如何使用 GPResult 工具验证应用的 GPO

您是否曾经将组策略对象 (GPO) 应用到 Active Directory 组织单位 (OU) 并想要验证它们是否已应用？如果是这样，您需要了解 gpresult 命令。

扫描您的 AD，查找 930 多个被泄露的密码。下载 Specops Password Auditor，这是一款免费的只读工具，可识别与密码相关的漏洞。

在本教程中，您将了解如何使用 gpresult 命令验证本地和远程 Windows 计算机上的组策略设置。

让我们开始吧！

先决条件

如果您想按照本教程中的示例进行操作，请确保您具备以下条件：

• Active Directory 域。任何版本都可以。本教程将使用名为 HomeLab.Local 的域。
• 一台加入域的 Windows PC，至少应用了一个 GPO。如果您想了解如何远程调用 gpresult，您将需要第二台加入域的 PC。本教程将使用两台名为 Win10VM1 和 Win10VM2 的 Windows 10 计算机。
• 本地 PC 和远程 PC 上的本地管理员权限。

了解 GPResult 命令

GPResult 是内置于 Windows 中的命令行工具，可针对应用于加入域的计算机的基于用户和基于计算机的策略生成策略报告。

当 Active Directory 管理员将 GPO 分配给 OU 时，该 OU 中的计算机或用户会签入以应用这些设置。当目标计算机收到 GPO 时，gpresult 就发挥作用了。

每台计算机实际接收和应用这些设置的时间取决于组策略刷新间隔。

gpresult 实用程序允许您在这些目标计算机上运行命令，以确认您认为应该实际应用的 GPO。

获取有关 GPResult 的帮助

与许多其他命令行实用程序一样，gpresult 有一个简单的内置帮助系统。这个帮助系统可以让您轻松找到所有那些难以记住的开关。

您只需运行不带任何开关的 gpresult 即可找到 gpresult 提供的所有开关，如下所示。当您想知道参数的作用时，不要再回到这篇文章，请记住内置帮助的存在！

检索策略结果集 (RSOP) 数据

运行不带参数的 gpresult 只会显示帮助信息。您需要它来检索一些信息！首先，我们首先介绍一下 /r 开关或策略结果集的工作原理。

策略结果集 (RSOP) 是一个组策略插件，允许您查询组策略的各个方面。 RSOP 是发现分配给计算机的策略结果的好方法。

GPResult 以日志记录模式显示 RSOP 数据，其中包括用户和计算机 OU 路径、域名、AD 组成员身份、安全设置以及为用户和计算机应用的 GPO 等策略设置。 >

要使用 gpresult 查询 RSOP 数据，请以管理员身份打开 cmd.exe 或 PowerShell。使用 /r 开关调用 gpresult，如下所示。

Gpresult /R

您可以在下面看到，除其他外，gpresult 返回特定计算机 (计算机设置) 的所有 GPO 以及针对将登录到该计算机的所有用户的 GPO ( 用户设置）。

您可以在非管理员命令提示符下运行 gpresult /R，但它只会显示应用于运行该命令的用户的策略。

变得更细化：查找详细的应用组策略信息

如果您只需要了解哪些 GPO 应用于特定计算机或该计算机上的用户，则从 /r 开关获取的 RSOP 数据将起作用。但 RSOP 数据仅限于此。 RSOP 数据不提供诸如登录脚本的上次执行时间、创建 GPO 的注册表项等信息。

要发现 gpresult 可以提供的尽可能多的信息，请使用 /v 或 verbose 开关，如下所示。

Gpresult /V

仅查看 /v 提供的所有信息。这是很多信息！

查看下面的 /r 和 /v 中的差异。您将看到 /r 仅提供 GPO 名称，而 /v 提供登录脚本文件名以及上次在计算机上执行脚本的时间。

将 GPresult 限制为用户或基于计算的设置

如前所述，默认情况下，gpresult 返回用户和基于计算机的设置。有时，尤其是在管理具有数百个设置的 GPO 时，输出量可能会变得难以承受。

如果您只需要查找应用于计算机或用户的设置，gpresult 允许您使用 /scope 限制查询的范围范围。通过指定 computer 或 user 作为 /scope 参数参数，gpresult 将仅返回应用于所有用户的设置或计算机。

要查看 computer 范围内所有策略的 RSOP 数据，请运行以下命令。

Gpresult /R /Scope computer

只为所有用户以详细模式查找所有策略怎么样？

Gpresult /V /Scope user

除了 /r 和 /v 等其他开关之外，还可以使用 /scope 参数来限制任一命令的范围。

如果您以管理员身份运行cmd.exe或PowerShell并调用GPResult，它将返回所有用户的组策略设置。如果您使用/scope user开关，它将删除基于计算机的设置，但仍会返回所有用户的设置。

如果您需要将设置限制为同时登录的单个用户，请使用 /user 参数，后跟所需的用户名作为参数。

Gpresult /R /user user01

如果您尝试查询不存在的用户的 RSOP 数据，GPResult 将返回消息用户“”没有 RSOP 数据。

导出 GPresult 输出

有时仅将信息返回到命令行控制台是不够的。也许您需要构建报告或与其他人分享结果。在这种情况下，您需要将结果导出为其他格式。

您可以通过几种不同的方式导出 GPResult 输出。

将结果导出到文本文件

将结果导出到文件的最简单方法之一是使用命令提示符或 PowerShell 的输出重定向功能。通过使用重定向运算符 > 将命令行结果“管道”到一个文件，后跟一个文本文件名，该文本将包含您在控制台中看到的内容。

以下命令将返回所有 RSOP 数据并创建一个名为 C:\Temp\RsopReport.txt 的文件，其中包含 GPResult 命令的全部结果。

Gpresult /R > c:\Temp\RsopReport.txt

将结果导出到 HTML 或 XML 文件

与从命令提示符到文本文件的本机重定向不同，您还可以生成应用的策略信息并将其保存到 HTML 或 XML 文件。使用 /H 开关（对于 HTML）或 /X 开关（对于 XML），后跟请求的 HTML 文件的路径，GPResult 将创建一个格式良好的 HTML带有输出的文件。

Gpresult /H c:\Temp\RsopData.html
Gpresult /X c:\Temp\RsopXMLRreport.xml

如果文件已经存在，GPResult将返回错误。使用 /F 开关强制 GPResult 覆盖现有文件。

远程运行 GPResult

在本教程中，您一直在本地运行 GPResult。使用 /s 参数，GPResult 还可以远程运行检索所有相同的组策略设置。

例如，要查找至少登录过一次删除的 win10vm1 计算机的用户 user01 的 RSOP 数据，您可以运行以下命令：

gpresult /R /S win10vm1 /user user01

也许您登录的计算机无权查询远程计算机上的组策略信息。在这种情况下，除非您指定备用凭据，否则 GPResult 将失败。

使用 /U（用户名）和 /P（密码）参数指定备用凭据，如下所示。

gpresult /R /S win10vm1 /scope user /U homelab\MyLabAdmin /P password

您的 Active Directory 中是否潜藏着泄露的密码？下载 Specops 密码审核器并免费扫描密码漏洞！

结论

您现在应该知道如何使用 GPResult 命令来查询本地和远程计算机上应用的组策略设置。这个方便的命令是任何 Active Directory 管理员的工具库中一个很棒的发现和故障排除工具。

下次当您发现自己想知道“如何确认加入域的计算机已应用我期望的 GPO？”时，您会使用什么工具？