Sử dụng lệnh GPResult để kiểm tra dữ liệu GPOs và RSoP đang được áp dụng

Lệnh GPResult.exe được sử dụng để hiển thị Bộ chính sách kết quả (RSoP) được áp dụng cho người dùng hoặc máy tính trong miền Active Directory.

GPResult cho phép bạn hiển thị danh sách các chính sách miền (GPO) được áp dụng cho máy tính và người dùng, cài đặt chính sách, thời gian xử lý GPO và các lỗi. Đây là công cụ quản trị viên được sử dụng phổ biến nhất để phân tích cài đặt và khắc phục sự cố Group Policy trong Windows.

Trong bài viết này, chúng ta sẽ cùng xem cách sử dụng lệnh GPResult để chẩn đoán, gỡ lỗi và phân tích cài đặt Group Policy được áp dụng cho Windows trong miền Active Directory.

Cách sử dụng lệnh Group Policy Results (GPResult.exe) 

Bạn phải chạy lệnh GPResult trên máy tính mà bạn muốn kiểm tra việc áp dụng Chính sách Nhóm. Cú pháp cho GPResult là:

GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]

Để nhận thông tin chi tiết về Group Policy được áp dụng cho người dùng hoặc máy tính cụ thể, cũng như các cài đặt khác liên quan đến cơ sở hạ tầng GPO (kết quả cài đặt GPO, RsoP), hãy mở CMD và chạy lệnh này:

Gpresult /r

Kết quả của lệnh này sẽ được chia thành hai phần:

• COMPUTER SETTINGS – phần chứa thông tin về các đối tượng GP được áp dụng cho máy tính (như một đối tượng Active Directory);
• USER SETTINGS – đây là phần chính sách người dùng (các chính sách áp dụng cho tài khoản của AD user).

Dưới đây là các cài đặt / phần cơ bản trong đầu ra GPResult mà quản trị viên có thể quan tâm:

• Site Name – là tên của trang AD nơi đặt máy tính
• CN – tên máy tính / người;
• Last time Group Policy was applied – là thời điểm cài đặt Group Policy được áp dụng lần cuối (cập nhật);
• Group Policy was applied from – là tên bộ domain controller mà từ đó các GPO cuối cùng đã được tải xuống;
• Domain Name and Domain Type – là tên và số phiên bản của domain Active Directory;
• Applied Group Policy Objects – là danh sách các GPO được áp dụng;
• The following GPOs were not applied because they were filtered out – Các GPO không được áp dụng
• The user is a part of the following security groups – danh sách các nhóm bảo mật của miền mà người dùng là thành viên.

Trong ví dụ này, bạn có thể thấy rằng 4 Group Policies được áp dụng cho đối tượng người dùng.

• ChromeExtention
• Enable Photo viewer on Winl0
• Default Domain Policy
• ScreenSaver

Báo cáo cũng sẽ chứa thông tin về local policy được cấu hình thông qua Local Group Policy Editor (gpedit.msc).

Bạn có thể sử dụng tùy chọn để chỉ hiển thị các chính sách của người dùng:

gpresult /r /scope:user

Hoặc chỉ hiển thị các chính sách của máy tính:

gpresult /r /scope:computer

Chú ý: Nếu bạn cố gắng lấy danh sách GPO được áp dụng cho một đối tượng máy tính khi sử dụng tài khoản người dùng không phải quản trị viên, lệnh gpresult sẽ trả về lỗi Access Denied:

Để thuận tiện cho việc phân tích cú pháp và phân tích dữ liệu RSOP, bạn có thể chuyển hướng kết quả Gpresult đến khay nhớ tạm:

Gpresult /r |clip

hoặc vào file text:

Gpresult /r > c:\gpresult.txt

Để hiển thị thông tin RSoP một cách chi tiết, bạn cần thêm “/z”:

Gpresult /r /z

Ví dụ: ảnh chụp cài đặt chính sách mật khẩu miền được áp dụng cho máy tính.

Xuất Báo cáo RSoP sang HTML với GPResult

GPResult cho phép bạn tạo báo cáo định dạng HTML về các chính sách kết quả được áp dụng (có sẵn trong Windows 7 và mới hơn). Báo cáo này chứa thông tin chi tiết về tất cả các cài đặt hệ thống do Group Policies đặt và tên của các GPO đã đặt chúng. Báo cáo GPResult HTML có cấu trúc tương tự như tab Settings trong Group Policy Management Console (gpmc.msc) (gpmc.msc). Bạn có thể tạo báo cáo RSoP HTML bằng lệnh gpresult sau:

GPResult /h c:\blogcntt\gpo-report.html /f

Chú ý: Nếu bạn không chỉ định đường dẫn đầy đủ, thì báo cáo gpresult HTML sẽ được lưu vào thư mục% WINDIR% \ system32.

