एप्लाइड जीपीओ और आरएसओपी डेटा की जांच के लिए जीपीआरएसल्ट कमांड का उपयोग करना

GPResult.exe कमांड-लाइन टूल का उपयोग नीति के परिणामी सेट (RSoP) को प्राप्त करने के लिए किया जाता है जो एक सक्रिय निर्देशिका डोमेन में उपयोगकर्ता और/या कंप्यूटर पर लागू होता है। GPResult आपको डोमेन नीतियों (GPO) की एक सूची प्रदर्शित करने की अनुमति देता है जो कंप्यूटर और उपयोगकर्ता, नीति सेटिंग्स, GPO प्रसंस्करण समय और त्रुटियों पर लागू होती हैं। यह विंडोज़ में सेटिंग्स का विश्लेषण करने और समूह नीति समस्याओं के निवारण के लिए सबसे अधिक उपयोग किया जाने वाला व्यवस्थापक उपकरण है। इस लेख में, हम इस पर एक नज़र डालेंगे कि निदान, डीबग, और सक्रिय निर्देशिका डोमेन में विंडोज़ पर लागू समूह नीति सेटिंग्स का विश्लेषण करें।

समूह नीति परिणाम (GPResult.exe) कमांड का उपयोग कैसे करें?

जिस कंप्यूटर पर आप समूह नीति के अनुप्रयोग की जाँच करना चाहते हैं, उस पर आपको GPResult कमांड चलाना होगा। GPResult का सिंटैक्स है:

GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]

किसी विशिष्ट उपयोगकर्ता या कंप्यूटर पर लागू समूह नीतियों के बारे में विस्तृत जानकारी प्राप्त करने के लिए, साथ ही साथ GPO अवसंरचना से संबंधित अन्य सेटिंग्स (परिणामस्वरूप GPO नीति सेटिंग्स, RsoP), कमांड प्रॉम्प्ट खोलें और यह कमांड चलाएँ:
Gpresult /r
इस आदेश के परिणाम दो खंडों में विभाजित हैं:

• कंप्यूटर सेटिंग - अनुभाग में कंप्यूटर पर लागू जीपी ऑब्जेक्ट्स की जानकारी होती है (एक सक्रिय निर्देशिका ऑब्जेक्ट के रूप में);
• उपयोगकर्ता सेटिंग - यह एक उपयोगकर्ता नीति अनुभाग है (विज्ञापन उपयोगकर्ता के खाते पर लागू नीतियां)।

आइए संक्षेप में GPResult आउटपुट में बुनियादी सेटिंग्स/अनुभागों को कवर करें जो प्रशासकों के लिए रुचिकर हो सकते हैं:

• साइट का नाम - एडी साइट का नाम है जहां कंप्यूटर स्थित है;
• सीएन - पूर्ण विहित उपयोगकर्ता/कंप्यूटर नाम जिसके लिए RSoP डेटा जेनरेट किया गया था;
• पिछली बार समूह नीति लागू की गई थी - वह समय है जब समूह नीति सेटिंग अंतिम बार लागू की गई थी (अपडेट की गई);
• समूह नीति . से लागू की गई थी - डोमेन नियंत्रक नाम है जिससे पिछले जीपीओ संस्करण डाउनलोड किए गए हैं;
• डोमेन नाम और डोमेन प्रकार - सक्रिय निर्देशिका डोमेन स्कीमा का नाम और संस्करण संख्या है;
• अनुप्रयुक्त समूह नीति ऑब्जेक्ट - लागू जीपीओ की सूचियां हैं;
• निम्न जीपीओ लागू नहीं किए गए क्योंकि उन्हें फ़िल्टर कर दिया गया था
• उपयोगकर्ता निम्नलिखित सुरक्षा समूहों का हिस्सा है - डोमेन सुरक्षा समूहों की एक सूची जिसका उपयोगकर्ता सदस्य है।

इस उदाहरण में, आप देख सकते हैं कि 4 समूह नीतियां उपयोगकर्ता ऑब्जेक्ट पर लागू होती हैं।

