如何使用 RSOP 检查应用的 GPO 设置

当您在数百甚至数千台目标计算机上应用 Active Directory (AD) 组策略对象 (GPO) 时，它们可能需要一段时间才能收到它。您如何知道计算机何时收到新策略或检索更新的策略设置？使用 RSOP 工具。

RSOP 工具或策略结果集是一个内置的 Windows 工具，可让您发现哪些策略设置应用于本地和远程计算机。如果您想知道 GPO 在您的 PC 上设置什么配置，请继续阅读！

让我们开始吧。

先决条件

本教程将运行几个不同的演示。如果您想继续操作，请确保您具备以下条件：

• Active Directory 域 - 任何版本的 AD 都可以使用。本教程将使用名为 HomeLab.Local 的域。
• 一台已加入域的 Windows PC，至少应用了一个 GPO 以测试本地 GPO。本教程将使用名为 Win10VM1 的 PC。
• 如果您想远程运行 RSOP，则需要第二台加入域的 Windows PC。本教程将使用名为 Win10VM3 的 PC。
• TCP 端口 445、135、RPC 动态端口以及远程计算机上打开的所有 WMI 端口。您可以创建一个名为“组策略报告防火墙端口”的入门 GPO，以确保所有端口均已打开。
• 本地 PC 和远程 PC 上的本地管理员权限。
• 具有配置了拒绝权限的 AD 组的 GPO。 DeniedGPOUsers 本教程将使用未添加任何用户且拒绝权限的 AD 组。

RSOP 工具是什么？

当您将 GPO 分配给 Active Directory 中的计算机时，该计算机应该连接到域控制器，并且根据定义的 GPO 刷新间隔，很快就会看到该 GPO 并尝试应用该 GPO 定义的设置。

当计算机应用 GPO 设置时，这些策略设置将使用 Windows Management Instrumentation (WMI) 存储在计算机上的公共信息管理对象模型 (CIMOM) 数据库中。要检查这些应用的设置，请运行 RSOP 工具。 RSOP 工具生成有关为 PC 上的用户和计算机应用（或计划）的策略的报告。

RSOP 非常适合对存在多个相互冲突的策略的实例进行故障排除。使用 RSOP，您可以检查哪些 GPO 优先并覆盖另一个 GPO。

模式

RSOP 有两种不同的模式来帮助您发现 GPO 如何影响目标计算机；记录和计划模式。

• 日志记录模式 - RSOP 最常见的用途，用于为所有登录用户和计算机本身生成有关所有应用策略的报告。
• 规划模式 - RSOP 的一种不太常见的用途，允许您模拟如果应用了一个或多个 GPO，则哪些设置将应用于计算机。例如，规划模式可以确定当用户移动到不同的 AD 组时会发生什么。

使用 RSOP 检查本地应用的 GPO

现在让我们开始一些 RSOP 的实践演示。首先，我们来介绍一下如何启动 RSOP 工具以及您可以看到哪些类型的信息。

在本地加入域的 Windows PC 上，以管理员身份打开命令提示符或 PowerShell 窗口。

如果您不以管理员身份运行命令提示符或 PowerShell，RSOP 将无权访问计算机设置（仅限登录用户设置）。当您运行 RSOP 时，您将收到一条错误消息，指示您没有足够的权限。

接下来，运行命令 rsop.msc。此操作将打开 RSOP MMC 管理单元。

当您启动 RSOP 时，它将立即开始读取所有应用的策略并生成报告。 RSOP 默认为日志记录模式。下面您将看到在名为 WIN10VM1 的计算机上运行 RSOP 的结果，该计算机以名为 LabAdmin 的用户身份登录。

展开每个文件夹，您将看到应用于该特定用户或计算机的所有 GPO 中的每个设置。

如果您没有看到最近创建的 GPO 的预期 GPO 设置，请在 PC 上运行 gpupdate /force 命令手动刷新策略设置。

例如，您将在下面看到分配给 PC 上的用户登录的名为 HostName.bat 的本地策略。该策略内部有一个名为 HostName.bat 的批处理文件，位于用户配置 —> Windows 设置 —> 脚本 —> 登录下。

在配置了本地策略的计算机上运行 RSOP，您将看到应用的登录脚本以及应用它的策略名称。

使用 RSOP 的规划模式测试策略更改

也许您已准备好向许多计算机推出重要的 GPO。您可以通过立即将其应用到所有计算机来“在生产中进行测试”，或者您可以使用 RSOP 的规划模式。

使用计划模式，如果您将 GPO 应用于计算机，则可以模拟许多不同的场景，例如：

• 目标电脑的网络连接速度较慢
• 您启用环回处理
• 目标 PC 应用了许多 GPO 以测试策略优先级
• 用户登录目标 PC 或计算机帐户位于不同的 AD 组中，并且 AD 组被拒绝授予 GPO 权限。
• 用户或计算机在域、OU 甚至 AD 站点之间移动。
• WMI 筛选器应用于 OU

