Gpresult h c gpresult html ошибка отказано в доступе

Утилита командной строки GPResult.exe используется для получения результирующего набора групповых политик (Resultant Set of Policy, RSOP), которые применяются к пользователю и/или компьютеру в домене Active Directory. Gpresult позволяет вывести список доменных политик (GPO), которые применяются на компьютер и пользователя, настройки политик и ошибки обработки. Это наиболее часто используемый инструмент администратора для анализа настроек и диагностики групповых политик в Windows.

В этой статье мы рассмотрим, как использовать команду GPResult для диагностики и анализа настроек групповых политик, применяющихся к Windows в домене Active Directory.

Использование команды GPResult в Windows

Команда GPResult выполняется на компьютере, на котором нужно проверить применение групповых политик. Синтаксис GPResult:

GPRESULT [/S <система> [/U <пользователь> [/P <пароль>]]] [/SCOPE <область>] [/USER <имя_конечного_пользователя>] [/R | /V | /Z] [(/X | /H) <имя_файла> [/F]]

Чтобы получить подробную информацию о групповых политиках, которые применяются к данном объекту AD (пользователю и компьютеру), и других параметрах, относящихся к инфраструктуре GPO (т.е. результирующие настройки политик GPO – RsoP), выполните команду:

Gpresult /r

Результаты выполнения команды разделены на 2 секции:

• COMPUTER SETTINGS (Конфигурация компьютера) – раздел содержит информацию об объектах GPO, действующих на компьютер в Active Directory;
• USER SETTINGS – раздел с политиками пользователя (политики, действующие на учетную запись пользователя в AD).

Вкратце пробежимся по основным параметрам/разделам, которые нас могут заинтересовать в выводе GPResult:

• Site Name (Имя сайта:)– имя сайта AD, в котором находится компьютер;
• CN – полное каноническое пользователя/ компьютера, для которого были сгенерированы данные RSoP;
• Last time Group Policy was applied (Последнее применение групповой политики)– время, когда последний раз применялись (обновились) настройки GPO;
• Group Policy was applied from (Групповая политика была применена с)– контроллер домена, с которого была загружена последняя версия GPO;
• Domain Name и Domain Type (Имя домена, тип домена)– имя и версия схемы домена Active Directory;
• Applied Group Policy Objects (Примененные объекты групповой политики) – списки действующих объектов групповых политик;
• The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы)— не примененные (отфильтрованные) GPO;
• The user/computer is a part of the following security groups (Пользователь/компьютер является членом следующих групп безопасности) – список доменных групп безопасности, в которых состоит пользователь/пользователь.

В нашем примере видно, что на объект пользователя действуют 4 групповые доменные политики.

• Default Domain Policy;
• Enable Windows Firewall;
• DNS Suffix Search List;
• Disable Cached Credentials.

Также в отчете будет информацию о локальных параметрах политик, настроенных через локальный редактор GPO (gpedit.msc).

С помощью опции /scope можно вывести только политики пользователя или компьютера:

gpresult /r /scope:user

или только примененные политики компьютера:

gpresult /r /scope:computer

ERROR: Access Denied.

Для удобства анализа данных RSOP, вы можете перенаправить результаты Gpresult в буфер обмена:

Gpresult /r |clip

или текстовый файл:

Gpresult /r > c:gpresult.txt

Чтобы вывести сверхподробную информацию RSOP, нужно добавить ключ /z.

Gpresult /r /z

Например, на скриншоте показаны настройки политики паролей в домене, которые применяются к компьютеру.

GPResult: экспорт данных RSOP в HTML отчет

Утилита GPResult позволяет сгенерировать HTML-отчет по примененным результирующим политикам (доступно в Windows 7 и выше). Такой отчет содержит подробную информацию обо всех параметрах Windows, которые задаются групповыми политиками и именами GPO, которые внесли изменения. Этот отчет по структуре напоминает вкладку Settings в консоли управления доменными групповыми политиками (
gpmc.msc
). Сгенерировать HTML отчет GPResult можно с помощью команды:

GPResult /h c:gp-reportreport.html /f

Если не указывать полный путь к HTML файлу, то HTML отчет gpresult будет сохранен в каталог
%WINDIR%system32
.

Чтобы сгенерировать отчет и автоматически открыть его в браузере, выполните команду:

GPResult /h GPResult.html & GPResult.html

В HTML отчете gpresult содержится довольно много полезной информации: видны ошибки применения GPO, время применения конкретных политик (в мс.) и CSE (в разделе Computer Details -> Component Status). Это удобно, когда нужно понять почему групповые политики (GPP/GPO) применяются на компьютере слишком долго.

Например, на скриншоте выше видно, что политика Enforce password history с настройками 24 passwords remember применена политикой Default Domain Policy (столбец Winning GPO).

HTML отчет позволяет представить результирующий набор GPO компьютера в удобном графическом виде.

Получение отчета по политикам GPResult с удаленного компьютера

GPResult может получить информацию о результирующих политик с удаленного компьютера.

