Инструменты для устранения неполадок групповой политики

Перед началом проверки на наличие проблем с политиками убедитесь, что у вас нет непримененных политик, которые будут искажать результаты. Сначала выполните команду Gpupdate /force, чтобы принудительно применить последние политики. Затем можно выполнить команду gpresult, чтобы вывести список объектов групповой политики, которые в данный момент применяются к конкретному пользователю и/или компьютеру. В следующем списке приведены некоторые примеры аргументов команды gpresult:

• gpresult /s ComputerName /user Domain\UserName /r
  Выводит сводку примененных объектов групповой политики, когда указанный пользователь вошел на указанный компьютер.

• gpresult /s ComputerName /user Domain\UserName /r /scope user
  Выводит список только пользовательских политик из указанного выше отчета. Политики компьютера пропускаются.

• gpresult /s ComputerName /user Domain\UserName /h gpreport.html
  Создает тот же отчет, что и в первом примере, но сохраняет его в файле HTML.

• gpresult /s ComputerName /u domain\UserCred /p p@ssW23 /user Domain\UserName /r
  Создает тот же отчет, что и в первом примере, но использует указанные учетные данные для выполнения команды.

• gpresult /s ComputerName /user Domain\UserName /z > policy.txt
  Создает подробный отчет о параметрах политики пользователя и компьютера и сохраняет его в текстовом файле.

Обратите внимание на разницу между коммутаторами /u и /user: параметр /u используется для указания учетных данных пользователя для выполнения команды gpresult, а параметр /user указывает учетную запись пользователя, данные политики которой будут включены в отчет.

Коммутатор /? предоставляет полный список параметров, доступных с gpresult.

Дополнительные сведения о синтаксисе gpresult см. в статье Microsoft Gpresult TechNet.
 

Консоль управления групповыми политиками содержит мастер результатов групповой политики, также называемый результирующей политикой (RSoP). Откройте мастер результатов групповой политики, нажав кнопку «Пуск», затем «Выполнить» и введя команду gpmc.msc. При открытии консоли в нижней части экрана появится вкладка «Результаты групповой политики». Дополнительную документацию об RSoP можно найти на сайте Microsoft TechNet.

Чтобы завершить работу мастера, выполните следующее:

1. Нажмите правую кнопку мыши и выберите Запустить мастер результатов групповой политики.

2. Выберите этот компьютер или другой компьютер.

3. Выберите пользователя.

4. Нажмите кнопку Готово, чтобы завершить работу мастера.

В результате файл находится непосредственно в папке результатов, которую можно использовать для определения применяемых параметров политики и объектов групповой политики, отвечающих за эти параметры.

В отличие от мастера результатов групповой политики, который может сообщать только о применяемых в настоящее время настройках, мастер моделирования групповой политики полезен для создания гипотетических сценариев, таких как перемещение учетной записи пользователя или компьютера в другое OU, без фактических изменений среды.

Дополнительные сведения о моделировании групповых политик см. на веб-сайте Microsoft TechNet .

Объект групповой политики домена по умолчанию и объект групповой политики контроллеров домена по умолчанию применяются соответственно ко всему домену и всем контроллерам домена в данном домене. При возникновении проблем или при неправильной настройке параметров в любом из этих объектов групповой политики последствия могут быть значительными. В случае возникновения проблем с этими объектами групповой политики, которые не могут быть решены обычным способом, можно воспользоваться командой dcgpofix, которая может сбросить один или оба этих объекта групповой политики до значений по умолчанию.
 

 

Чтобы сбросить объект групповой политики домена по умолчанию и/или объект групповой политики контроллеров домена по умолчанию до значений по умолчанию, выполните следующие действия:

1. Войдите в систему как администратор домена на контроллере домена.

2. Откройте командную строку с повышенными привилегиями.

3. Введите параметр для сброса:

   • dcgpofix /target:Domain для сброса объекта групповой политики домена.

   • dcgpofix /target:DC для сброса объекта групповой политики контроллера домена по умолчанию.

   • dcgpofix /target:both для сброса объектов групповой политики домена и контроллера домена по умолчанию.

4. После ввода соответствующей команды на шаге 3 введите Y при появлении каждого из запросов.

5. Закройте окно командной строки.

Дополнительные сведения о команде dcgpofix см. на веб-сайте Microsoft Technet.
 

При изменении локальной политики безопасности компьютера также могут возникнуть проблемы, пусть и не такие значительные. Эту политику также можно восстановить до значений по умолчанию, выполнив следующие действия: