Проверка работы групповой политики в windows

Утилита командной строки GPResult.exe используется для получения результирующего набора групповых политик (Resultant Set of Policy, RSOP), которые применяются к

Утилита командной строки GPResult.exe используется для получения результирующего набора групповых политик (Resultant Set of Policy, RSOP), которые применяются к пользователю и/или компьютеру в домене Active Directory. Gpresult позволяет вывести список доменных политик (GPO), которые применяются на компьютер и пользователя, настройки политик и ошибки обработки. Это наиболее часто используемый инструмент администратора для анализа настроек и диагностики групповых политик в Windows.

В этой статье мы рассмотрим, как использовать команду GPResult для диагностики и анализа настроек групповых политик, применяющихся к Windows в домене Active Directory.

Содержание:

  • Использование команды GPResult в Windows
  • GPResult: экспорт данных RSOP в HTML отчет
  • Получение отчета по политикам GPResult с удаленного компьютера
  • Пользователь не имеет данных RSOP
  • Следующие политики GPO не были применены, так как они отфильтрованы
  • Оснастка результирующих политик RSoP в Windows

Использование команды GPResult в Windows

Команда GPResult выполняется на компьютере, на котором нужно проверить применение групповых политик. Синтаксис GPResult:

GPRESULT [/S <система> [/U <пользователь> [/P <пароль>]]] [/SCOPE <область>] [/USER <имя_конечного_пользователя>] [/R | /V | /Z] [(/X | /H) <имя_файла> [/F]]

Чтобы получить подробную информацию о групповых политиках, которые применяются к данном объекту AD (пользователю и компьютеру), и других параметрах, относящихся к инфраструктуре GPO (т.е. результирующие настройки политик GPO – RsoP), выполните команду:

Gpresult /r

Результаты выполнения команды разделены на 2 секции:

  • COMPUTER SETTINGS (Конфигурация компьютера) – раздел содержит информацию об объектах GPO, действующих на компьютер в Active Directory;
  • USER SETTINGS – раздел с политиками пользователя (политики, действующие на учетную запись пользователя в AD).

Вкратце пробежимся по основным параметрам/разделам, которые нас могут заинтересовать в выводе GPResult:

  • Site Name (Имя сайта:)– имя сайта AD, в котором находится компьютер;
  • CN – полное каноническое пользователя/ компьютера, для которого были сгенерированы данные RSoP;
  • Last time Group Policy was applied (Последнее применение групповой политики)– время, когда последний раз применялись (обновились) настройки GPO;
  • Group Policy was applied from (Групповая политика была применена с)– контроллер домена, с которого была загружена последняя версия GPO;
  • Domain Name и Domain Type (Имя домена, тип домена)– имя и версия схемы домена Active Directory;
  • Applied Group Policy Objects (Примененные объекты групповой политики) – списки действующих объектов групповых политик;
  • The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы)— не примененные (отфильтрованные) GPO;
  • The user/computer is a part of the following security groups (Пользователь/компьютер является членом следующих групп безопасности) – список доменных групп безопасности, в которых состоит пользователь/пользователь.

gpresult -r - диагностика групповых политик Active Directory

В нашем примере видно, что на объект пользователя действуют 4 групповые доменные политики.

  • Default Domain Policy;
  • Enable Windows Firewall;
  • DNS Suffix Search List;
  • Disable Cached Credentials.

Также в отчете будет информацию о локальных параметрах политик, настроенных через локальный редактор GPO (gpedit.msc).

С помощью опции /scope можно вывести только политики пользователя или компьютера:

gpresult /r /scope:user

или только примененные политики компьютера:

gpresult /r /scope:computer

Если вы попробуете получить список GPO, примененных к компьютеру, под пользователем без прав локального администратора, команда gpresult вернет ошибку отказа в доступе:

gpresult /r /scope:computer

ERROR: Access Denied.

gpresult ошибка отказано в доступе

Для удобства анализа данных RSOP, вы можете перенаправить результаты Gpresult в буфер обмена:

Gpresult /r |clip

или текстовый файл:

Gpresult /r > c:gpresult.txt

Чтобы вывести сверхподробную информацию RSOP, нужно добавить ключ /z.

Gpresult /r /z

Например, на скриншоте показаны настройки политики паролей в домене, которые применяются к компьютеру.

