Używanie narzędzia GPRESULT do wyświetlania stosowanych zasad
Rozwiązywanie problemów przy użyciu wynikowego zestawu zasad
Resetowanie domyślnych zasad domeny i zasad zabezpieczeń lokalnych
Przed rozpoczęciem testu pod kątem problemów z zasadami należy upewnić się, że nie ma niezastosowanych zasad, które wpływałyby na wyniki. Zacznij od uruchomienia polecenia Gpupdate /force w celu upewnienia się, że stosowane są najnowsze zasady. Polecenie gpresult umożliwia wyświetlenie listy obiektów GPO, które są aktualnie stosowane do danego użytkownika i/lub komputera. Poniższa lista pokazuje przykłady przełączników dostępnych w przypadku polecenia gpresult:
gpresult /s ComputerName /user Domain\UserName /r
Wyświetla podsumowanie stosowanych obiektów GPO, gdy określony użytkownik jest zalogowany do określonego komputera.
gpresult /s ComputerName /user Domain\UserName /r /scope user
Wyświetla tylko zasady użytkownika z powyższego raportu. Pomija zasady komputera.
gpresult /s ComputerName /user Domain\UserName /h gpreport.html
Generuje taki sam raport jak w pierwszym przykładzie, ale zapisuje go w pliku HTML.
gpresult /s ComputerName /u domain\UserCred /p p@ssW23 /user Domain\UserName /r
Generuje taki sam raport jak w pierwszym przykładzie, ale używa określonych poświadczeń do uruchomienia polecenia.
gpresult /s ComputerName /user Domain\UserName /z > policy.txt
Generuje bardzo szczegółowy raport dotyczący ustawień zasad użytkownika i komputera i zapisuje go w pliku tekstowym.
Konsola zarządzania zasadami grupy zawiera kreator wyników zasad grupy, znany także jako wynikowy zestaw zasad. Uzyskaj dostęp do kreatora wyników zasad grupy, klikając przycisk Start, a następnie uruchom, a następnie wpisując gpmc.msc
polecenie. Po otwarciu konsoli w dolnej części ekranu zostanie wyświetlona karta wyników zasad grupy. Dodatkowa dokumentacja wynikowego zestawu zasad jest dostępna w witrynie internetowej Microsoft TechNet.
Aby zakończyć pracę w kreatorze, należy wykonać następujące czynności:
Kliknij prawym przyciskiem myszy i wybierz opcję Uruchom kreatora wyników zasad grupy.
Wybierz ten lub inny komputer.
Wybierz określonego użytkownika.
Kliknij przycisk Zakończ, aby zakończyć pracę kreatora.
Obiekty GPO domyślnych zasad domeny i domyślnych zasad kontrolerów domeny mają zastosowanie odpowiednio do całej domeny i wszystkich kontrolerów domeny w domenie. Problemy lub nieprawidłowo skonfigurowane ustawienia w jednym z tych obiektów GPO mogą mieć szerokie konsekwencje. W przypadku napotkania problemów z jednym z tych obiektów GPO, których nie można rozwiązać przy użyciu zwykłych środków, polecenie dcgpofix umożliwia zresetowanie jednego lub obu obiektów GPO do ustawień domyślnych.
Aby zresetować obiekt GPO domyślnych zasad domeny i/lub domyślnych zasad kontrolerów domeny, należy wykonać następujące czynności:
Zaloguj się jako administrator domeny do kontrolera domeny.
Uruchom wiersz polecenia z podwyższonym poziomem uprawnień.
Wprowadź parametr do zresetowania:
dcgpofix /target:Domain
aby zresetować obiekt GPO domeny.
dcgpofix /target:DC
aby zresetować obiekt GPO domyślnego kontrolera domeny.
dcgpofix /target:both
aby zresetować obiekty domeny i domyślnego kontrolera domeny.
Po wprowadzeniu odpowiedniego polecenia w kroku 3, wprowadź Y w obu monitach.
Zamknij okno polecenia.
Dodatkowe informacje na temat polecenia dcgpofix można znaleźć w witrynie internetowej Microsoft Technet.
Choć nie są one tak rozpowszechnione, problemy mogą występować także, jeśli edytowano zasady zabezpieczeń lokalnych komputera. Zasady te można także zresetować do ustawień domyślnych, wykonując następujące czynności:
Zaloguj się do konta z lokalnymi uprawnieniami administratora na danym komputerze.
Kliknij przycisk Start, uruchom, a następnie wprowadźcmd
"" w wierszu polecenia, a następnie Enter>, aby rozpocząć sesję poleceń.
Wprowadź secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
, aby zresetować zasady zabezpieczeń lokalnych.
Source: Wątek dyskusji w Microsoft Technet.