Cómo usar GPResult para verificar las políticas de grupo

Cuando administra una red de Windows, probablemente esté utilizando políticas de grupo para preestablecer la configuración de Windows y determinar qué puede y qué no puede hacer el usuario.

Para verificar si la configuración se aplica a los clientes, podemos usar la herramienta GPResult, pero ¿cómo funciona exactamente?

Probar nuevas políticas siempre es un poco desafiante, intenta llevar las nuevas políticas al cliente con GPUpdate, tal vez incluso un reinicio, pero ¿cómo sabe si las políticas se aplican? ¿Y qué políticas se aplican incluso al usuario oa la computadora?

En este artículo, vamos a echar un vistazo al comando GPResult y cómo podemos usarlo para verificar la configuración de la política.

Uso del comando GPResult

El comando gpresult muestra el Conjunto resultante de políticas (RSoP) para un usuario y/o computadora.

Las políticas pueden anularse entre sí, una configuración aplicada a todos los usuarios puede ser cancelada por una política específica que se asigna a un pequeño grupo de usuarios.

Entonces, el RSoP le mostrará la configuración real de las políticas asignadas.

Nota

Es bueno saber que cuando ejecuta el comando en un contexto de usuario, solo mostrará las políticas del usuario que inició sesión.

Para ver las políticas de la computadora, deberá usar una terminal elevada o iniciar sesión como Administrador, pero luego más sobre eso.

Así que vamos a empezar por lo básico, repasando las políticas de usuario aplicadas.

Cuando haya iniciado sesión como usuario, puede ejecutar el siguiente comando en PowerShell o Windows Terminal para ver los GPO aplicados:

GPResult /r

El resultado se mostrará en la consola, y hay algunas cosas importantes a tener en cuenta aquí:

gpresultado
gpresultado
  1. El nombre distinguido del usuario también indica la unidad organizativa en la que se encuentra el usuario.
  2. Última vez que se actualizaron las políticas y desde qué controlador de dominio
  3. Objeto de políticas de grupo aplicadas, estas políticas son efectivas
  4. Políticas filtradas

Las políticas se renuevan automáticamente cada 90 minutos, pero puede forzar una actualización con el comando GPUpdate.

Cuando desee verificar si se aplica una política, asegúrese de verificar la última vez que se aplicaron las políticas y de qué servidor se extrajeron.

Cuando tiene varios controladores de dominio, es posible que los cambios recientes en la política de grupo aún no se hayan sincronizado con el otro servidor.

Las políticas vacías y deshabilitadas se filtran. Puede reconocer las políticas deshabilitadas en la Política de grupo administrada por el icono gris más claro.

Equipo GPResult

Cuando ejecuta el comando gpresult como usuario de dominio, es posible que haya notado que las políticas de la computadora no se muestran.

Esto se debe a que el usuario no tiene permiso para acceder a las políticas de la computadora.

Entonces, para ver el alcance de la computadora, necesitaremos usar un indicador elevado.

  • Haga clic derecho en Inicio o presione Tecla de Windows + X
  • Elegir Terminal de Windows (administrador) o PowerShell (administrador)

Si ahora ejecuta el comando gpresult /r Primero obtendrá la configuración de la computadora (es posible que deba desplazarse un poco hacia arriba) seguida de la configuración del usuario.

¡Tenga en cuenta que la configuración del usuario es de la cuenta del administrador, no del usuario que inició sesión!

RSOP data for LAZYADMIN\Administrator on LA-WIN11-LAB03 : Logging Mode
-----------------------------------------------------------------------

OS Configuration:            Member Workstation
OS Version:                  10.0.22000
Site Name:                   Default-First-Site-Name
Roaming Profile:             N/A
Local Profile:               C:\Users\administrator
Connected over a slow link?: No

COMPUTER SETTINGS
------------------
    CN=LA-WIN11-LAB03,OU=Computers,OU=Amsterdam,OU=Sites,DC=lazyadmin,DC=nl
    Last time Group Policy was applied: 9/15/2022 at 12:47:29 PM
    Group Policy was applied from:      LazySrvLab02.lazyadmin.nl
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        LAZYADMIN
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
        CPO_Win11_Settings
        CPO_Bitlocker_Settings
        Default Domain Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        BUILTIN\Users
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        This Organization
        LA-WIN11-LAB03$
        Domain Computers
        Authentication authority asserted identity
        System Mandatory Level


USER SETTINGS
--------------
    CN=Administrator,CN=Users,DC=lazyadmin,DC=nl   ### USER IS ADMINISTRATOR!
    Last time Group Policy was applied: 9/15/2022 at 9:53:05 AM
    Group Policy was applied from:      LazySrvLab02.lazyadmin.nl
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        LAZYADMIN
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The user is a part of the following security groups

Para la configuración de la computadora, vemos la misma estructura que con la configuración del usuario.

Cuándo se aplicó la política por última vez, qué políticas son efectivas y cuáles se filtran.

Ahora, para ser honesto, esta no es la combinación más ideal. Está ejecutando dos consultas y necesita combinar el resultado usted mismo.

Lo que desea es la configuración de la computadora junto con la configuración del usuario en una descripción general.

Especifique el usuario para GPResult

El comando GPResult nos permite especificar el usuario que queremos consultar la política.

Esta opción, en combinación con un indicador elevado, nos permite obtener la configuración del usuario y la computadora en una sola descripción general.