• कैश्ड क्रेडेंशियल अक्षम करें;
• डीएनएस प्रत्यय खोज सूची;
• Windows फ़ायरवॉल सक्षम करें;
• डिफ़ॉल्ट डोमेन नीति।

रिपोर्ट में स्थानीय समूह नीति संपादक (gpedit.msc के माध्यम से कॉन्फ़िगर की गई स्थानीय नीति सेटिंग्स के बारे में जानकारी भी होगी। )।

आप केवल उपयोगकर्ता या कंप्यूटर नीतियों को प्रदर्शित करने के लिए /स्कोप विकल्प का उपयोग कर सकते हैं:
gpresult /r /scope:user
या केवल लागू कंप्यूटर नीतियां:
gpresult /r /scope:computer
यदि आप गैर-व्यवस्थापक उपयोगकर्ता खाते के अंतर्गत किसी कंप्यूटर ऑब्जेक्ट पर लागू GPO की सूची प्राप्त करने का प्रयास करते हैं, तो gpresult कमांड एक एक्सेस अस्वीकृत त्रुटि लौटाएगा:
gpresult /r /scope:computer

ERROR: Access Denied.

RSOP डेटा को पार्स करने और विश्लेषण करने की सुविधा के लिए, आप Gpresult परिणामों को क्लिपबोर्ड पर पुनर्निर्देशित कर सकते हैं:
Gpresult /r |clip
या एक टेक्स्ट फ़ाइल:
Gpresult /r > c:\ps\gpresult.txt
अधिक विस्तृत RSoP जानकारी प्रदर्शित करने के लिए, आपको /z . जोड़ना होगा कुंजी:
Gpresult /r /z
उदाहरण के लिए, स्क्रीनशॉट डोमेन पासवर्ड नीति सेटिंग दिखाता है जो कंप्यूटर पर लागू होती हैं।

RSoP रिपोर्ट को GPResult के साथ HTML में निर्यात करना

GPResult आपको लागू परिणामी नीतियों (Windows 7 और नए में उपलब्ध) पर एक HTML रिपोर्ट जेनरेट करने की अनुमति देता है। इस रिपोर्ट में समूह नीतियों द्वारा निर्धारित सभी सिस्टम सेटिंग्स और उन्हें सेट करने वाले जीपीओ के नाम के बारे में विस्तृत जानकारी है। Gpresult HTML रिपोर्ट संरचनात्मक रूप से सेटिंग . के समान है समूह नीति प्रबंधन कंसोल में टैब (gpmc.msc ) आप निम्न gpresult कमांड का उपयोग करके RSoP HTML रिपोर्ट जेनरेट कर सकते हैं:
GPResult /h c:\PS\gpo-report.html /f
यदि आप HTML फ़ाइल के लिए पूर्ण पथ निर्दिष्ट नहीं करते हैं, तो gpresult HTML रिपोर्ट %WINDIR%\system32 में सहेजी जाएगी फ़ोल्डर।

रिपोर्ट जनरेट करने और उसे ब्राउज़र में स्वचालित रूप से खोलने के लिए, निम्न कमांड चलाएँ:
GPResult /h GPResult.html & GPResult.html
gpresult HTML रिपोर्ट में काफी उपयोगी जानकारी है:आप GPO को त्रुटियों को लागू करते हुए, किसी विशिष्ट नीति के लिए संसाधन समय (ms में) और CSE (कंप्यूटर विवरण -> घटक स्थिति अनुभाग में) देख सकते हैं। यह तब उपयोगी होता है जब आपको यह समझने की आवश्यकता होती है कि GPO प्रसंस्करण में लंबा समय क्यों लगता है।

उदाहरण के लिए, ऊपर के स्क्रीनशॉट में आप देख सकते हैं कि E पासवर्ड इतिहास लागू करें नीति सेटिंग के साथ “24 पासवर्ड याद रहे” डिफ़ॉल्ट डोमेन नीति द्वारा लागू किया जाता है (जीपीओ जीतना कॉलम)।