подробный отчет gpresult с настройка GPO которые применились к компьютеру

GPResult: экспорт данных RSOP в HTML отчет

Утилита GPResult позволяет сгенерировать HTML-отчет по примененным результирующим политикам (доступно в Windows 7 и выше). Такой отчет содержит подробную информацию обо всех параметрах Windows, которые задаются групповыми политиками и именами GPO, которые внесли изменения. Этот отчет по структуре напоминает вкладку Settings в консоли управления доменными групповыми политиками (
gpmc.msc
). Сгенерировать HTML отчет GPResult можно с помощью команды:

GPResult /h c:gp-reportreport.html /f

Если не указывать полный путь к HTML файлу, то HTML отчет gpresult будет сохранен в каталог
%WINDIR%system32
.

GPResult html отчет с примененными политиками

Чтобы сгенерировать отчет и автоматически открыть его в браузере, выполните команду:

GPResult /h GPResult.html & GPResult.html

В HTML отчете gpresult содержится довольно много полезной информации: видны ошибки применения GPO, время применения конкретных политик (в мс.) и CSE (в разделе Computer Details -> Component Status). Это удобно, когда нужно понять почему групповые политики (GPP/GPO) применяются на компьютере слишком долго.

Например, на скриншоте выше видно, что политика Enforce password history с настройками 24 passwords remember применена политикой Default Domain Policy (столбец Winning GPO).

HTML отчет позволяет представить результирующий набор GPO компьютера в удобном графическом виде.

Получение отчета по политикам GPResult с удаленного компьютера

GPResult может получить информацию о результирующих политик с удаленного компьютера.

GPResult /s wks22123 /r /user a.ivanov

В команде gpresult можно указать имя и пароль для подключения к удаленному компьютеру:

gpresult /R /S wks22123 /scope user /U winitprokbuldogov /P [email protected]$$worrd

gpresult получить данные rsop с удаленного компьютера

Если вы не хотите, чтобы ваш пароль сохранялся в истории команд PowerShell, можно запросить пароль интерактивно:
gpresult /R /S wks22123 /scope user /U winitprokbuldogov /P

Аналогичным образом вы можете удаленно собрать данные как по пользовательским политикам, так и по политиками компьютера.

Если вы не знаете имя пользователя, под которым выполнен вход, можно узнать учетную запись на удаленном компьютере так:

qwinsta /SERVER:remotePC1

HTML отчет RSOP, аналогичный тому, который формирует команда gpresult можно создать с помощью PowerShell. Для получения результирующих политик с удаленного компьютера используется командлет Get-GPResultantSetOfPolicy из модуля GroupPolicy.

Get-GPResultantSetOfPolicy -user kbuldogov -computer corppc0200 -reporttype html -path c:psgp_rsop_report.html

Пользователь не имеет данных RSOP

Если на компьютере включен UAC, то GPResult без повышенных привилегий выведет только параметры пользовательского раздела групповых политик. Если нужно одновременно отобразить оба раздела (USER SETTINGS и COMPUTER SETTINGS), открыть командную строку с правами администратора. Е

сли командная строка с повышенными привилегиями запущена от имени учетной записи отличной от текущего пользователя системы, утилита выдаст предупреждение INFO: The user “domainuser” does not have RSOP data (Пользователь «domainuser» не имеет данных RSOP). Это происходит потому, что GPResult пытается собрать информацию для пользователя, ее запустившего, но т.к. данный пользователь не выполнил вход (logon) в систему, информация RSOP для него отсутствует. Чтобы собрать информацию RSOP по пользователю с активной сессией, нужно указать его учетную запись:

gpresult /r /user:tnedward

gpresult - групповые политики пользователя

Если вы не знаете имя учтённой записи, которая залогинена на удаленном компьютере, учетную запись можно получить так:

qwinsta /SERVER:remotePC1

Также проверьте время (и часовой пояс) на клиенте. Время должно соответствовать времени на PDC (Primary Domain Controller).

Следующие политики GPO не были применены, так как они отфильтрованы

При отладке и траблшутинге применения групповых политик стоит также обращать внимание на секцию: The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы). В этой секции отображается список GPO, которые по той или иной причине не применяются к этому объекту. Возможные варианты, по которым политика может не применяться:

  • Filtering: Not Applied (Empty) (Фильтрация: Не применено (пусто)) – политика пустая (применять, нечего);
  • Filtering: Denied (Unknown Reason) (Фильтрация: Не применено (причина неизвестна)) – скорее всего у пользователя или компьютера отсутствуют разрешения на чтение/применение этой политики. Разрешения настраиваются на вкладке Security в консоли управления доменными GPO — GPMC (Group Policy Management Console);
  • Filtering: Denied (Security) (Фильтрация: Отказано (безопасность)) — в секции Apply Group Policy указан явный запрет в разрешении Apply group policy либо объект AD не входит в список групп в разделе настроек Security Filtering.