规划模式将帮助您考虑 GPO 可能向您抛出的所有条件变量。

要在计划模式下运行 RSOP：

1. 打开命令提示符或提升的 PowerShell 控制台并键入 mmc。这将打开 MMC 控制台。

请注意，在此实例中您不能简单地运行 rsop.msc。更改 RSOP 模式的唯一方法是添加 MMC 管理单元，正如您将看到的。

2. 在 MMC 控制台中，打开“文件”菜单，然后单击“添加/删除管理单元”，如下所示。

3. 在添加或删除管理单元对话框中，选择策略结果集 ，然后单击添加到将管理单元从左侧窗口移动到右侧窗口。

4. 接下来，右键单击策略结果集 MMC 管理单元，如下所示，单击生成 RSOP 数据，然后单击下一步跳过介绍步骤。

5. 在模式选择屏幕上，选择计划模式，然后单击“下一步”进入计算机选择屏幕。

6. 接下来，单击用户信息下的浏览，选择可能受即将发布的 GPO 影响的用户。另外，单击计算机信息下的容器和浏览，选择将包含该用户可能登录的PC的OU。

在下面的屏幕截图中，模拟将提供名为 HOMELAB\User01 的用户登录 桌面 VM OU 中的任何计算机时将收到的所有设置。

7. 现在，如果您想模拟更多情况，请选择选项：

• 组策略的慢速链接检测
• 环回处理 - 选择替换或合并将替换/合并用户策略设置和计算机策略设置，以防发生冲突。
• 站点 - 模拟登录到 AD 站点的桌面。

完成后点击下一步。

8. 如果您不打算将 GPO 直接应用到用户或计算机所在的 OU，请单击浏览以更改任一对象的 OU。完成后，单击下一步。

在第六步中，您定义了用户和目标计算机所在的 OU。在这里，您定义了计划应用 GPO 的 OU。

9. 现在，通过单击“添加”输入您计划让用户加入的 AD 组。在本教程中，用户将位于 DeniedGPOUsers 组中。

您将在下面看到 DeniedGPOUsers 组被拒绝应用此 GPO。

10. 接下来，在本教程中，将逐步完成用于定义 WMI 筛选器和计算机组的屏幕。但是，如果您确实计划在 GPO 上设置 WMI 筛选器，或者拒绝/允许计算机帐户所在的 AD 组应用 GPO，则可以进行这些模拟更改。

11. 最后，在摘要屏幕上查看所有详细信息。保持“收集扩展错误信息”选项处于启用状态，然后单击“下一步”。 当您启用扩展错误信息选项时，RSOP 管理单元在执行查询时会收集更多错误信息。此错误消息包括影响策略实施的网络或 AD 问题。启用此选项可能会大大增加处理模拟的时间，但如果发生错误，将提供更详细的信息。

生成RSOP控制台后，右键单击计算机配置或用户配置节点，然后单击属性。然后单击“错误信息”选项卡以查看模拟策略时生成的任何错误。

12. RSOP 完成后，浏览“计算机配置”和“用户配置”下的文件夹以验证所应用的策略。

您会在下面看到两个窗口；在左侧，您将看到应用的实际 GPO（日志记录模式下的 RSOP），在右侧，您将看到如果用户从 DeniedGPOUsers AD 组中删除，RSOP 会是什么样子。

使用 RSOP 检查远程应用的 GPO

为了避免必须访问每台计算机的本地控制台，RSOP 还允许您远程检查日志记录和计划模式的设置。在此演示中，教程将使用日志记录模式。

1. 通过运行上面使用 RSOP 的规划模式测试策略更改部分中的步骤 1-4 来打开 RSOP。

2. 在“模式选择”屏幕上，选择“日志记录”模式，然后单击“下一步”进入“计算机选择”屏幕。

3. 在计算机选择屏幕上，选择另一台计算机，因为您将查询远程计算机，然后单击浏览。。

4. 在选择计算机框中，输入远程电脑名称，然后单击检查名称。此操作将搜索计算机的 AD 计算机帐户。如果找到，它将在 PC 名称下划线，如下所示。

5. 在计算机选择屏幕上单击下一步。在这里，您可以选择不在结果中显示所选计算机的策略设置...，但您将检查计算机和用户设置。

6. 接下来，选择您想要检查其应用的用户策略的用户。您将看到至少登录过远程计算机一次的用户列表。

从列表中选择一个用户，然后单击下一步。

请注意，当前用户选项呈灰色。 RSOP 不支持查找远程登录用户。您必须明确选择一个。

7. 取消选中收集扩展错误信息复选框。单击“下一步”继续。 RSOP 现在将连接到远程计算机并尝试检索所选用户和计算机的所有 RSOP 设置。

8. 完成后单击完成。

9. 现在，您将看到与检查本地设置时完全相同的 MMC 管理单元。但这一次，设置来自远程电脑。

结论

当您需要快速查找针对计算机或用户的所有已应用 GPO 设置时，RSOP 工具非常方便。使用此工具可以让您查看应用的设置；不仅仅是针对特定计算机或用户的 GPO 的所有设置。

您认为自己未来会在哪些方面使用 RSOP？