如何使用 RSoP 检查组策略

---

对组策略进行故障排除可能是一项艰巨的任务。您在组策略管理编辑器中所做的更改并不总是立即反映在客户端上。您现在可能正在使用 GPResult 来验证策略。但更简单的方法是使用 RSoP 管理控制台。

当您想要快速检查哪些策略应用于客户端以及上次更新的时间时，GPResult 工具非常有用。但是，当您更改策略内的设置并想要验证它们是否已应用时，RSoP 工具是更好的选择。除了显示现有设置外，它还可以用于规划新的政策变化。

在本文中，我们将了解 RSoP 管理控制台。如何将其用于现有政策和规划变更。

使用 RSoP 实用程序

RSoP（策略结果集）实用程序收集所有用户和计算机策略信息。该工具的伟大之处在于它以与组策略管理编辑器相同的格式显示策略。这使得比较政策变得更加容易。

我们可以在用户上下文中或以提升的权限运行该实用程序。当您在用户上下文中运行它时，仅收集用户策略，而不收集计算机策略。那么让我们看看如何检查所有用户策略：

1. 按 Windows 键 + R（或右键单击“开始”并选择“运行”）

2. 输入rsop.msc
   您可能会收到错误消息，由于权限不足，无法生成计算机的数据。只需点击关闭即可继续。

RSoP 的控制台看起来与组策略管理控制台类似。但除此之外，您无法更改 RSoP 实用程序中的任何设置，您还会注意到您只能看到配置的设置。

对于下面的示例，我配置了用于设置 PowerShell 执行策略的用户策略 (UPO_Win11_Settings)。您将在下面的组策略管理编辑器中看到该策略：

如果我们查看 RSoP 实用程序，我们可以通过导航到策略来验证设置：用户配置 > 管理模板 > Windows 组件 > Windows PowerShell：

我们可以看到“打开脚本执行”设置已启用，您还可以打开该设置并查看其配置方式。

查看策略优先级

当涉及到策略时，策略的优先级决定了应用哪个策略。如果您在 RSoP 工具中打开策略，则可以单击优先级选项卡并查看在哪个策略中进行了设置，以及在存在多个策略的情况下哪一个有效。 （最上面的政策才是有效的）

在此示例中，用户策略 UPO_IT 中所做的设置会否决 UPO_Win11_Settings 中的 PowerShell 执行策略设置。因此，在对策略进行故障排除时，请确保还检查优先级选项卡！

查看 RSoP 中应用的策略

很多人不知道的是，除了有效的策略设置之外，您还可以在RSoP中查看已应用的策略、过滤的策略以及有错误的策略。我们仍然在用户上下文模式下运行 RSoP 工具，但这也适用于计算机配置。因此，让我们首先展示哪些策略被应用和被过滤掉。

1. 右键单击用户配置（您可以对计算机配置执行相同的操作）

2. 选择属性

3. 启用显示所有 GPO 和过滤状态

默认情况下，您只会看到已应用的策略，但是当您启用“显示全部…”(3) 时，我们还可以看到哪些策略被过滤掉，例如它们被禁用。

如果您想知道策略的链接位置，请启用“显示管理范围”选项。这将显示 OU 与策略的链接位置。

显示有错误的策略

打开“用户配置”属性后，您还可以查看包含错误的策略。打开错误信息选项卡检查您的策略中是否存在任何错误。在这种情况下，Internet Explorer 区域映射中的参数不正确。

不幸的是，它不会告诉您该设置是在哪个策略中进行的。

查看计算机配置

要查看计算机配置策略，您需要在本地计算机上拥有提升的（管理员）权限。执行此操作的一种方法是打开 Windows PowerShell (admin) 并从提升的 PowerShell 控制台运行 RSoP 实用程序。

• 右键单击开始或按Windows 键 + X

• 选择Windows PowerShell（管理员）或Windows Terminal（管理员）

• 输入rsop.msc并按回车键

您现在还将在策略结果集中看到计算机配置工具。唯一的问题是用户配置显示管理员帐户应用的策略。我们还可以通过打开 RSoP 的属性来验证这一点：

现在，如果您只想检查计算机配置，那么这并不是真正的问题。但如果您还想查看用户配置，那么我们将必须从管理控制台运行新的查询。

1. 右键单击导航树中的顶部记录。

2. 选择更改查询

1. 点击下一步，我们要查看这台计算机的策略

2. 选择选择特定用户并选择相关用户

1. 单击下一步两次，然后单击完成查看结果。

现在，我们将计算机配置策略和用户策略集中在一个概述中：

通过 RSoP 规划政策变更

RSoP 实用程序的另一个重要功能是，您可以在实际进行更改之前看到将计算机或用户移动到另一个 OU（组织单位）的效果。为此，我们需要在新的管理控制台中添加 RSoP 实用程序。

笔记

要使用计划模式，您需要拥有管理员权限。以管理员身份登录并按照下面的步骤 1 和 2 进行操作，或者以管理员身份打开第一个 PowerShell 并键入 MMC 以打开新的管理控制台（并继续执行步骤 3）。

1. 按 Windows 键 + R（或右键单击开始

2. 选择运行并输入MMC
   这将打开一个新的空管理控制台。

3. 单击文件并选择添加或删除管理单元

4. 向下滚动并选择策略结果集，然后单击添加，完成后单击“确定”

1. 右键单击结果策略集

2. 选择生成 RSoP 数据

1. 将打开一个新向导，单击下一步开始

2. 选择计划模式

用户和计算机选择

我们现在处于用户和计算机选择屏幕。在这里我们可以确定要模拟哪种场景。我们可以选择特定的用户和计算机、用户所在（或将要移动到）的容器以及计算机的容器。

这些选项允许您模拟用户登录到不同计算机时发生的情况，或者将计算机或用户移动到不同容器 (OU) 时发生的情况。对于我们的示例，我们将模拟将用户 Zoe Tucker 从 IT 容器移动到 Marketing 容器时发生的情况。我们让电脑保持原样。

最后一个设置，我们还可以模拟使用慢速网络连接时策略会发生什么，以及不同环回处理模式（替换或合并）的结果。在这种情况下，不要检查所有内容。

在接下来的屏幕中，我们可以验证用户和计算机位置、更改用户和计算机安全组，甚至删除在策略中设置的 WMI 过滤器。

最后一个屏幕是摘要，我们可以在其中查看所做的选择并选择要用于模拟的域控制器。当一切看起来正确时，单击“下一步”以生成最终的策略集。

查看结果

生成结果后，我们可以按照与组策略管理编辑器中或在正常模式下运行 RSoP 时相同的方式浏览策略。如果我们检查应用的用户配置策略，我们可以看到 IT 相关策略不再应用：

总结

就个人而言，我更喜欢 RSoP 实用程序而不是 GPResult 命令行工具。如果您想查看已应用的策略或上次应用的时间，后者非常有用，但是当您确实需要对组策略对象进行故障排除时，那么此工具会更加有用。

当然，RSoP 实用程序的规划模式也可用于从您自己的计算机查看其他用户或计算机的策略结果集。因此，在排除问题时，您不需要访问用户的计算机。您可以从自己的工作站查看所有结果。

我希望这篇文章对您有用，如果您有任何疑问，请在下面发表评论。