Фильтрация групповых политик

Также вы можете понять должна ли применяться GPO к organizational unit (OU) в AD на вкладке эффективных разрешений (Advanced -> Effective Access).

Оснастка результирующих политик RSoP в Windows

Изначально для диагностики применения групповых политик в Windows использовалась графическая консоль
RSOP.msc
. Эта оснастка позволяет получить настройки результирующих политик (доменных + локальных), примененных к компьютеру и пользователю в графическом виде аналогичном консоли редактора GPO. На скриншоте показа вид консоли RSOP.msc в которой видно, что настройки Windows Update на компьютере заданы доменной политикой WSUS_SERVERS.

консоль результирующей групповой политики - RSOP.msc

В современных версиях Windows RSOP.msc не получится использовать для полноценного анализа примененных GPO. Она не отражает настройки, примененные через расширения групповых политик CSE (Сlient Side Extensions), таких как GPP (Group Policy Preferences), не позволяет выполнять поиск, предоставляет мало диагностической информации. В Windows 10 и 11 при запуске
rsop.msc
появилось предупреждение, что основной инструмент для диагностики применения GPO это утилита gpresult.

Starting with Vista, the Resultant Set of Policies (RSoP) report does not show all Microsoft Group Policy settings. To see the full set of Microsoft Group Policy settings applied for a computer or user, use the command-line tool gpresult.

rsop.msc в Windows не показывает все примененные политики
В этой статье мы рассмотрели, как использовать утилиту GPResult для анализа результирующих групповых политик, которые применяются в Windows. Также для анализа применения GPO в домене рекомендуем использовать инструкции из статьи “Почему групповая политика не применяется к компьютеру или OU”.

If you change a lot of settings in the Local Group Policy Editor, and you now want to find all applied or enabled Group Policy settings on your Windows 10 system, then here is what you need to do. The Local Group Policy Editor plays a vital role in tweaking various system settings, and a wrong change can make or break your smooth user experience. If you made some change and you now do not remember the path, here is how to find it out.

There are four different ways to get the list of all enabled or applied changes that you have made in the Local Group Policy Editor, and they are mentioned below.

How to check the Group Policy applied on a computer

To find all applied or enabled Group Policy settings in Windows 10, you have four ways-

  1. Use Local Group Policy Editor’s State option
  2. Use the filter in Local Group Policy Editor
  3. Use Command line
  4. Use Resultant Set of Policy Tool (rsop.msc)

To know more about these methods, read on.

1] Use Local Group Policy Editor’s State option

It is the easiest method to find all the Enabled, Disabled, and Not configured policies within moments. The best thing is that you do not need to go through any complex step to get it done. Only one-click can show you all the changes on your screen.

Open the Local Group Policy Editor on your computer. For that, press Win+R, type gpedit.msc and hit the Enter button. After that, find a folder from your left-hand side. If you do not want to get the list by folder and instead, you want to get the same across whole Local Group Policy Editor, you need to expand the Administrative Templates and select All Settings option.

Then, you should see all the settings on your right side. It should show a column called State. You need to click on the “State” text.

How to check the Group Policy applied on a Windows 10 computer

Now, your Local Group Policy Editor should show all the enabled settings on the top of the line. From here, you can follow the usual method to make a change if required.

2] Use the filter in Local Group Policy Editor

Microsoft included the “filter” option in the Local Group Policy Editor so that users can apply numerous conditions to find a specific type of setting. You can utilize that function to find all the enabled or applied settings in this tool. To get started, you need to right-click on a folder after opening the Local Group Policy Editor and select Filter Options.

Alternatively, you can go to Action > Filter Options. Then, select Yes from the Configured drop-down list and click on the OK button.

Now you can find only those folders, which are holding an Enabled setting.

3] Use Command line

Find all applied or enabled Group Policy settings

It is another easy way to find all the enabled Group Policy settings in Windows PC. All you need to do is to enter a command that will let you show all settings and the exact path to find it in the Local Group Policy Editor.

