如何使用RSOP檢查應用的GPO設置 – techsyncer

當您在數百甚至數千台目標計算機上應用Active Directory（AD）群組策略對象（GPO）時，這些計算機都需要一段時間才能接收到。您如何知道計算機何時接收到新策略或檢索到更新的策略設置？使用RSOP工具。

RSOP工具或Resultant Set Of Policy是一個內置的Windows工具，可讓您發現應用於本地和遠程計算機的策略設置。如果您想知道GPO在您的計算機上設置了哪些配置，請繼續閱讀！

讓我們開始吧。

先決條件

本教程將運行幾個不同的演示。如果您想跟著做，請確保擁有以下內容：

Active Directory域 – 任何版本的AD都可以運行。本教程將使用一個名為HomeLab.Local的域。
A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
遠端電腦開放TCP埠445、135、RPC動態埠以及所有WMI埠。您可以建立一個名為Group Policy Reporting Firewall Ports的起始GPO，以確保所有埠都是開放的。
本地PC和遠端PC上都需要具有本機管理員權限。
A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.

RSOP工具是什麼？

當您在Active Directory中將GPO指派給一台電腦時，該電腦應該連接到域控制器，根據定義的GPO刷新間隔很快就會看到該GPO並嘗試應用GPO定義的設定。

當電腦應用GPO設定時，這些策略設定會使用Windows管理儀器（WMI）將其存儲在計算機上的共同資訊管理對象模型（CIMOM）數據庫中。要檢查這些應用的設定，運行RSOP工具。RSOP工具會生成一份關於應用（或計劃應用）於用戶和計算機上的策略的報告。

RSOP非常適用於解決存在多個相互衝突的策略的情況。使用RSOP，您可以檢查哪些GPO優先並覆蓋其他GPO。

模式

RSOP有兩種不同的模式，可以幫助您發現GPO對目標計算機的影響；日誌記錄模式和計劃模式。

日誌記錄模式- RSOP的最常見用途，用於生成有關所有已應用的策略對所有登錄用戶和計算機本身的報告。
計劃模式- RSOP的較少使用情況，允許您模擬當一個或多個GPO應用於計算機時，將應用哪些設定。計劃模式用於確定當用戶移至不同的AD組時將發生什麼情況，例如。

使用RSOP檢查本地應用的GPO

現在，讓我們開始進行一些關於RSOP的實際演示。首先，讓我們講解如何啟動RSOP工具以及您可以期望看到的信息。

在您的本地，加入域的Windows PC上，以系統管理員身份打開命令提示符或PowerShell窗口。

如果您不以系統管理員身份運行命令提示符或PowerShell，RSOP將無法訪問計算機設置（僅訪問已登錄的使用者設置）。當您運行RSOP時，您將收到一個錯誤提示，指出您權限不足。

接下來，執行命令rsop.msc。這個動作將啟動RSOP MMC插件。

當您啟動RSOP時，它將立即開始讀取所有應用的策略並生成一份報告。RSOP默認為記錄模式。下面您將看到在一台名為WIN10VM1的計算機上以LabAdmin用戶登錄時運行RSOP的結果。

展開每個文件夾，您將看到應用於該特定用戶或計算機的所有GPO的每個設置。

如果您在最近創建的GPO中未看到預期的GPO設置，請在計算機上運行gpupdate /force命令手動刷新策略設置。

例如，下面你将看到一个名为本地策略的HostName.bat分配给PC上的用户登录。在该策略中，有一个名为HostName.bat的批处理文件，位于用户配置 -> Windows设置 -> 脚本 -> 登录下。

在配置了本地策略的计算机上运行RSOP，您将看到应用了登录脚本和应用它的策略名称。

使用RSOP的规划模式进行策略更改测试

也许您准备将重要的GPO推出给许多计算机。您可以立即将其应用于所有计算机，以在生产环境中进行测试，或者您可以使用RSOP的规划模式。

使用规划模式，您可以模拟许多不同的场景，例如应用GPO到计算机时：

目标计算机具有较慢的网络连接
您启用了回环处理
目标计算机上应用了许多GPO以测试策略优先级
A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
A user or computer is moved between domains, OUs or even AD sites.
A WMI filter is applied to an OU

规划模式将帮助您考虑到GPO可能带来的所有条件变量。

要在规划模式下运行RSOP：

1. 開啟命令提示字元或提升權限的 PowerShell 控制台，輸入 mmc。這將打開MMC 控制台。

注意，在此情況下無法直接運行 rsop.msc。唯一改變 RSOP 模式的方法是在添加 MMC 擴展時，您將看到如何操作。

2. 在 MMC 控制台中，打開“文件”菜單，點擊“添加/刪除擴展”，如下所示。

3. 在添加或刪除擴展對話框中，選擇結果集策略 ，然後點擊添加將擴展從左窗口移到右窗口。

Displaying Resultant Set of Policy option

4. 接下來，右鍵單擊結果集策略 MMC 擴展，如下所示，點擊生成 RSOP 數據和下一步跳過介紹步驟。

5. 在模式選擇畫面上，選擇規劃模式，然後點擊“下一步”進入計算機選擇畫面。

6. 接下來，點擊瀏覽（位於用戶信息下方）選擇可能受到即將到來的 GPO 影響的用戶。同樣，點擊容器和瀏覽（位於計算機信息下方）選擇將包含此用戶可能登錄的計算機的 OU。

在下面的屏幕截图中，如果用户HOMELAB\User01登录到Desktop VMs OU中的任何计算机，模拟将提供所有设置。

7. 现在，如果您想模拟更多情况，请选择选项：

Group Policy 的慢速链接检测
Loopback 处理 – 选择Replace或Merge将在冲突时替换/合并用户策略设置和计算机策略设置。
站点 – 模拟已登录到的桌面的 AD 站点。

完成后，单击下一步。

Slow network connection and loopback processing mode

8. 如果您不打算直接将 GPO 应用于用户或计算机所在的 OU，请单击浏览以更改对象的 OU。完成后，单击下一步。

在第六步中，您定义了用户和目标计算机所在的 OU。在这里，您正在定义您计划应用 GPO 的 OU。

Changing the path for the simulated applied GPO

9. 现在，通过单击添加，输入您计划让用户加入的 AD 组。在本教程中，用户将加入DeniedGPOUsers组。

如下所示，DeniedGPOUsers 组被拒绝应用此 GPO。

Displaying custom permissions for *DeniedGPOUsers* AD group

10. 接下來，對於這個教程，請按照屏幕上的步驟來定義 WMI 過濾器和電腦組。但如果您計劃在 GPO 上設置 WMI 過濾器，或者通過 AD 組來拒絕/允許 GPO 應用程序，您可以進行這些模擬更改。

11. 最後，在摘要屏幕上，請仔細檢查所有詳細信息。保留“收集擴展錯誤信息” 選項的啟用狀態，然後點擊“下一步”。啟用擴展錯誤信息選項後，RSOP 控制台在執行查詢時會收集更多的錯誤信息。這些錯誤信息包括影響策略實施時的網絡或 AD 問題。啟用此選項可能會大大增加模擬處理的時間，但在發生錯誤時將提供更詳細的信息。