Выполнение результирующего набора запросов политики с помощью инструмента GPRESULT

Одна из вещей, которые мне всегда нравились в среде Active Directory, заключается в том, что вы можете получить такой детальный контроль над поведением вашей сети с помощью групповых политик. Однако групповые политики могут стать обоюдоострым мечом. При неправильном применении групповых политик могут возникнуть всевозможные неожиданные побочные эффекты.

Обычно побочные эффекты неподходящего параметра групповой политики не представляют большой проблемы, если вы работаете с серверами в собственной сети. В конце концов, вы знакомы с тем, как обычно ведет себя ваша сеть. Если вы меняете параметр групповой политики, и Windows начинает вести себя странно, это довольно хороший признак того, что вы определили новый параметр неправильно или в неподходящем месте, и, вероятно, вам нужно вернуться и посмотреть, что пошло не так.

Однако, если вы консультант, работающий с сетями других людей, вы обычно не можете позволить себе роскошь близкого знакомства с конфигурацией сети. Если вас вызовут для диагностики проблемы в сети клиента, вы сможете определить, что проблема связана с групповой политикой, за считанные минуты. Однако может потребоваться несколько дней, чтобы выяснить, какой именно элемент групповой политики вызывает проблему, потому что групповая политика может быть очень сложной.

Хорошей новостью является то, что существует инструмент для устранения неполадок под названием GPRESULT, который можно использовать для гораздо более быстрой диагностики сложных проблем групповой политики. Этот инструмент изначально был частью комплекта ресурсов Windows 2000 Server. Однако когда Microsoft создала Windows XP, они расширили возможности инструмента и включили его в операционную систему.

Зачем использовать GPRESULT?

Единственный способ, которым вы можете по-настоящему оценить инструмент GPRESULT, — это понять, сколько работы он вам экономит. Я хочу сэкономить много места для обсуждения инструмента GPRESULT, поэтому я не хочу вдаваться в полномасштабное обсуждение Active Directory и всех его тонкостей. Тем не менее, я хочу уделить немного времени и объяснить, что делает групповые политики такими сложными, для всех, кто плохо знаком с сетями Windows.

Что вы должны понимать об Active Directory, так это то, что, хотя различные элементы Active Directory хранятся в основном на контроллерах домена, Active Directory представляет собой не плоскую структуру, а скорее иерархическую структуру. Чтобы помочь Active Directory хорошо масштабироваться для более крупных сетей, Microsoft разработала Active Directory таким образом, чтобы групповые политики можно было применять на нескольких уровнях иерархии Active Directory.

Первый уровень, к которому применяются групповые политики, — это локальный компьютер. Машины под управлением Windows 2000, XP и 2003 имеют встроенную локальную политику безопасности. Локальная политика безопасности — это тип групповой политики, который позволяет компьютерам оставаться в безопасности, даже если они не вошли в домен. Групповые политики также можно применять в Active Directory на уровне сайта, домена и организационного подразделения. Групповая политика не обязательно должна существовать во всех четырех местах, но может быть.

Когда существует несколько групповых политик, Windows объединяет групповые политики в так называемую эффективную политику. Windows делает это, начиная с самого низкого уровня (локальный компьютер) и работая до самого высокого уровня (организационная единица). По мере обработки различных групповых политик они объединяются для формирования эффективной политики. Если какие-либо параметры в рамках двух или более политик противоречат друг другу, то политика более высокого уровня имеет приоритет над политикой более низкого уровня для противоречащего параметра.

Поначалу способ обработки групповых политик может показаться не таким сложным. Однако сложность действительно проявляется в том, что на каждом уровне может применяться несколько политик. Кроме того, существуют параметры групповой политики, которые применяются к текущему пользователю, вошедшему в систему, в то время как другие параметры групповой политики применяются к рабочей станции. Поэтому возможно, что политика пользователя разрешает какое-то действие, а политика компьютера запрещает его, или наоборот.

Я хочу сказать, что групповая политика содержит сотни, если не тысячи опций, которые можно установить (если кто-то удосужился сосчитать их все, вам придется написать мне по электронной почте и сообщить, сколько их). Однако то, что вы установили параметр групповой политики, не означает, что установленный вами элемент политики когда-либо вступит в силу. Это может быть отфильтровано политикой более высокого уровня. Если вы пытаетесь устранить неполадки в незнакомой сети, вы можете потратить очень много времени, пытаясь отследить какой-то непонятный параметр групповой политики, который вызывает проблемы, если только вы не используете GPRESULT или аналогичный инструмент.

Использование GPRESULT

GPRESULT — это инструмент командной строки. Вы можете получить к нему доступ непосредственно из командной строки Windows, набрав GPRESULT. Когда вы вводите команду GPRESULT, вам будет представлена информация о групповой политике для текущего пользователя на текущем компьютере. Вам не нужно указывать какие-либо переключатели, чтобы получить эту информацию. Однако существуют переключатели, которые предоставят вам информацию о групповой политике для другого пользователя или компьютера. Вы также можете запросить более подробную информацию с помощью переключателей. Синтаксис команды GPRESULT следующий:

gpresult [ /s Компьютер [ /u ДоменПользователь /p Пароль ]] [ /user Имя ЦелевогоПользователя ] [ /scope { пользователь | компьютер }] [ /v ] [ /z ]

Параметры

/s Компьютер: указывает имя или IP-адрес удаленного компьютера. (Не используйте обратную косую черту.) По умолчанию используется локальный компьютер.

/u Домен Пользователь: Запускает команду с разрешениями учетной записи пользователя, указанного в параметрах Пользователь или Домен Пользователь. По умолчанию используются разрешения текущего пользователя, вошедшего в систему на компьютере, выдающем команду.