At first, open the Command Prompt on your Windows computer, and enter this command-

gpresult /Scope User /v

You should see the results.

4] Use Resultant Set of Policy Tool (rsop.msc)

It is an in-built tool of Windows OS that allows users to see all the Group Policy settings that have applied to your computer. It is a graphical version of the command as mentioned earlier, and the user interface is almost the same as Local Group Policy Editor.

To get started, open the Run prompt by press Win+R keys together, type rsop.msc, and hit the Enter button. It should take a couple of seconds to load everything, and at the end, you can find a window like this-

Now you must navigate to the folders to check which setting is applied to your computer. The good news is that it shows only those folders where you can find an enabled setting or policy. Please note that this tool doesn’t allow you to change the setting.

These are some of the best methods to find all applied or enabled Group Policy settings in Windows 10.

If you change a lot of settings in the Local Group Policy Editor, and you now want to find all applied or enabled Group Policy settings on your Windows 10 system, then here is what you need to do. The Local Group Policy Editor plays a vital role in tweaking various system settings, and a wrong change can make or break your smooth user experience. If you made some change and you now do not remember the path, here is how to find it out.

There are four different ways to get the list of all enabled or applied changes that you have made in the Local Group Policy Editor, and they are mentioned below.

How to check the Group Policy applied on a computer

To find all applied or enabled Group Policy settings in Windows 10, you have four ways-

  1. Use Local Group Policy Editor’s State option
  2. Use the filter in Local Group Policy Editor
  3. Use Command line
  4. Use Resultant Set of Policy Tool (rsop.msc)

To know more about these methods, read on.

1] Use Local Group Policy Editor’s State option

It is the easiest method to find all the Enabled, Disabled, and Not configured policies within moments. The best thing is that you do not need to go through any complex step to get it done. Only one-click can show you all the changes on your screen.

Open the Local Group Policy Editor on your computer. For that, press Win+R, type gpedit.msc and hit the Enter button. After that, find a folder from your left-hand side. If you do not want to get the list by folder and instead, you want to get the same across whole Local Group Policy Editor, you need to expand the Administrative Templates and select All Settings option.

Then, you should see all the settings on your right side. It should show a column called State. You need to click on the “State” text.

How to check the Group Policy applied on a Windows 10 computer

Now, your Local Group Policy Editor should show all the enabled settings on the top of the line. From here, you can follow the usual method to make a change if required.

2] Use the filter in Local Group Policy Editor

Microsoft included the “filter” option in the Local Group Policy Editor so that users can apply numerous conditions to find a specific type of setting. You can utilize that function to find all the enabled or applied settings in this tool. To get started, you need to right-click on a folder after opening the Local Group Policy Editor and select Filter Options.

Alternatively, you can go to Action > Filter Options. Then, select Yes from the Configured drop-down list and click on the OK button.

Now you can find only those folders, which are holding an Enabled setting.

3] Use Command line

Find all applied or enabled Group Policy settings

It is another easy way to find all the enabled Group Policy settings in Windows PC. All you need to do is to enter a command that will let you show all settings and the exact path to find it in the Local Group Policy Editor.

At first, open the Command Prompt on your Windows computer, and enter this command-

gpresult /Scope User /v

You should see the results.

4] Use Resultant Set of Policy Tool (rsop.msc)

It is an in-built tool of Windows OS that allows users to see all the Group Policy settings that have applied to your computer. It is a graphical version of the command as mentioned earlier, and the user interface is almost the same as Local Group Policy Editor.

To get started, open the Run prompt by press Win+R keys together, type rsop.msc, and hit the Enter button. It should take a couple of seconds to load everything, and at the end, you can find a window like this-

Now you must navigate to the folders to check which setting is applied to your computer. The good news is that it shows only those folders where you can find an enabled setting or policy. Please note that this tool doesn’t allow you to change the setting.

These are some of the best methods to find all applied or enabled Group Policy settings in Windows 10.

Обновлено 30.07.2021

gpo ad logoДобрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз я вам показал, как я делал досрочное погашение ипотеки Сбербанка, поделился свои жизненным опытом. Сегодня я хочу вас научить, как находить и диагностировать причины, по которым у вас может не применяться назначенная вами групповая политика к компьютеру или пользователю или целому организационному подразделению. Мы рассмотрим все этапы, через которые проходит происходит взаимодействие с GPO. Разберем утилиты, которыми должен владеть системный администратор в задачи которого входит создание и назначение политик. Уверен, что данный пост будет вам полезен и интересен.

