Hangi GPO’ların uygulandığını kontrol etmek için GPResult aracını kullanma


GPResult.exe, Active Directory etki alanındaki bir bilgisayara ve/veya kullanıcıya uygulanan grup ilkesi ayarlarını analiz etmek ve teşhis etmek için tasarlanmış bir konsol yönetim aracıdır. Özellikle, GPResult, GPO işlemi sırasında hatalarla ilgili RSOP (Resultant Set of Policy) verisini, uygulanan domain ilkelerini (GPO), ayarlarını ve ayrıntılı bilgileri almanızı sağlar. Bu araç, Windows XP’den beri Windows işletim sisteminin bir parçasıdır. GPResult aracı, bu tür soruları yanıtlamanıza olanak tanır.

Bu makalede, Active Directory etki alanındaki Grup İlkelerini debug etmek için GPResult komutunun kullanım ayrıntılarına bakacağız.

Önceki Windows sürümlerinde, RSOP.msc grafik konsolu, istemci tarafındaki grup ilkelerinin uygulanmasını tanılamak için kullanıldı. Bu da, sonuçta ortaya çıkan grafik ayarlarını (domain ve local), bilgisayara ve kullanıcıya uygulanan grafik biçiminde elde etmenizi sağladı. Aşağıdaki ekran görüntüsündeki RSOP.msc konsolu, Windows güncelleme ayarlarının WSUS_SERVERS politikası tarafından belirlendiğini göstermektedir.

Ancak, modern Windows sürümlerindeki RSOP.msc konsolunun kullanılması pratik değildir. Çünkü çeşitli grup politikası uzantıları (istemci tarafı uzantıları – CSE), GPP (Group Policy Preferences), ayarlar arasında arama yapmanıza izin vermez. Çok fazla bilgi sağlamaz (Windows 10’da bile, RSOP’un GPResult’dan farklı olarak tam bir rapor vermediğine dair bir uyarı görüntülenir). Bu nedenle, bugün GPResult komutu Windows’da GPO tanılama gerçekleştiren birincil araçtır.

Group Policy Results (GPResult.exe) aracı nasıl kullanılır?

Grup ilkelerinin uygulanıp uygulanmadığını kontrol etmek istediğiniz bilgisayarda GPResult komutu çalıştırılmalıdır. GPResult komutunda aşağıdaki sözdizimi bulunur.

GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) [/F]]

GPO altyapısı (sonuçtaki GPO ilke ayarları – RsoP) ile ilgili diğer parametrelerle birlikte, bir kullanıcı veya bir bilgisayara uygulanan grup ilkeleri hakkında ayrıntılı bilgi almak için şu komutu çalıştırın.

Gpresult / r

Bu komutun sonuçları iki bölüme ayrılmıştır.

Computer Settings – Bilgisayara uygulanan GPO nesneleri (Active Directory nesnesi olarak) hakkındaki bilgileri içerir.

User Settings – Bu bir kullanıcı politikası bölümüdür. AD kullanıcısı hesabına uygulanan ilkeleri içerir.

GPResult çıktısında bizim için ilgi çekici olabilecek temel ayarları kısaca ele alalım.

  • Site Name – bilgisayarın bulunduğu AD sitesinin adı
  • CN – RSoP verilerinin üretildiği full canonical user/computer adı
  • Last time Group Policy was applied – grup politikalarının en son uygulandığı zaman
  • Group Policy was applied from – son GPO sürümünden yüklenen etki alanı denetleyicisi adı
  • Domain Name and Domain Type – Active Directory etki alanı şemasının adı ve sürüm numarası
  • Applied Group Policy Objects – uygulanan Grup İlkesi nesnelerinin listesi
  • The following GPOs were not applied because they were filtered out – uygulanmayan veya filtrelenmiş GPO’lar
  • The user is a part of the following security groups – kullanıcının üyesi olduğu etki alanı grupları

Bu örnekte, kullanıcı nesnesine 4 grup ilkesinin uygulandığını görebilirsiniz.

  • Disable Cached Credentials
  • DNS Suffix Search List
  • Enable Windows Firewall
  • Default Domain Policy

Kullanıcı ve bilgisayar ilkeleri hakkında aynı anda bilgi görüntülemek istemiyorsanız, yalnızca gereksinim duyduğunuz bölümü görüntülemek için /scope seçeneğini kullanabilirsiniz.

gpresult /r /scope:user

Veya sadece uygulanan bilgisayar politikaları için;

gpresult /r /scope:computer

Gpresult aracı, verilerini doğrudan komut satırında gösterdiğinden, daha fazla analiz için her zaman uygun değildir. Sonuç çıktısı clipboard’a yönlendirilebilir.

Gpresult /r |clip

Veya bir metin dosyasına yönlendirilebilir.

Gpresult /r > c:\ps\gpresult.txt

Ayrıntılı RSOP bilgilerini görüntülemek için /z parametresini eklemeniz gerekir.

