Uso de la herramienta GPResult para verificar qué GPO se aplican

GPResult.exe es una herramienta administrativa de consola diseñada para analizar y diagnosticar la configuración de políticas de grupo que se aplican a una computadora y / o usuario en el dominio de Active Directory. En particular, GPResult le permite obtener los datos de RSOP (Conjunto resultante de políticas), la lista de políticas de dominio aplicadas (GPO), su configuración e información detallada sobre errores durante el procesamiento de GPO. Esta herramienta es parte del sistema operativo Windows desde Windows XP. La herramienta GPResult le permite responder estas preguntas: ¿se aplica una política en particular a una computadora, qué GPO ha cambiado una configuración particular de Windows y cómo solucionar problemas de procesamiento lento de GPO / GPP?

En este artículo, analizaremos los matices del uso del comando GPResult para diagnosticar el rendimiento y depurar las políticas de grupo en el dominio de Active Directory.

En versiones anteriores de Windows, la consola gráfica RSOP.msc se usaba para diagnosticar la aplicación de políticas de grupo en el lado del cliente, lo que le permitía obtener la configuración de política resultante (dominio + local) que se aplica a la computadora y al usuario en un gráfico. formulario que es similar a la consola del editor de GPO. La consola RSOP.msc en la captura de pantalla siguiente muestra que la configuración de actualización de Windows está establecida por la política WSUS_SERVERS.

Configuración de gpo resultante de RSOP.msc

Sin embargo, la consola RSOP.msc no es práctica de usar en las versiones modernas de Windows, porque no muestra la configuración aplicada por varias extensiones de política de grupo (extensiones del lado del cliente – CSE), como GPP (Preferencias de política de grupo), no lo hace. No permite buscar entre configuraciones, proporciona una falta de información de diagnóstico (en Windows 10 incluso aparece una advertencia de que RSOP no brinda un informe completo, a diferencia de GPResult). Por lo tanto, el comando GPResult hoy es la herramienta principal para realizar el diagnóstico de GPO en Windows.

¿Cómo utilizar la herramienta Resultados de políticas de grupo (GPResult.exe)?

El comando GPResult debe ejecutarse en la computadora en la que desea verificar la aplicación de las políticas de grupo. El comando GPResult tiene la siguiente sintaxis:

GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]

Para obtener información detallada sobre las políticas de grupo, aplicadas a un usuario o una computadora, así como otros parámetros relacionados con la infraestructura de GPO (la configuración de la política de GPO resultante – RsoP), ejecute este comando:

Los resultados de este comando se subdividen en dos secciones:

  • AJUSTES DE LA COMPUTADORA – la sección contiene la información sobre los objetos GP aplicados a la computadora (como un objeto de Active Directory);
  • AJUSTES DE USUARIO – esta es una sección de políticas de usuario (las políticas aplicadas a la cuenta del usuario de AD).

Cubramos brevemente las configuraciones / secciones básicas en la salida de GPResult que pueden ser de interés para nosotros:

  • Nombre del sitio – es el nombre del sitio de AD donde se encuentra la computadora;
  • CN – nombre de usuario / computadora canónico completo para el que se generaron los datos de RSoP;
  • La última vez que se aplicó la política de grupo – es el momento en que se aplicaron por última vez las políticas de grupo;
  • La directiva de grupo se aplicó desde – es el nombre del controlador de dominio desde el que se descargó la última versión de GPO;
  • Nombre de dominio y tipo de dominio – es el nombre y el número de versión del esquema de dominio de Active Directory;
  • Objetos de política de grupo aplicados – son las listas de objetos de política de grupo aplicados;
  • Los siguientes GPO no se aplicaron porque se filtraron – son GPO que no se han aplicado o se han filtrado;
  • El usuario es parte de los siguientes grupos de seguridad – son los grupos de dominio en los que el usuario es miembro.

gpresult / r

En este ejemplo, puede ver que se aplican 4 políticas de grupo al objeto de usuario.