GPResult /s wks22123 /r /user a.ivanov

В команде gpresult можно указать имя и пароль для подключения к удаленному компьютеру:

gpresult /R /S wks22123 /scope user /U winitprokbuldogov /P P@$$worrd

Если вы не хотите, чтобы ваш пароль сохранялся в истории команд PowerShell, можно запросить пароль интерактивно:
gpresult /R /S wks22123 /scope user /U winitprokbuldogov /P

Аналогичным образом вы можете удаленно собрать данные как по пользовательским политикам, так и по политиками компьютера.

Если вы не знаете имя пользователя, под которым выполнен вход, можно узнать учетную запись на удаленном компьютере так:

qwinsta /SERVER:remotePC1

Пользователь не имеет данных RSOP

Если на компьютере включен UAC, то GPResult без повышенных привилегий выведет только параметры пользовательского раздела групповых политик. Если нужно одновременно отобразить оба раздела (USER SETTINGS и COMPUTER SETTINGS), открыть командную строку с правами администратора. Е

сли командная строка с повышенными привилегиями запущена от имени учетной записи отличной от текущего пользователя системы, утилита выдаст предупреждение INFO: The user “domainuser” does not have RSOP data (Пользователь «domainuser» не имеет данных RSOP). Это происходит потому, что GPResult пытается собрать информацию для пользователя, ее запустившего, но т.к. данный пользователь не выполнил вход (logon) в систему, информация RSOP для него отсутствует. Чтобы собрать информацию RSOP по пользователю с активной сессией, нужно указать его учетную запись:

gpresult /r /user:tnedward

Если вы не знаете имя учтённой записи, которая залогинена на удаленном компьютере, учетную запись можно получить так:

qwinsta /SERVER:remotePC1

Также проверьте время (и часовой пояс) на клиенте. Время должно соответствовать времени на PDC (Primary Domain Controller).

Следующие политики GPO не были применены, так как они отфильтрованы

При отладке и траблшутинге применения групповых политик стоит также обращать внимание на секцию: The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы). В этой секции отображается список GPO, которые по той или иной причине не применяются к этому объекту. Возможные варианты, по которым политика может не применяться:

• Filtering: Not Applied (Empty) (Фильтрация: Не применено (пусто)) – политика пустая (применять, нечего);
• Filtering: Denied (Unknown Reason) (Фильтрация: Не применено (причина неизвестна)) – скорее всего у пользователя или компьютера отсутствуют разрешения на чтение/применение этой политики. Разрешения настраиваются на вкладке Security в консоли управления доменными GPO — GPMC (Group Policy Management Console);
• Filtering: Denied (Security) (Фильтрация: Отказано (безопасность)) — в секции Apply Group Policy указан явный запрет в разрешении Apply group policy либо объект AD не входит в список групп в разделе настроек Security Filtering.

Также вы можете понять должна ли применяться GPO к organizational unit (OU) в AD на вкладке эффективных разрешений (Advanced -> Effective Access).

Оснастка результирующих политик RSoP в Windows

Изначально для диагностики применения групповых политик в Windows использовалась графическая консоль
RSOP.msc
. Эта оснастка позволяет получить настройки результирующих политик (доменных + локальных), примененных к компьютеру и пользователю в графическом виде аналогичном консоли редактора GPO. На скриншоте показа вид консоли RSOP.msc в которой видно, что настройки Windows Update на компьютере заданы доменной политикой WSUS_SERVERS.

В современных версиях Windows RSOP.msc не получится использовать для полноценного анализа примененных GPO. Она не отражает настройки, примененные через расширения групповых политик CSE (Сlient Side Extensions), таких как GPP (Group Policy Preferences), не позволяет выполнять поиск, предоставляет мало диагностической информации. В Windows 10 и 11 при запуске
rsop.msc
появилось предупреждение, что основной инструмент для диагностики применения GPO это утилита gpresult.

Starting with Vista, the Resultant Set of Policies (RSoP) report does not show all Microsoft Group Policy settings. To see the full set of Microsoft Group Policy settings applied for a computer or user, use the command-line tool gpresult.

В этой статье мы рассмотрели, как использовать утилиту GPResult для анализа результирующих групповых политик, которые применяются в Windows. Также для анализа применения GPO в домене рекомендуем использовать инструкции из статьи “Почему групповая политика не применяется к компьютеру или OU”.

Добрый день. Имеется компьютер с Windows 10 c последними обновлениями, компьютер подключен к домену (Windows Server 2019) . На него устанавливаются нужные GPO .
Вопрос 1.
Но почему-то нету возможности посмотреть результаты команды gpresult /R /scope:computer
Результат: ERROR: Access Denied.
*На компьютере залогинился под администратором домена
*Запустил командную строку под администратором домена
*В группу локальных администраторов компьютера, тоже добавлен.
В чём может быть проблема?
Вопрос 2.
Периодически на компьютере возникает такая ошибка:
Источник: Microsoft-Windows-GroupPolicy
Код события: 1129
“Сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Как только компьютеру удастся подключиться к контроллеру домена и групповая политика будет обработана успешно, будет создано сообщение об успехе. Если это сообщение не появляется в течение нескольких часов, обратитесь к администратору.”
Если вручную обновить политики на компьютере, то ошибок нету. В политиках в разделе Security Filtering указано Authenticated Users, Domain Computers. Политика назначена на OU, проблем в сети не обнаружено.
Как исправить?
Спасибо за ответы.