Gpresult /r /z

GPResult kullanarak RSoP HTML raporu oluşturma

GPResult, uygulanan sonuç politikaları hakkında bir HTML raporu da oluşturabilir (Windows 7 ve üstü sürümlerde mevcuttur). Bu rapor, Grup İlkeleri tarafından belirlenen tüm sistem ayarları ve bunları ayarlayan belirli GPO’ların adları hakkında ayrıntılı bilgileri içerir (bu rapor Group Policy Management Console’deki Settings sekmesine benzemektedir – gpmc.msc). Aşağıdaki komutu kullanarak GPResult HTML raporunu oluşturabilirsiniz.

GPResult /h c:\PS\gpo-report.html /f

Raporu oluşturmak ve otomatik olarak bir tarayıcıda açmak için aşağıdaki komutu çalıştırın.

GPResult /h GPResult.html & GPResult.html

Gpresult HTML raporunda oldukça fazla bilgi bulunur. GPO’lar uygulayıcılarını, belirli politikalar ve CSE’ler için işlem süresini ms cinsinden (Computer Details -> Component Status bölümünde) görebilirsiniz. Örneğin, yukarıdaki ekran görüntüsünde , “Enforce password history policy (Winning GPO bölümünde) ile “24 passwords remembered” ayarlarıyla parola geçmişi ilkesini uyguladığınızı görebilirsiniz . Gördüğünüz gibi, gpresult HTML raporu, uygulanan politikaları analiz etmek için rsop.msc’den çok daha uygundur.

Uzak bir bilgisayarda GPResult nasıl çalıştırılır?

GPResult, uzak bir bilgisayardan da yerel olarak veya RDP üzerinden uzak sisteme giriş yapmaya gerek kalmadan verileri toplayabilir. RSOP’u uzaktaki bir bilgisayarda çalıştırmak için aşağıdaki komutu kullanabilirsiniz.

GPResult /s remote-pc-name /r

Benzer şekilde, hem kullanıcı hem de bilgisayar politikaları hakkında verileri uzaktan görüntüleyebilirsiniz.

The User Does Not Have RSoP Data (Kullanıcı RSoP verisine sahip değil)

UAC etkinleştirildiğinde ve GPResult yükseltilmemiş modda kullanıldığında, yalnızca grup ilkelerinin kullanıcı ayarları bölümü gösterilir. Gösterilecek iki bölüme (user settings ve computer settings) ihtiyacınız varsa, komut satırı penceresini yönetici olarak çalıştırmalısınız. Geçerli kullanıcıdan farklı bir hesap adına yükseltilmiş ayrıcalıklara sahip bir kullanıcı ile komut istemi çalıştırılırsa, araç şu uyarıyı gösterir: INFO: The user “domain\user” does not have RSOP data. GPResult, başlatılan kullanıcının verilerini toplamaya çalıştığından, ancak bu kullanıcının oturumu olmadığından, onun için bir RSOP bilgisi olmadığı ile ilgili hata mesajı karşımıza çıkar. Etkin bir oturuma sahip bir kullanıcıdan RSOP bilgilerini toplamak için hesabını belirtmeniz gerekir.

gpresult /r /user:sa\edward

Uzak bir bilgisayarda oturum açmış bir hesabın adını bilmiyorsanız, bunun gibi bir kullanıcı adı alabilirsiniz.

qwinsta /SERVER:remotePC1

Ayrıca, istemcideki saati (ve saat dilimini ) de kontrol edebilirsiniz. Zaman, PDC’deki (Primary Domain Controller) zamanla eşleşmelidir.

Filtrelendikleri için aşağıdaki GPO’lar uygulanmadı

Grup ilkelerinde ki sorunları giderirken, The following GPOs were not applied because they were filtered out mesajına dikkat etmemiz gerekir. Aşağıdaki GPO’lar filtrelendikleri için uygulanmadılar. Herhangi bir nedenle bu nesneye uygulanmayan GPO’ların listesini içerir. Politikaların uygulanmamasının bazı nedenleri şunlardır.

Filtering: Not Applied (Empty) – politika boş (uygulanacak hiçbir şey yok)

Filtering: Denied (Unknown Reason) – bir kullanıcının/bilgisayarın bu ilkeyi okuma/uygulama izni yoktur (izinler Güvenlik İlkesi sekmesinde (Group Policy Management Console) yapılandırılabilir.

Ayrıca, ilkenin GPMC’deki etkin izinler sekmesini (Advanced -> Effective Access) kullanarak belirli bir AD nesnesine uygulanıp uygulanmayacağını da ayarlayabilirsiniz.

Filtering: Denied (Security) – Apply Group Policy bölümünde açık bir reddetme belirtildi veya bir AD nesnesi GPO’nun Security Filtering bölümündeki gruplar listesinde yok.

Bu makalede, GPResult aracını kullanarak grup politikalarının uygulanmasını ve bunları kullanmanın temel senaryolarını ele aldık.

KAYNAKACTIVE DIRECTORY