Si no desea mostrar simultáneamente información sobre las políticas de usuario y de computadora, puede usar el /alcance opción para mostrar solo la sección que necesita. Política de usuario única resultante:

o solo aplicaron políticas informáticas:

gpresult /r /scope:computer

Dado que la herramienta Gpresult muestra sus datos directamente en la línea de comando, lo que no siempre es conveniente para un análisis posterior, la salida se puede redirigir al portapapeles:

o un archivo de texto:

Gpresult /r > c:psgpresult.txt

Para mostrar información RSOP súper detallada, debe agregar la tecla / z:

Informe HTML de RSoP con GPResult

GPResult también puede generar un informe HTML sobre las políticas resultantes aplicadas (disponible en Windows 7 y superior). Este informe contiene información detallada sobre todas las configuraciones del sistema establecidas por las Políticas de grupo y los nombres de ciertos GPO que las han establecido (en su estructura, este informe se parece a la pestaña Configuración en la Consola de administración de políticas de grupo – gpmc.msc) . Puede generar el informe HTML de GPResult usando el comando:

GPResult /h c:PSgpo-report.html /f

informe html de gpresult

Para generar el informe y abrirlo automáticamente en un navegador, ejecute el siguiente comando:

GPResult /h GPResult.html & GPResult.html

El informe HTML de gpresult contiene mucha información útil: puede ver los GPO aplicando errores, el tiempo de procesamiento (en ms) para políticas específicas y CSE (en la sección Detalles del equipo -> Estado del componente). Por ejemplo, en la captura de pantalla anterior, puede ver que el Hacer cumplir la política del historial de contraseñas con la configuración «24 contraseñas recordadas» es aplicada por la Política de dominio predeterminada (GPO ganador columna). Como puede ver, este informe HTML de gpresult es mucho más conveniente para analizar las políticas aplicadas que rsop.msc.

¿Cómo ejecutar GPResult en una computadora remota?

GPResult también puede recopilar datos de una computadora remota sin necesidad de iniciar sesión localmente o mediante el RDP en el sistema remoto. El comando para recopilar RSOP de una computadora remota se ve así:

GPResult /s remote-pc-name1 /r

Del mismo modo, puede recopilar datos de forma remota sobre las políticas de usuario y de la computadora.

El usuario no tiene datos de RSoP

Cuando el UAC está habilitado y GPResult se usa en modo no elevado, solo se muestra la sección de configuración de usuario de las políticas de grupo. Si necesita que se muestren ambas secciones (CONFIGURACIÓN DEL USUARIO y CONFIGURACIÓN DEL EQUIPO), el comando debe estar ejecutándose en el símbolo del sistema con privilegios de administrador. Si se ejecuta un símbolo del sistema con privilegios elevados en nombre de una cuenta que es diferente del usuario actual, la herramienta mostrará la advertencia: INFO: El usuario «dominio usuario» no tiene datos RSOP. Ocurre porque GPResult intenta recopilar los datos del usuario que lo ha iniciado, pero como este usuario no ha iniciado sesión, no hay información RSOP para él. Para recopilar información de RSOP de un usuario con una sesión activa, debe especificar su cuenta:

gpresult /r /user:saedward

ámbito de usuario de gpresult

Si no conoce el nombre de una cuenta que está conectada a una computadora remota, puede obtener un nombre de usuario como este:

qwinsta /SERVER:remotePC1

También verifique la hora (y la zona horaria) en el cliente. La hora debe coincidir con la hora del PDC (controlador de dominio principal).

Los siguientes GPO no se aplicaron porque se filtraron

Al solucionar problemas de las políticas de grupo, vale la pena prestar atención a la sección: Los siguientes GPO no se aplicaron porque se filtraron. Contiene la lista de los GPO que no se aplican a este objeto por ningún motivo. Estas son algunas de las razones por las que no se aplican las políticas:

Entonces, en este artículo hemos considerado las peculiaridades de los diagnósticos de la aplicación de políticas grupales usando la herramienta GPResult y cubrimos escenarios básicos de su uso.

Artículos Interesantes

Relacionados:

Paso de dispositivo USB (redireccionamiento) a máquina virtual Hyper-V
¿Cómo habilitar / deshabilitar la cuenta de administrador incorporada en Windows 10?
¿Cómo convertir (actualizar) la evaluación de Windows Server 2019/2016 a la versión completa?
Solución: VPN no funciona en Windows 10