За, что Active Directory от Microsoft получила такую популярность? Одним из ответов на данный вопрос, будет функционал групповой политики. Все администраторы, как и большинство современных людей, существа очень ленивые и любят, когда все централизованно управляется и по возможности автоматизированно. Именно объекты GPO, позволяют производить настройки десятков, сотен и тысяч компьютеров, из одного места и практически по всем направлениям, например добавление принтеров, скриптов входа, профилей WiFi и многое другое.

Очень частые ситуации, что системный администратор создал новую групповую политику, применил ее на нужный ему объект, но эффекта это не дало и нужно понять почему она не применилась и вот тут начинающие системные администраторы попадают в просак, не понимая, где и что нужно искать. Ниже мы с вами разберем алгоритм действий, который поможет вам найти причину и восстановить работу применения групповой политики на нужный объект.

К чему применяется групповая политика (GPO)

Первое, на что я хочу обратить внимание, это ответить, что делает групповая политика. Все мы прекрасно знаем, что операционная система Windows, это набор служб и ключей реестра. Все настройки, которые вы видите и меняете в графическом режиме, по сути меняют ключи реестра. Понимая, это сразу можно сделать вывод:

  • что реестр есть как для объекта компьютер
  • и реестр есть для объекта пользователь

Именно эту две сущности являются конечными объектами в политике GPO. В Active Directory объекты пользователей и компьютеров не лежат просто так, а располагаются в двух видах папок:

  1. Это контейнер — по сути простая папка, важно, что к ней нельзя применять объекты групповой политики.
  2. Второй тип, это организационные подразделения (OU) — это специальные папки для объединения объектов AD по принципам. Именно с OU связываются объекты групповой политики, для применения их к компьютерам и пользователям. Внешне контейнер отличается от организационной утилитой, тем что у OU, есть дополнительная лычка на значке, это показано на скриншоте.

Отличие контейнера от OU

Алгоритм устранения проблем с GPO

Предположим, что у меня есть групповая политика, которая применяется на организационное подразделение «Client Computers«. Политика называется «Управление UIPI». По какой-то причине пользователь жалуется, что она у него не применилась.

Из информации, об области действия групповой политики, первое на что нужно обратить свое внимание, это находится ли объект пользователя или компьютера по нужному пути. Сделать, это просто в оснастке «Управление групповой политикой» найдите вашу политику и посмотрите к каким OU она применяется, это видно на вкладке «Область (Scope)», ее еще называют областью действия политики. В моем случае, это путь root.pyatilistnik.org/Client Computers.

Область применения объекта GPO

Так как Active Directory, это иерархическая структура, то одна OU можете быть часть дерева из других и сама включать в себя большое количество организационных подразделений. Поэтому если у вас есть вложенность, то просто зайдя в нужную OU вы можете сразу не найти нужный объект. В таком случае воспользуйтесь поиском по Active Directory. Например у меня есть рабочая станция с которой идут жалобы на применение объекта GPO. В поиске выбираем в поле «Найти» компьютеры и в имени указываем w10-cl01, после чего нажимаем «Найти». В результатах поиска вы получите выдачу. Щелкаем по нужному объекту и переходим в нем на вкладку «Объект», где смотрим «Каноническое имя объекта«, по сути это его путь расположения в Active Directory. Сравниваем его с тем, что получили из области применения групповой политики и делаем вывод, попадает объект под действие или нет.

Поиск объекта Active Directory

Далее убедитесь, что у вас элементарно включена связь объекта групповой политики с нужным организационным подразделением. Для этого в оснастке управления GPO, щелкните правым кликом по нужной политике и в контекстном меню проверьте, что установлена галка «Связь включена«, ее так же можно проверить на вкладке «Область» в столбце «Связь задействована», должно стоять значение «да».