Để tạo báo cáo và tự động mở báo cáo trong trình duyệt, hãy chạy lệnh sau:

GPResult /h GPResult.html & GPResult.html

Báo cáo GPResult HTML chứa khá nhiều thông tin hữu ích: bạn có thể thấy các GPO đang áp dụng lỗi, thời gian xử lý (tính bằng mili giây) cho một chính sách cụ thể và các CSE (trong phần Computer Details -> Component Status). Điều này rất hữu ích khi bạn cần hiểu tại sao quá trình xử lý GPO mất nhiều thời gian.

Ví dụ: trong ảnh chụp màn hình ở trên, bạn có thể thấy rằng Chính sách Enable screen saver với cài đặt “Enabled” được áp dụng bởi GOP ScreenSaver (cột Winning GPO).

Báo cáo HTML cho phép bạn trình bày tập hợp các GPO máy tính thu được ở dạng đồ họa.

GPResult: Người dùng không có dữ liệu trả lời

Khi UAC được bật và GPResult được sử dụng ở chế độ non-elevated, chỉ có phần user settings của Group Policies được hiển thị. Nếu bạn cần hiển thị cả hai phần (USER SETTINGS and COMPUTER SETTINGS), lệnh phải được chạy với quyền quản trị viên.

Nếu CMD được chạy với một tài khoản khác với tài khoản bạn đang sử dụng, công cụ sẽ hiển thị cảnh báo: “INFO: The user “domain\user” does not have RSOP data”.

Điều này xảy ra vì GPResult cố gắng thu thập dữ liệu của người dùng đã khởi chạy nó, nhưng vì người dùng này chưa đăng nhập nên không có thông tin RSOP cho anh ta.

Để thu thập thông tin RSOP cho người dùng, bạn cần chỉ định tài khoản của họ:

gpresult /r /user:local\ten_user

Ngoài ra, hãy kiểm tra thời gian (và múi giờ) trên máy khách. Thời gian phải khớp với thời gian trên domain controller chạy FSMO PDC (Primary Domain Controller).

The following GPOs Were Not Applied Because They Were Filtered Out

Khi khắc phục sự cố Chính sách nhóm, cần chú ý đến phần: The following GPOs were not applied because they were filtered out. Nó chứa danh sách các GPO không được áp dụng cho đối tượng này vì bất kỳ lý do gì. Dưới đây là các lý do tại sao GPOs không được áp dụng cho một đối tượng trong Active Directory:

• Filtering: Not Applied (Empty) – Chính sách rỗng (không có gì để áp dụng);
• Filtering: Denied (Unknown Reason) – User / PC có thể không có quyền đọc hoặc áp dụng chính sách này. Các quyền có thể được định cấu hình trong tab Security của Bảng Group Policy Management Console (gpmc.msc)
• Filtering: Denied (Security) — Group Policy bị từ chối, hoặc một đối tượng AD không có trong danh sách các nhóm trong phần Security Filtering của GPO.

Bạn cũng có thể xem liệu GPO được áp dụng cho một đơn vị tổ chức (OU) trong AD hay cho một đối tượng cụ thể trên tab effective permissions (Advanced -> Effective Access) trong GPMC.

Resultant Set of Policies (RSOP.msc) trong Windows

Ban đầu, RSOP.msc được sử dụng để liệt kê các Group Policies được áp dụng trong Windows. Snap-in này cho phép bạn lấy các cài đặt của các chính sách được áp dụng cho máy tính và người dùng ở dạng đồ họa tương tự như bảng điều khiển GPO editor.

Bảng điều khiển RSOP.msc trên ảnh bên dưới cho thấy cài đặt cập nhật Windows được cấu hình theo chính sách WSUS_SERVERS.

Bạn không thể sử dụng RSOP.msc để phân tích đầy đủ các GPO được áp dụng trong các phiên bản Windows hiện đại. Nó không hiển thị các cài đặt được áp dụng thông qua Client Side Extensions (CSE), chẳng hạn như GPP (Group Policy Preferences), không cho phép tìm kiếm và nó cung cấp rất ít thông tin chẩn đoán.

Khi chạy rsop.msc trên Windows 10/11, có một cảnh báo rằng bạn nên sử dụng gpresult để nhận được báo cáo GPO đầy đủ hơn.