所有应用的策略并生成报告。RSOP 默认为日志模式。在下面,您将看到在名为WIN10VM1的计算机上以名为LabAdmin的用户身份运行 RSOP 的结果。

展开每个文件夹,您将看到应用于该特定用户或计算机的所有 GPO 的每个设置。

如果您未看到最近创建的 GPO 的预期 GPO 设置,请在 PC 上运行 gpupdate /force 命令 以手动刷新策略设置。

Running the gupdate force command

例如,下面您将看到一个名为本地策略HostName.bat分配给了PC上的用户登录。在该策略内部,有一个名为HostName.bat的批处理文件,位于用户配置 —> Windows设置 —> 脚本 —> 登录下。

Local Group Policy Editor

在配置了本地策略的计算机上运行RSOP,您将看到应用了登录脚本和应用它的策略名称。

Resultant Set of Policy console

使用RSOP的规划模式测试策略更改

也许您已准备好将重要的GPO推广到许多计算机上。您可以通过立即应用到所有计算机来“在生产环境中测试”,或者您可以使用RSOP的规划模式。

使用规划模式,您可以模拟应用GPO到计算机时的许多不同情况,例如:

  • 目标PC具有较慢的网络连接
  • 您启用了回环处理
  • 目标PC应用了许多GPO以测试策略优先顺序
  • A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
  • A user or computer is moved between domains, OUs or even AD sites.
  • A WMI filter is applied to an OU

规划模式将帮助您考虑GPO可能带来的所有条件变量。

要在规划模式下运行RSOP:

1. 打开命令提示符或提升的 PowerShell 控制台,然后键入 mmc。这将打开MMC 控制台

请注意,在这种情况下,您不能简单地运行 rsop.msc。更改 RSOP 模式的唯一方法是添加 MMC 插件,您将看到。

2. 在 MMC 控制台中,打开“文件”菜单,然后单击“添加/删除插件”,如下所示。

MMC console Add/Remove option

3. 在添加或删除插件对话框中,选择结果集策略 ,然后单击添加将插件从左窗口移动到右窗口。

Displaying Resultant Set of Policy option

4. 接下来,在结果集策略MMC 插件上右键单击,如下所示,单击生成 RSOP 数据,然后单击下一步跳过简介步骤。

Generate RSoP Data option

5. 在模式选择屏幕上,选择规划模式,然后单击下一步到达计算机选择屏幕。

Selecting Planning mode option

6. 接下来,单击浏览,然后在用户信息下选择可能会受到即将到来的 GPO 影响的用户。此外,单击容器,然后在计算机信息下单击浏览以选择将包含此用户登录的计算机的 OU。

在以下的屏幕截图中,如果一个名为HOMELAB\User01的用户登录到桌面虚拟机组织单位中的任何计算机,模拟将提供所有设置。

Select user OU and computer OU

7. 现在,如果你想模拟更多情况,请选择选项:

  • 组策略的慢链接检测
  • 回环处理 – 选择替换合并将在冲突的情况下替换/合并用户策略设置和计算机策略设置。
  • 站点 – 模拟桌面被登录到的 AD 站点。

完成后,请单击下一步

Slow network connection and loopback processing mode

8. 如果您不打算直接将 GPO 应用于用户或计算机将位于的 OU,请单击浏览以更改任一对象的 OU。完成后,单击下一步

在第六步中,您定义了用户和目标计算机将位于的 OU。在这里,您正在定义计划将 GPO 应用于的 OU。

Changing the path for the simulated applied GPO

9. 现在,通过单击添加输入您计划用户加入的 AD 组。对于本教程,用户将加入DeniedGPOUsers组。

Displaying User Security Groups

您将看到拒绝了 DeniedGPOUsers 组应用此 GPO。

Displaying custom permissions for DeniedGPOUsers AD group

10. 接下来,在本教程中,按照定义WMI过滤器和计算机组的屏幕步骤进行操作。但是,如果您计划在GPO上设置WMI过滤器,或者通过AD组拒绝/允许GPO应用于计算机帐户,则可以进行这些模拟更改。

11. 最后,在总结屏幕上,审查所有细节。保留收集扩展错误信息 选项已启用,并单击“下一步”。启用扩展错误信息选项后,RSOP快照在执行查询时会收集更多的错误信息。此错误消息包括影响实施策略的网络或AD问题。启用此选项可能会大大增加模拟处理的时间,但如果发生错误,将提供更详细的信息。

生成RSOP控制台后,请右键单击计算机配置或用户配置节点,然后单击属性。然后单击错误信息选项卡以查看在模拟策略时生成的任何错误。

Summary Screen

12. 完成RSOP后,浏览计算机配置用户配置下的文件夹,以验证所应用的策略。

您将在下方看到两个窗口;在左侧,您将看到实际应用的GPO(RSOP处于日志记录模式),而在右侧,您将看到如果将用户从DeniedGPOUsers AD组中移除后RSOP的外观。

GPO Applied

使用RSOP检查远程应用的GPO

为了防止必须访问每台计算机的本地控制台,RSOP还允许您远程检查日志记录和规划模式的设置。在这个演示中,教程将使用日志记录模式。

1. 打开RSOP,按照上述使用RSOP规划模式测试策略更改部分的步骤1-4进行。

2. 在“模式选择”屏幕上,选择日志记录模式,然后单击“下一步”转到“计算机选择”屏幕。

Selecting Logging Mode

3. 在计算机选择屏幕上,选择另一台计算机,因为您将查询远程计算机,然后单击浏览

Selecting remote PC

4. 在选择计算机框中,输入远程PC名称,然后单击检查名称。此操作将搜索计算机的AD计算机帐户。如果找到,它将下划线显示PC名称,如下所示。

Remote PC name

5. 在计算机选择屏幕上单击下一步。在这里,您可以选择不显示所选计算机的结果中的策略设置…,但您将检查计算机和用户设置。

Resultant Set of Policy wizard

6. 接下来,选择要检查已应用用户策略的用户。您将看到至少曾经登录到远程计算机的用户列表。

从列表中选择一个用户,然后单击下一步

注意当前用户选项已变灰。RSOP不支持查找远程登录的用户。您必须明确选择一个。

Selecting user on remote PC

7. 取消选中收集扩展错误信息复选框。单击“下一步”继续。RSOP现在将连接到远程计算机,并尝试检索所选用户和计算机的所有RSOP设置。

Resultant Set of Policy Wizard gather extended error information option

8. 单击完成完成操作。

Resultant Set of Policy wizard complete

9. 您现在将看到与检查本地设置时完全相同的MMC快照。但这次,设置来自远程计算机。

Verifying GPO on remote PC

结论

RSOP工具在您需要快速查找针对计算机或用户定向的所有应用GPO设置时非常有用。使用此工具可以查看应用的设置;而不仅仅是针对特定计算机或用户的所有GPO设置。

您将来在哪些方面看到自己使用RSOP?

Source:
https://adamtheautomator.com/rsop/