проверка включения связи у GPO

Следующим моментом необходимо проверить, что политика не отключена на определенный объект. Для этого перейдите на вкладку «Сведения» на нужной GPO. Нас интересует строка «Состояние GPO». По умолчанию там стоит значение «Включено«, означающее, что политика будет пытаться примениться заданные в ней настройки к обоим типам объектов (Пользователю и компьютеру). Но может быть выставлено значение:

  • Параметры конфигурации компьютера отключены (Computer configuration settings disabled)
  • Параметры конфигурации пользователя отключены (User configuration settings disabled)
  • Все параметры отключены (All setting disabled) — запретит применение политики для любого объекта

Сделано, это для ускорения применения политики к объекты. Согласитесь, что если у вас в GPO настроены изменения только для пользователя, то нет смысла проверять политику для компьютера. Поэтому системные администраторы могут отключать это, но могут и ошибиться, выключив не тот объект

вкладка ведения в gpmc
Выше я вам писал, что структура OU иерархическая, а это означает, что политика прилинкованная с вышестоящего организационного подразделения применяется на нижестоящее. Но вот если у нижестоящей OU отключено наследование сверху, то он не сможет применить данную политику. Проверяется очень просто, найдите нужную вам OU, щелкните по ней правым кликом и удостоверьтесь, что не стоит пункт «Блокировать наследование».

Блокировать наследование

Он кстати будет иметь характерный значок с восклицательным знаком. Данный механизм создан специально, чтобы изолировать данную OU от ненужных политик GPO.

пример блокировки наследования GPO

Проверка прав на политику

Объекты групповой политики, так же имеют свой ACL (лист доступа), это означает, что вы можете более тонко настраивать к каким объектам применяется данная политика. В редакторе «Управление групповой политикой» выберите ваш GPO. На вкладке «Область» найдите раздел «Фильтры безопасности«, он отображает к каким объектам применяется политика. Данный фильтр безопасности может включать объекты:

  • Пользователь
  • Компьютер
  • Группа безопасности

По умолчанию тут прописана группа безопасности «Прошедшие проверку (Authenticated Users)». По умолчанию в данную группу входят все доменные пользователи и доменные компьютеры

Фильтры безопасности в GPO

Если у вас тут выставлена другая группа или отдельные записи, то убедитесь, что нужный объект состоит в данном ACL. Хочу отметить, что если даже нужный объект присутствует в списке фильтра безопасности, то это не означает, что политика к нему применяется и тут дело все в том, что в 2014 году Microsoft изменила принцип чтения политики, таким образом, что у вас в делегированном фильтре безопасности обязательно должна присутствовать группа «Компьютеры домена» или «Прошедшие проверку» у которой должны быть прав на чтение политики. Вся соль в том, что когда вы удаляете группу «Прошедшие проверку» из фильтра безопасности, она удаляется и из вкладки делегирование.

Чтобы параметры групповой политики для пользователя успешно применялись, она требует наличия у каждой учетной записи компьютера разрешения на считывание данных GPO из контроллера домена. Удаление группы «Прошедшие проверку» может предотвратить обработку групповых политик для пользователя. добавьте группу безопасности «Пользователи, прошедшие проверку подлинности» или «Компьютеры домена», у которой есть по крайней мере разрешение только для чтения (https://support.microsoft.com/en-us/kb/316622)

Не применяется GPO-04

Поэтому перейдите на вкладку «Делегирование» и проверьте наличие любой из групп «Прошедшие проверку» или «Компьютеры домена» и, что есть права на чтение. Если групп нет, то добавьте любую из них. Для этого нажмите кнопку «Дополнительно», далее добавить и выберите «Прошедшие проверку».

Добавление Прошедшие проверку в GPO ACL

Удостоверьтесь, что выставлена галка «Чтение».

Выставление прав на чтение GPO

Тут же убедитесь, что нет запретов на нужный вам объект, в моем примере, это W10-CL03. Если есть снимите.

Запрет применения GPO

Обратите внимание на группу «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ (Enterprise Domain Controllers)» данная группа определяет, будет ли происходить репликация данной политики на другие контроллеры или нет, так что если политика отсутствует в папке SYSVOL на других контроллерах, то проверьте права у данной группы.

КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ

Еще одним механизмом фильтрации групповой политики, может выступать WMI фильтры. Если они есть и ваш объект не соответствует его требованиям, то вы не сможете применить политику. Посмотреть, это можно в соответствующем разделе. В моем примере есть WMI фильтр для ноутбуков, который не даст применения политики на стационарные компьютеры. Подробнее, о создании WMI фильтров и механизме проверки WMI фильтров, читайте по ссылкам. Ниже я покажу, как на конечном компьютере увидеть, что он не подошел из-за фильтрации GPO по WMI.

