使用 GPResult 命令检查应用的 GPO 和 RSoP 数据

GPResult.exe 命令行工具用于获取应用于 Active Directory 域中的用户和/或计算机的策略结果集 (RSoP)。 GPResult 允许您显示应用于计算机和用户的域策略 (GPO)、策略设置、GPO 处理时间和错误的列表。它是分析 Windows 中的设置和解决组策略问题最常用的管理员工具。

在本文中，我们将了解如何使用 GPResult 命令来诊断、调试和分析应用于 Active Directory 域中的 Windows 的组策略设置。

如何使用组策略结果 (GPResult.exe) 命令？

您必须在要检查组策略应用情况的计算机上运行 GPResult 命令。 GPResult 的语法是：

GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]

要获取有关应用于特定用户或计算机的组策略的详细信息，以及与 GPO 基础结构相关的其他设置（生成的 GPO 策略设置，RsoP），请打开命令提示符并运行以下命令：

Gpresult /r

该命令的结果分为两部分：

• 计算机设置 - 该部分包含有关应用于计算机的 GP 对象（作为 Active Directory 对象）的信息；

• 用户设置 - 这是用户策略部分（应用于 AD 用户帐户的策略）。

让我们简要介绍一下管理员可能感兴趣的 GPResult 输出中的基本设置/部分：

• 站点名称 - 是计算机所在的AD站点的名称；

• CN - 为其生成 RSoP 数据的完整规范用户/计算机名称；

• 上次应用组策略 - 是上次应用（更新）组策略设置的时间；

• 组策略应用自 - 是从中下载最新 GPO 版本的域控制器名称；

• 域名和域类型 - 是 Active Directory 域架构的名称和版本号；

• 应用的组策略对象——是应用的GPO的列表；

• 以下 GPO 未应用，因为它们已被过滤掉

• 用户是以下安全组的一部分 - 用户所属的域安全组列表。

在此示例中，您可以看到 4 个组策略应用于用户对象。

• 禁用缓存凭证

• DNS 后缀搜索列表；

• 启用Windows防火墙；

• 默认域策略。

该报告还将包含有关通过本地组策略编辑器配置的本地策略设置的信息（

gpedit.msc

）。

您可以使用 /scope 选项仅显示用户或计算机策略：

gpresult /r /scope:user

或仅应用计算机策略：

gpresult /r /scope:computer

如果您尝试获取应用于非管理员用户帐户下的计算机对象的 GPO 列表，gpresult 命令将返回访问被拒绝错误：

gpresult /r /scope:computer

ERROR: Access Denied.

为了方便解析和分析RSOP数据，可以将Gpresult结果重定向到剪贴板：

Gpresult /r |clip

或文本文件：

Gpresult /r > c:\ps\gpresult.txt

要显示更详细的RSoP信息，您需要添加/z键：

Gpresult /r /z

例如，屏幕截图显示了应用于计算机的域密码策略设置。

使用 GPResult 将 RSoP 报告导出为 HTML

GPResult 允许您生成有关所应用的结果策略的 HTML 报告（在 Windows 7 及更高版本中可用）。此报告包含有关组策略设置的所有系统设置以及设置这些设置的 GPO 名称的详细信息。 gpresult HTML 报告在结构上类似于组策略管理控制台中的设置选项卡 (

gpmc.msc

）。您可以使用以下 gpresult 命令生成 RSoP HTML 报告：

GPResult /h c:\PS\gpo-report.html /f

如果您不指定 HTML 文件的完整路径，则 gpresult HTML 报告将保存到

%WINDIR%\system32

文件夹。

要生成报告并自动在浏览器中打开它，请运行以下命令：

GPResult /h GPResult.html & GPResult.html

gpresult HTML 报告包含大量有用信息：您可以查看 GPO 应用错误、特定策略的处理时间（以毫秒为单位）和 CSE（在“计算机详细信息”->“组件状态”部分）。当您需要了解为什么 GPO 处理需要很长时间时，这非常有用。

例如，在上面的屏幕截图中，您可以看到默认域策略（获胜 GPO 列）应用了带有设置“记住 24 个密码”的Enforce 密码历史记录策略。

HTML 报告允许您以方便的图形形式呈现计算机 GPO 的结果集。

GPResult：从远程计算机获取 RSOP 数据

GPResult 还可以从远程计算机获取策略结果集，无需本地登录或通过 RDP 登录到远程设备。

GPResult /s remote-pc-name1 /r

您可以使用 gpresult 选项指定连接到远程计算机的用户名和密码：

gpresult /R /S wks2b21c /scope user /U corp\jsmith /P myPaSSw0rd1!