/p Пароль: указывает пароль учетной записи пользователя, указанной в параметре /u.

/user TargetUserName: указывает имя пользователя, чьи данные RSOP должны отображаться.

/scope {пользователь|компьютер}: отображает результаты пользователя или компьютера. Допустимые значения параметра /scope: пользователь или компьютер. Если вы опустите параметр /scope, gpresult отобразит настройки как пользователя, так и компьютера.

/v: указывает, что выходные данные отображают подробную информацию о политике.

/z: указывает, что выходные данные отображают всю доступную информацию о групповой политике. Поскольку этот параметр предоставляет больше информации, чем параметр /v, при использовании этого параметра вывод перенаправляется в текстовый файл (например, gpresult /z >policy.txt ).

/?: Отображает справку в командной строке.

Просмотр вывода

Когда вы вводите команду GPRESULT, Windows отображает три разные категории информации; информация об операционной системе, настройках компьютера и пользовательских настройках. Прежде чем я покажу вам, как выглядит вывод, имейте в виду, что я основываю информацию, которую показываю вам, на сети с очень простой конфигурацией (только локальные политики и политики домена по умолчанию). Если вы устраняете неполадки в сети с расширенной информацией о безопасности, вы можете рассчитывать на получение более подробной информации.

Настройки операционной системы

Часть настроек операционной системы вывода GPRESULT в основном предназначена для предоставления вам небольшой информации об анализируемой машине. И сеть, к которой он подключен. Одна вещь, которую вы должны знать об этом разделе, заключается в том, что он может немного вводить в заблуждение. В приведенном ниже образце вывода вы заметите, что GPRESULT сообщает мне, что моя тестовая машина подключена к домену Windows 2000. На самом деле я подключен к домену Windows Server 2003. В моей сети нет ни одного Windows 2000 Server. Просто этот инструмент был разработан до выпуска Windows 2003. Вот как выглядит этот раздел вывода:

Инструмент результатов групповой политики операционной системы Microsoft (R) Windows (R) XP версии 2.0
Авторское право (C) Microsoft Corp. 1981-2001

Создано 02.03.2005 в 21:04:59

Результаты RSOP для PRODUCTIONAdministrator на STEWIE: режим ведения журнала
———————————————————————
Тип ОС: Microsoft Windows XP Professional
Конфигурация ОС: рядовая рабочая станция
Версия ОС: 5.1.2600
Доменное имя: ПРОИЗВОДСТВО
Тип домена: Windows 2000
Имя сайта: Имя сайта по умолчанию
Перемещаемый профиль:
Локальный профиль: C:Documents and SettingsAdministrator.PRODUCTION.
000
Подключены по медленному каналу?: Нет

Настройки компьютера

Если вы посмотрите на пример вывода ниже, вы увидите, что в разделе параметров компьютера указано, какие объекты групповой политики были применены к компьютеру. Он также предоставляет информацию о том, какие объекты групповой политики были отфильтрованы и к каким группам безопасности принадлежит компьютер. Вывод выглядит примерно так:

НАСТРОЙКИ КОМПЬЮТЕРА
——————
CN=STEWIE,CN=Компьютеры,DC=производство,DC=com
Последнее применение групповой политики: 02.03.2005, 21:01:36.
Групповая политика была применена с: tazmania.production.com
Порог медленного соединения групповой политики: 500 кбит/с

Применяемые объекты групповой политики
——————————
Политика домена по умолчанию

Следующие объекты групповой политики не были применены, поскольку они были отфильтрованы.
———————————————————————
Локальная групповая политика
Фильтрация: не применяется (пусто)

Компьютер входит в следующие группы безопасности:
———————————————————
ВСТРОЕННЫЕАдминистраторы
Каждый
ВСТРОЕННЫЕПользователи
ПОЛНОМОЧИЯ NTСЕТЬ
NT AUTHORITYАутентифицированные пользователи
СТЬЮИ$
Компьютеры домена

Пользовательские настройки

Раздел настроек пользователя предоставляет вам в основном тот же тип информации, что и раздел настроек компьютера. Единственное отличие состоит в том, что информация относится к пользователю, а не к компьютеру. Помните, что существуют совершенно разные параметры групповой политики для пользователей и компьютеров. Пример вывода выглядит следующим образом:

ПОЛЬЗОВАТЕЛЬСКИЕ НАСТРОЙКИ
—————
CN=Администратор,CN=Пользователи,DC=производство,DC=com
Последнее применение групповой политики: 02.03.2005, 19:39:37.
Групповая политика была применена с сайта: tazmania.production.com
Порог медленного соединения групповой политики: 500 кбит/с

Применяемые объекты групповой политики
——————————
Политика домена по умолчанию

Следующие объекты групповой политики не были применены, поскольку они были отфильтрованы.
———————————————————————
Локальная групповая политика
Фильтрация: не применяется (пусто)

Пользователь входит в следующие группы безопасности:
——————————————————
Пользователи домена
Каждый
Пользователи отладчика
ВСТРОЕННЫЕПользователи
ВСТРОЕННЫЕАдминистраторы
NT AUTHORITYINTERACTIVE
NT AUTHORITYАутентифицированные пользователи
МЕСТНЫЙ
Администраторы домена
Администраторы предприятия
Владельцы создателей групповой политики
Администраторы схемы

Вывод

В этой статье я объяснил, что устранение неполадок, связанных с групповой политикой, может быть чрезвычайно утомительным из-за количества потенциальных объектов групповой политики и того, что некоторые объекты могут переопределять другие объекты. Затем я продолжил объяснять, как инструмент GPRESULT, входящий в состав Windows XP, может упростить громоздкий процесс устранения неполадок.