Фильтр WMI

Инструменты диагностики групповой политики

Выше мы разобрали возможные места, где могла быть проблема, но по мимо них еще есть несколько инструментов, которые могут дать системному администратору информацию, о причинах, которые мешают применению GPO к нужному объекту.

Существуют три инструмента, которые вам покажут информацию, о применяемых политиках на объекты:

  • Утилита командной строки gpresult
  • Утилита rsop
  • Моделирование групповой политики в оснастке gpmc.msc
  • Результаты групповой политики

Диагностика GPO через gpresult

Gpresult первое средство, которое позволит системному администратору определить на каком этапе есть проблемы с выполнением GPO. Откройте на клиентском компьютере или ноутбуке командную строку от имени администратора и введите команду:

gpresult /r /scope:user (Для пользователя)
gpresult /r /scope:computer (Для компьютера)
Gpresult /r /z (Полный отчет)
Gpresult /r /z > c:gpresult.txt (Экспорт в файл)

В моем примере у меня есть политика для компьютера «Управление UIPI», поэтому я воспользуюсь gpresult для компьютера. Выполнив gpresult /r /scope:computer я вижу, что моя политика не применилась и числится в списке «Следующие политики GPO не были применены, так как они отфильтрованы». Фильтрация отказано в доступе (Безопасность). Из этого видно, что у компьютера просто нет прав на чтение политики.

Фильтрация отказано в доступе (Безопасность)

Так же в логах Windows вы можете обнаружить событие с кодом ID 5313:

Код 5313: Следующие объекты групповой политики не были применены, так как они были отфильтрованы:

Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (безопасность)

Код 5313

А вот пример 5313, но с уже WMI фильтром:

Следующие объекты групповой политики не были применены, так как они были отфильтрованы:

Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (фильтр WMI)

Код 5313

Я для исключаю его из запрета применения и пробую новую попытку применения политики. Я делаю для начала обновление групповой политики через gpupdate /force и затем снова выполняю команду gpresult /r /scope:computer, где теперь вижу, что политика не применилась из-за WMI фильтра. Теперь уже понятно куда копать.

политика не применилась из-за WMI фильтра

Получение данных GPResult с удаленного компьютера GPResult /s server01 /r, поможет администратору или технической поддержке собрать диагностические данные. Аналогичные действия вы можете выполнять и для пользователя, тут все аналогично. Теперь воспользуемся утилитой RSOP. Откройте окно выполнить и введите rsop.msc.

rsop.msc

Начнется сбор применяемых политик.

Сбор rsop

По результатам, у вас откроется окно результирующей политики. Похожее на то, где вы редактируете политику GPO. Тут вы можете перемещаться по веткам и смотреть текущие значения.

Но это не удобно и мы можем совместить две утилиты gpresult и Resultant Set of Policies (RSoP), получив выгодный симбиоз. В командной строке введите:

GPResult /h c:report.html /f

На выходе вы получите удобный html отчет, о всех примененных или отфильтрованных политиках. Открыв отчет, вы легко поймете ,какие политики были применены, а какие нет и можете сразу посмотреть значения настроек.

Отклоненные объекты групповой политики

Результаты групповой политики

В оснастке GPMC есть возможность посмотреть какие политики применяются к нужному объекту групповой политики. Данный мастер называется «Результат моделирования групповой политики». Щелкаем по нему правым кликом и открываем мастер.

Результат моделирования групповой политики

Выбираем нужный компьютер, к которому мы хотим проверить применение политики.

Выбор компьютера в результатах моделирования групповой политики

Если в момент добавления компьютера у вас выскочит ошибка «Сервер RPC-недоступен», то проверьте, что у вас запущена на нем служба WMI и в брандмауэре открыты порты для подключения к ней.

Не запущена служба WMI

Так как я проверяю GPO для компьютера, то мне нет смысла отображать политику для пользователей.

не отображать политику пользователя

Нажимаем далее. У вас появится отчет. Раскрыв его на вкладке «Сведения» вы увидите, какие политики применены, а какие нет.

Отчет результатов групповой политики

Раскрыв подробнее политику, которая не смогла примениться, я вижу, что причиной всему был WMI фильтр.

Из-за чего не отработала GPO

Последним удобным инструментом диагностики и моделирования групповой политики, выступает функционал GPMC, под названием «Моделирование групповой политики«. В задачи которого входит проверка применения политики в существующей ситуации, так и просто тест без реальной прилинковки к OU, указав нужный объект. В оснастке GPMC выберите пункт «Моделирование групповой политикой» и щелкните по нему правым кликом, выбрав «Мастер моделирования групповой политики».

