如何使用 GPResult 验证组策略

---

当您管理 Windows 网络时，您可能会使用组策略来预设 Windows 设置，并确定用户可以做什么和不能做什么。要验证设置是否应用于客户端，我们可以使用 GPResult 工具，但它到底是如何工作的呢？

测试新策略总是有点挑战性，您尝试使用 GPUpdate 将新策略拉取到客户端，甚至可能重新启动，但您如何知道策略是否已应用？哪些策略甚至适用于用户或计算机？

在本文中，我们将了解 GPResult 命令以及如何使用它来验证策略设置。

使用 GPResult 命令

gpresult 命令显示用户和/或计算机的策略结果集 (RSoP)。策略可以相互推翻，应用于所有用户的设置可以通过分配给一小部分用户的特定策略来取消。因此 RSoP 将向您显示实际分配的策略设置。

笔记

值得一提的是，当您在用户上下文中运行该命令时，它将仅显示登录用户的策略。要查看计算机策略，您需要使用提升的终端或以管理员身份登录，稍后会详细介绍。

因此，我们将从基础知识开始，审查所应用的用户策略。当您以用户身份登录时，可以在 PowerShell 或 Windows 终端中运行以下命令来查看应用的 GPO：

GPResult /r

结果将在控制台中输出，这里有几点需要注意：

1. 用户的专有名称还表明用户所在的 OU。

2. 上次更新策略的时间以及来自哪个域控制器

3. 应用组策略对象，这些策略是有效的

4. 过滤掉的政策

策略每 90 分钟自动更新一次，但您可以使用 GPUpdate 命令强制更新。当您想要检查是否应用了策略时，请确保检查上次应用策略的时间以及从哪个服务器提取策略。当您有多个域控制器时，您最近的组策略更改可能尚未同步到其他服务器。

建议

确保您还检查了 Windows 10 和 11 中的内置 RSoP 实用程序。此工具使策略故障排除变得更加容易！

空的和禁用的策略将被过滤掉。您可以在由浅灰色图标管理的组策略中识别已禁用的策略。

GP成绩计算机

当您以域用户身份运行 gpresult 命令时，您可能已经注意到计算机策略未显示。这是因为用户没有访问计算机策略的权限。因此，要查看计算机范围，我们需要使用提升的提示符。

• 右键单击“开始”或按Windows 键 + X

• 选择Windows 终端（管理员）或 PowerShell（管理员）

如果您现在运行命令gpresult /r，您将首先获得计算机设置（您可能需要向上滚动一点），然后是用户设置。请注意，用户设置来自管理员帐户，而不是登录用户！

RSOP data for LAZYADMIN\Administrator on LA-WIN11-LAB03 : Logging Mode
-----------------------------------------------------------------------

OS Configuration:            Member Workstation
OS Version:                  10.0.22000
Site Name:                   Default-First-Site-Name
Roaming Profile:             N/A
Local Profile:               C:\Users\administrator
Connected over a slow link?: No

COMPUTER SETTINGS
------------------
    CN=LA-WIN11-LAB03,OU=Computers,OU=Amsterdam,OU=Sites,DC=a-d,DC=nl
    Last time Group Policy was applied: 9/15/2022 at 12:47:29 PM
    Group Policy was applied from:      LazySrvLab02.a-d.site
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        LAZYADMIN
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
        CPO_Win11_Settings
        CPO_Bitlocker_Settings
        Default Domain Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        BUILTIN\Users
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        This Organization
        LA-WIN11-LAB03$
        Domain Computers
        Authentication authority asserted identity
        System Mandatory Level


USER SETTINGS
--------------
    CN=Administrator,CN=Users,DC=a-d,DC=nl   ### USER IS ADMINISTRATOR!
    Last time Group Policy was applied: 9/15/2022 at 9:53:05 AM
    Group Policy was applied from:      LazySrvLab02.a-d.site
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        LAZYADMIN
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The user is a part of the following security groups

对于计算机设置，我们看到与用户设置相同的结构。最后一次应用策略时，哪些策略有效，哪些策略被过滤掉。

现在说实话，这并不是最理想的组合。您正在运行两个查询，需要自己合并结果。您想要的是计算机设置和用户设置在一个概览中。

指定 GPResult 的用户

GPResult 命令允许我们指定要查询策略的用户。此选项与提升的提示相结合，使我们能够在一个概览中同时获取用户和计算机设置。

为了指定用户，我们将使用 /USER 参数。指定的用户必须至少登录计算机一次，然后才能收集 RSoP 数据。

# Gather the RSoP data for the user Zoe Tucker
gpresult /USER ztucker /R

正如您在上面的屏幕截图中看到的，我们首先有计算机设置，下面是用户设置。

如果您只想查看用户的计算机设置，您还可以指定范围。范围可以是USER或COMPUTER：

gpresult /USER ztucker /SCOPE Computer /R

# Or limit to user scope:
gpresult /USER ztucker /SCOPE USER /R

获取远程计算机的 GPResult

要获取用户的策略结果，您不需要访问计算机。因为我们还可以使用 /S 参数从远程计算机获取应用的策略。例如，要从计算机 LA-WIN11-LAB03 为用户 Zoe Tucker 获取应用的策略，我们可以使用以下命令：

笔记

我们使用参数 /user 而不是 /u。当您想要在另一个用户上下文中运行命令时使用后者，例如以管理员身份运行。通过 /user，我们可以指定要从中检索 RSoP 数据的用户。

gpresult /S LA-WIN11-LAB03 /user ztucker /R

查看更多信息

到目前为止，我们仅查看了最后一次应用组策略的时间以及应用了哪些组策略对象。但有时您需要更多信息，例如，策略中进行了哪些实际设置。为此，我们可以使用 /V 或 /Z 参数。

通过 /V 参数，我们可以获得详细信息，其中提供了有关策略的其他详细信息。 /Z 是超级详细参数，它还将显示在多个位置进行的设置。

gpresult /v

详细参数的结果并不总是像您想要的那样可读。例如，默认域策略包含密码期限设置。通过 verbose 选项，我们可以清楚地看到它是如何配置的。

但是，如果我们查看 UPO_IT 策略，我们可以看到配置了哪些设置，但看不到实际设置。因此，详细参数确实为我们提供了更多信息，但我建议将它们与导出到 HTML 选项结合使用。

将 GPResult 导出为 HTML

因此，为了使 gpresult 数据更具可读性，我们可以将结果导出到 HTML 文件。 HTML 文件的格式与组策略管理控制台中的“设置”选项卡相同。导出为 HTML 时，无需指定 /R 或详细参数 /Z 或 /V 之一。它将为您生成一个详细的 HTML，其中包含您需要的所有详细信息。您确实需要指定路径和文件名：

gpresult /USER ztucker /H c:\temp\gpresult-ztucker.html

如果文件名已经存在，您可能会收到错误消息。要覆盖文件，您可以使用 /f 参数强制覆盖现有文件。

包起来

gpresult 工具是验证哪些组策略对象应用于计算机和用户的好方法。使用导出 HTML 选项可以轻松地将应用的策略与组策略管理控制台中分配的策略进行比较。

检查策略的另一个出色工具是 RSoP 实用程序。这使您可以像组策略管理工具一样查看所有应用的策略设置。您还可以在服务器上的组策略管理控制台中生成组策略结果，请确保也选中该选项。

如果您有任何疑问，请在下面发表评论！