• 
  Вопрос задан

  более года назад
  

• 543 просмотра

Hi,

Thanks for your posting.

It’s a known issue for Windows XP Sp1 and should be fixed with Sp2 and Sp3.

We provide two workarounds for the issue:
•Run Gpresult by using a runas command, and then use the /user switch.

•Use the RSoP tools to verify the policies from a remote computer.

Or we have below steps to fix it manually.

1. Verify the default permissions for the RSOP namespace in WMI Management Console are correct.
HOW TO: Set WMI Namespace Security in Windows Server 2003
http://support.microsoft.com/kb/325353

2. Rebuilt WMI
-Open a console window (cmd) and change to the WBEM folder (cd «%windir%system32wbem»).
-Carefully enter the following command to ensure that all of the WBEM DLLs are properly registered.

for /f %s in (‘dir /b /s *.dll’) do regsvr32 /s %s

-Also enter the following command to ensure that the provider host is properly registered.

wmiprvse /regserver

3. Stop the WMI service and rename the repository folder (WMI database) by entering the following commands. (WARNING: This step can potentially cause data loss. Read «Background Information» below for an alternative approach.)

if exist «repository.old» rmdir /s/q «repository.old»
net stop winmgmt /y
rename «repository» «repository.old»
net start winmgmt

-The above commands will cause WMI to rebuild the repository. After executing the above commands you should wait a few minutes (5 or so) before proceeding to give the rebuild process a chance to complete.

<< BACKGROUND INFORMATION >>
Renaming the repository folder causes WMI to rebuild the database. This can have some negative impact on the system. This is especially true if an application has stored static data in the repository. As an alternative to rebuilding the repository you can try
manually recompiling all of the default WMI MOFs and MFLs using the following command. (Note: This can take a while to complete.)

for /f %s in (‘dir /b *.mof *.mfl’) do mofcomp %s

-In either case, if the system in question hosts Exchange 2000 you should also run the following additional commands after the WMI service is verified to be back up and stable (see below). Once again, all of these commands are executed from the %windir%system32wbem
folder.

mofcomp exwmi.mof
mofcomp -n:rootcimv2applicationsexchange wbemcons.mof
mofcomp -n:rootcimv2applicationsexchange smtpcons.mof
mofcomp exmgmt.mof

4. Verify that the WMI service is back up by using WBEMTEST to execute a WMI query against the CIMV2 namespace.
a. Start -> Run -> Open : WBEMTEST
b. Click «Connect»
c. Enter «rootcimv2» for namespace and click «Connect»
d. Click «Enum Instances…»
e. Enter «Win32_OperatingSystem» and click «OK»
f. Double click on the returned instance to view data
g. Click «Close», click «Close», click «Exit»

-The above test ensures that the repository was successfully rebuilt. As an alternative to the above test you could also simply execute the following VBS script (i.e.
cscript os.vbs).

set WMI = GetObject(«WinMgmts:»)
set objs = WMI.InstancesOf(«Win32_OperatingSystem»)
for each obj in objs
WScript.Echo obj.GetObjectText_
next

-If you receive errors with the above script (or WBEMTEST procedure) you can try manually recompiling all of the MOFs and MFLs as described in Step 3 (above).

5. From the console prompt (in %windir%system32wbem folder), ensure that the RSOP namespaces are rebuilt by executing the following commands.
mofcomp rsop.mof
mofcomp rsop.mfl

<< BACKGROUND INFORMATION >>

The RSOP classes depend on the corresponding providers being properly registered under HKEY_CLASSES_ROOTCLSID. These providers are as follows.

— Rsop Planning Mode Provider
%SystemRoot%system32rsopprov.exe
CLSID = {F0FF8EBB-F14D-4369-bd2e-d84fbf6122d6}

— Rsop Logging Mode Provider
%SystemRoot%system32userenv.dll
CLSID = {B3FF88A4-96EC-4cc1-983F-72BE0EBB368B}

6. Change to the SYSTEM32 folder (cd «%windir%system32») and execute the following command to make sure that the RSOP providers are properly configured.

regsvr32 /n /i userenv.dll

7. Reboot system.

For more information please refer to following MS articles:

«Error: Access Denied» Error Message When You Run the Ggpresult.exe Tool
http://support.microsoft.com/kb/322852
HOW TO: Set WMI Namespace Security in Windows Server 2003
http://support.microsoft.com/kb/325353

Lawrence Lv

TechNet Community Support