एक HTML रिपोर्ट आपको कंप्यूटर GPO के परिणामी सेट को सुविधाजनक ग्राफिकल रूप में प्रस्तुत करने की अनुमति देती है।

GPResult:किसी दूरस्थ कंप्यूटर से RSOP डेटा प्राप्त करना

GPResult एक दूरस्थ कंप्यूटर से नीतियों का एक परिणामी सेट प्राप्त कर सकता है और साथ ही स्थानीय रूप से या RDP के माध्यम से दूरस्थ डिवाइस पर लॉग इन करने की आवश्यकता नहीं है।
GPResult /s remote-pc-name1 /r
gpresult विकल्पों का उपयोग करके आप किसी दूरस्थ कंप्यूटर से कनेक्ट करने के लिए उपयोगकर्ता नाम और पासवर्ड निर्दिष्ट कर सकते हैं:

gpresult /R /S wks2b21c /scope user /U corp\jsmith /P myPaSSw0rd1!

यदि आप नहीं चाहते कि आपका पासवर्ड पावरशेल कमांड इतिहास में सहेजा जाए, तो आप अंतःक्रियात्मक रूप से पासवर्ड के लिए संकेत दे सकते हैं:

gpresult /R /S wks2b21c /scope user /U corp\jsmith /P

इसी तरह, आप उपयोगकर्ता और कंप्यूटर दोनों नीतियों पर दूरस्थ रूप से डेटा एकत्र कर सकते हैं।

यदि आप किसी ऐसे उपयोगकर्ता का नाम नहीं जानते हैं जो किसी दूरस्थ कंप्यूटर पर लॉग इन है, तो आप इस तरह का उपयोगकर्ता नाम प्राप्त कर सकते हैं:

qwinsta /SERVER:wks2b21c

Get-GPResultantSetOfPolicy -user jsmith -computer corp\wks2b21c -reporttype html -path c:\ps\gpo_rsop_report.html

GPResult:उपयोगकर्ता के पास RSoP डेटा नहीं है

जब यूएसी सक्षम होता है और गैर-उन्नत मोड में GPResult का उपयोग किया जाता है, तो समूह नीतियों का केवल उपयोगकर्ता सेटिंग अनुभाग दिखाया जाता है। यदि आपको दोनों अनुभागों (उपयोगकर्ता सेटिंग्स और कंप्यूटर सेटिंग्स) को प्रदर्शित करने की आवश्यकता है, तो कमांड को व्यवस्थापकीय विशेषाधिकारों के साथ कमांड प्रॉम्प्ट में चलना चाहिए।

यदि किसी खाते की ओर से एक उन्नत कमांड प्रॉम्प्ट चलाया जाता है जो वर्तमान उपयोगकर्ता से अलग है, तो उपकरण चेतावनी दिखाएगा:जानकारी:उपयोगकर्ता "डोमेन\उपयोगकर्ता" के पास RSOP डेटा नहीं है . ऐसा इसलिए होता है क्योंकि GPResult उस उपयोगकर्ता का डेटा एकत्र करने का प्रयास करता है जिसने इसे शुरू किया है, लेकिन चूंकि इस उपयोगकर्ता ने लॉग इन नहीं किया है, इसलिए उसके लिए कोई RSOP जानकारी नहीं है। सक्रिय सत्र वाले उपयोगकर्ता के लिए आरएसओपी जानकारी एकत्र करने के लिए, आपको उसका खाता निर्दिष्ट करना होगा:
gpresult /r /user:corp\edward

साथ ही, क्लाइंट पर समय (और समय क्षेत्र) की जांच करें। समय FSMO PDC भूमिका (प्राथमिक डोमेन नियंत्रक) चलाने वाले डोमेन नियंत्रक के समय से मेल खाना चाहिए।