如果您不希望将密码保存在 PowerShell 命令历史记录中，可以以交互方式提示输入密码：

gpresult /R /S wks2b21c /scope user /U corp\jsmith /P

同样，您可以远程收集有关用户和计算机策略的数据。

如果您不知道登录远程计算机的用户名，您可以获取如下用户名：

qwinsta /SERVER:wks2b21c

可以使用 PowerShell 生成类似于 gpresult 命令生成的 RSOP HTML 报告。要从远程计算机获取结果策略报告，请使用 GroupPolicy 模块中的 Get-GPResultantSetOfPolicy cmdlet：

Get-GPResultantSetOfPolicy -user jsmith -computer corp\wks2b21c -reporttype html -path c:\ps\gpo_rsop_report.html

GPResult：用户没有 RSoP 数据

当启用 UAC 并在非提升模式下使用 GPResult 时，仅显示组策略的用户设置部分。如果需要显示两个部分（用户设置和计算机设置），则必须以管理员权限在命令提示符中运行该命令。

如果代表与当前用户不同的帐户运行提升的命令提示符，该工具将显示警告：信息：用户“domain\user”没有 RSOP 数据。发生这种情况是因为 GPResult 尝试收集启动它的用户的数据，但由于该用户尚未登录，因此没有他的 RSOP 信息。要收集具有活动会话的用户的 RSOP 信息，您需要指定他的帐户：

gpresult /r /user:corp\edward

另外，检查客户端上的时间（和时区）。该时间必须与运行 FSMO PDC 角色（主域控制器）的域控制器上的时间匹配。

以下 GPO 未应用，因为它们已被过滤掉

对所应用的组策略进行故障排除时，值得注意以下部分：以下 GPO 未应用，因为它们已被过滤掉。它包含因任何原因未应用于该对象的 GPO 列表。以下是 GPO 未应用于特定 Active Directory 对象的一些原因：

• 过滤：未应用（空） - 策略为空（没有任何内容可应用）；

• 过滤：拒绝（未知原因）-用户/计算机可能没有读取/应用此策略的权限。可以在组策略管理控制台的“安全”选项卡中配置权限（

  gpmc.msc

  ）；

• 过滤：拒绝（安全）-在“应用组策略”部分中指定了显式拒绝，或者 AD 对象不在 GPO 的“安全过滤”部分的组列表中。

您还可以查看 GPO 是否应应用于 AD 中的组织单位 (OU) 或 GPMC 中有效权限选项卡（高级 -> 有效访问）上的特定对象。

Windows 中的策略结果集 (RSOP.msc) 管理单元

最初，图形控制台

RSOP.msc

用于诊断 Windows 中应用的组策略。此 mmc 管理单元允许您以类似于 GPO 编辑器控制台的图形形式获取应用于计算机和用户的结果策略（域 + 本地）的设置。这

RSOP.msc

下面屏幕截图中的控制台显示 Windows 更新设置是由 WSUS_SERVERS 策略配置的。

您无法使用 RSOP.msc 来全面分析现代 Windows 版本中应用的 GPO。它不显示通过客户端扩展 (CSE) 应用的设置，例如 GPP（组策略首选项），不允许搜索，并且提供很少的诊断信息。跑步时

rsop.msc

在 Windows 10 和 11 上，出现警告，提示您应该使用 gpresult 来获取完整的 GPO 报告。

Starting with Vista, the Resultant Set of Policies (RSoP) report does not show all Microsoft Group Policy settings. To see the full set of Microsoft Group Policy settings applied for a computer or user, use the command-line tool gpresult.

在本文中，我们了解了如何使用 GPResult 命令来分析 Windows 中应用的结果组策略。此外，以下指南可能有助于对域中的 GPO 进行故障排除：“阻止将组策略应用于客户端的常见问题”。