Para especificar el usuario vamos a utilizar el /USER parámetro.

El usuario especificado debe haber iniciado sesión al menos una vez en la computadora antes de que pueda recopilar los datos de RSoP.

# Gather the RSoP data for the user Zoe Tucker
gpresult /USER ztucker /R
computadora gpresult
gpresult computadora y usuario

Como puede ver en la captura de pantalla anterior, primero tenemos la configuración de la computadora y, a continuación, la configuración del usuario.

Si solo desea ver la configuración de la computadora del usuario, también puede especificar el alcance. El alcance puede ser USER o COMPUTER:

gpresult /USER ztucker /SCOPE Computer /R

# Or limit to user scope:
gpresult /USER ztucker /SCOPE USER /R

Obtener GPResult de la computadora remota

Para obtener el resultado de la política de un usuario, no necesita acceso a la computadora.

Porque también podemos obtener las políticas aplicadas desde un equipo remoto con el /S parámetro.

Por ejemplo, para obtener las políticas aplicadas desde la computadora LA-WIN11-LAB03 para el usuario Zoe Tucker podemos usar el siguiente comando:

Nota

Estamos usando el parámetro /usuario y no /u. Este último se usa cuando desea ejecutar el comando en el contexto de otro usuario, por ejemplo, como administrador.

Con /user podemos especificar el usuario del que queremos recuperar los datos de RSoP.

gpresult /S LA-WIN11-LAB03 /user ztucker /R

Ver más información

Hasta ahora, solo hemos visto cuándo se aplicó la última política de grupo y qué objetos de política de grupo se aplicaron.

Pero a veces necesita más información, por ejemplo, qué configuraciones reales se realizan en las políticas. Para ello, podemos utilizar el /V o /Z parámetro.

Con el /V parámetro obtenemos la información detallada que proporciona detalles adicionales sobre la política.

/Z es el parámetro súper detallado, que también mostrará las configuraciones que se realizan en varios lugares.

gpresult /v

Los resultados de los parámetros detallados no siempre son tan legibles como desea.

Por ejemplo, la política de dominio predeterminada contiene la configuración de antigüedad de la contraseña.

Con la opción detallada, podemos ver claramente cómo está configurado.

resultados de la política de contraseñas
configuración de la política de contraseñas

Pero si echamos un vistazo a la política UPO_IT, podemos ver qué ajustes están configurados, pero no los ajustes reales.

Entonces, los parámetros detallados nos brindan más información, pero recomiendo usarlos en combinación con la opción de exportar a HTML.

resultados de directivas de grupo
informacion detallada

Exportar GPResult a HTML

Entonces, para que los datos de gpresult sean más legibles, podemos exportar el resultado a un archivo HTML.

El archivo HTML tiene el mismo formato que la pestaña Configuración en la Consola de administración de directivas de grupo.

Cuando exporta a HTML, no necesita especificar /R o uno de los parámetros detallados /Z o /V.

Generará un HTML detallado para usted con toda la información detallada que necesita. Debe especificar la ruta y el nombre del archivo:

gpresult /USER ztucker /H c:\temp\gpresult-ztucker.html
exportación de gpresult HTML
exportación de gpresult HTML

Si el nombre de archivo ya existe, es posible que obtenga un error. Para sobrescribir el archivo, puede utilizar el /f parámetro para forzar la sobrescritura del archivo existente.

Terminando

La herramienta gpresult es una excelente manera de verificar qué objetos de política de grupo se aplican a la computadora y al usuario.

Utilice la opción de exportar HTML para comparar fácilmente las políticas aplicadas con las políticas asignadas en la consola de administración de políticas de grupo.

También puede generar los resultados de la política de grupo en la consola de administración de políticas de grupo en el servidor, asegúrese de verificar también esa opción.

Si tiene alguna pregunta, simplemente deje un comentario a continuación.

Otros artículos relacionados

Outlook 2010 solo comienza en modo seguro desde el 8 de diciembre de 2015

Outlook 2010 solo comienza en modo seguro desde el 8 de diciembre de 2015

Después de cerrar y abrir Outlook 2010, me quedé atascado en el modo seguro, sin importar lo que intentara, Outlook ...
Leer Más
Eliminar directorios vacíos en Windows

Eliminar directorios vacíos en Windows

Eliminar directorios vacíos en Windows 10 es realmente simple con un pequeño script de PowerShell o RoboCopy cmd. Realmente no ...
Leer Más
Implementar conexión ODBC

Implementar conexión ODBC

Puede implementar una conexión ODBC de 2 formas, con un GPO o con un archivo de registro que también se ...
Leer Más
Arreglando No Signal al conectar su DisplayPort en 5 min

Arreglando No Signal al conectar su DisplayPort en 5 min

Me entregaron una estación de trabajo donde la pantalla ya no se encendía. El puesto de trabajo estaba equipado con ...
Leer Más
Cómo solucionar el "Error de comprobación de seguridad del kernel"

Cómo solucionar el «Error de comprobación de seguridad del kernel»

Uno de los problemas más molestos es una pantalla azul de la muerte con el error Error de verificación de ...
Leer Más
Cómo usar GPResult para verificar las políticas de grupo

Cómo usar GPResult para verificar las políticas de grupo

Cuando administra una red de Windows, probablemente esté utilizando políticas de grupo para preestablecer la configuración de Windows y determinar ...
Leer Más

Deja un comentario