निम्न GPO को इसलिए लागू नहीं किया गया क्योंकि उन्हें फ़िल्टर कर दिया गया था

लागू समूह नीतियों का समस्या निवारण करते समय, यह अनुभाग पर ध्यान देने योग्य है:निम्न GPO को लागू नहीं किया गया क्योंकि उन्हें फ़िल्टर कर दिया गया था . इसमें GPO की सूची है जो किसी भी कारण से इस ऑब्जेक्ट पर लागू नहीं होते हैं। यहाँ कुछ कारण दिए गए हैं कि GPOs एक विशिष्ट Active Directory ऑब्जेक्ट पर क्यों लागू नहीं होते हैं:

• फ़िल्टरिंग:लागू नहीं (खाली) - पॉलिसी खाली है (लागू करने के लिए कुछ भी नहीं है);
• फ़िल्टरिंग:अस्वीकृत (अज्ञात कारण) - किसी उपयोगकर्ता/कंप्यूटर के पास इस नीति को पढ़ने/लागू करने की कोई अनुमति नहीं होने की संभावना है। समूह नीति प्रबंधन कंसोल (gpmc.msc) के सुरक्षा टैब में अनुमतियों को कॉन्फ़िगर किया जा सकता है );
• फ़िल्टरिंग:अस्वीकृत (सुरक्षा) — खंड में स्पष्ट इनकार निर्दिष्ट किया गया है समूह नीति लागू करें , या कोई AD ऑब्जेक्ट GPO के सुरक्षा फ़िल्टरिंग अनुभाग में समूहों की सूची में नहीं है।

आप यह भी देख सकते हैं कि AD में किसी संगठनात्मक इकाई (OU) पर GPO लागू किया जाना चाहिए या GPMC में प्रभावी अनुमति टैब (उन्नत -> प्रभावी पहुँच) पर किसी विशिष्ट वस्तु पर लागू किया जाना चाहिए।

नीतियों का परिणामी सेट (RSOP.msc) विंडोज़ में स्नैप-इन

प्रारंभ में, ग्राफिकल कंसोल RSOP.msc विंडोज़ में लागू समूह नीतियों का निदान करने के लिए इस्तेमाल किया गया था। यह एमएमसी स्नैप-इन आपको कंप्यूटर और उपयोगकर्ता पर लागू परिणामी नीतियों (डोमेन + स्थानीय) की सेटिंग्स को जीपीओ संपादक कंसोल के समान ग्राफिकल रूप में प्राप्त करने की अनुमति देता है। RSOP.msc नीचे दिए गए स्क्रीनशॉट पर कंसोल दिखाता है कि विंडोज अपडेट सेटिंग्स WSUS_SERVERS नीति द्वारा कॉन्फ़िगर की गई हैं।

आप आधुनिक Windows संस्करणों में लागू GPO का पूरी तरह से विश्लेषण करने के लिए RSOP.msc का उपयोग नहीं कर सकते। यह क्लाइंट साइड एक्सटेंशन (CSE) के माध्यम से लागू सेटिंग्स नहीं दिखाता है, जैसे GPP (ग्रुप पॉलिसी प्रेफरेंस), खोजों की अनुमति नहीं देता है, और बहुत कम नैदानिक ​​जानकारी प्रदान करता है। rsop.msc running चलाते समय Windows 10 और 11 पर, एक चेतावनी थी कि आपको पूर्ण GPO रिपोर्ट प्राप्त करने के लिए gpresult का उपयोग करना चाहिए।

Starting with Vista, the Resultant Set of Policies (RSoP) report does not show all Microsoft Group Policy settings. To see the full set of Microsoft Group Policy settings applied for a computer or user, use the command-line tool gpresult.

इस लेख में, हमने देखा कि विंडोज में लागू होने वाली परिणामी समूह नीतियों का विश्लेषण करने के लिए GPResult कमांड का उपयोग कैसे करें। इसके अलावा, डोमेन में GPO के समस्या निवारण के लिए निम्न मार्गदर्शिका सहायक हो सकती है:"सामान्य समस्याएं जो ग्राहकों पर समूह नीति को लागू होने से रोकती हैं"।