Моделирование групповой политики

На первом шаге мастера моделирования групповой политики, будет простое уведомление, что к чему, нажимаем далее.

Моделирование групповой политики

Далее вам будет предложен выбор, дабы указать нужный контроллер домена.

Выбор контроллера домена в rsop

Теперь выбираем нужную OU, для которой мы будем тестировать групповую политику. Делается все через кнопку «Обзор». Я выбрал «Client Computers»

Выбор контейнера в RSOP

Нажимаем далее.

Моделирование групповой политики в gpmc

На следующем шаге мастера моделирования групповой политики, вам предоставят сэмулировать таки параметры:

  • Медленное сетевое подключение, меньше 500 кб/с
  • Обработка петлевого адреса (Замыкание групповой политики — loopbacl policy) — это опция когда вы применяете для OU в которой находятся компьютеры, например терминальные сервера, политики для пользователя. Делается это для того, чтобы политики применяемые к пользователю на его рабочей станции или другом сервере от тех, что в данной OU. Можете подробно почитать, что такое замыкание групповой политики.
  • Выбор сайта.

Выбор сайта в RSOP

Указываем в какой группе находится наш объект, к которому будет применяться политика.

Выбор группы безопасности в rsop

далее вы можете применить любой из фильтров WMI, который вы хотите тестировать.

Выбор фильтров WMI в rsop

Нажимаем далее.

Почему не работает групповая политика

В итоге мы получаем результат моделирования групповой политики, тут можно посмотреть, что применилось, что нет.

Результат моделирования групповой политики

На этом у меня все. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org. Надеюсь, что статья оказалась полезной.

Если вы изменили много настроек в редакторе локальной групповой политики и теперь хотите найти все примененные или включенные параметры групповой политики в вашей системе Windows 10, то вот что вам нужно сделать. Редактор локальной групповой политики играет жизненно важную роль в настройке различных параметров системы, и неправильное изменение может затруднить или нарушить вашу работу с пользователем. Если вы внесли какие-то изменения и теперь не помните путь, вот как это узнать.

Существует четыре различных способа получить список всех включенных или примененных изменений, внесенных вами в редакторе локальной групповой политики, и они упомянуты ниже.

Как проверить групповую политику, примененную на компьютере

Чтобы найти все примененные или включенные параметры групповой политики в Windows 10, у вас есть четыре способа:

  1. Использовать параметр состояния редактора локальной групповой политики
  2. Используйте фильтр в редакторе локальной групповой политики
  3. Использовать командную строку
  4. Используйте инструмент результирующей политики (rsop.msc)

Чтобы узнать больше об этих методах, читайте дальше.

1]Использовать параметр состояния редактора локальной групповой политики

Это самый простой способ найти все политики Включено, Отключено и Не настроено за считанные секунды. Лучше всего то, что вам не нужно выполнять какие-либо сложные действия, чтобы сделать это. Всего одним щелчком мыши можно увидеть все изменения на экране.

Откройте на своем компьютере редактор локальной групповой политики. Для этого нажмите Win + R, тип gpedit.msc и нажмите кнопку Enter. После этого найдите папку с левой стороны. Если вы не хотите получать список по папкам и вместо этого хотите получить то же самое во всем редакторе локальной групповой политики, вам необходимо развернуть Административные шаблоны и выберите Все настройки вариант.

Как проверить групповую политику, примененную на компьютере с Windows 10

Теперь ваш редактор локальной групповой политики должен отображать все включенные параметры в верхней части строки. Отсюда вы можете следовать обычному методу, чтобы внести изменения, если это необходимо.

2]Используйте фильтр в редакторе локальной групповой политики.

Microsoft включила параметр «фильтр» в редактор локальной групповой политики, чтобы пользователи могли применять множество условий для поиска определенного типа настройки. Вы можете использовать эту функцию, чтобы найти все включенные или примененные настройки в этом инструменте. Чтобы начать, вам нужно щелкнуть правой кнопкой мыши папку после открытия редактора локальной групповой политики и выбрать Параметры фильтра.

В качестве альтернативы вы можете перейти на Действие> Параметры фильтра. Затем выберите да от Настроен раскрывающийся список и нажмите кнопку ОК.

Теперь вы можете найти только те папки, для которых установлен параметр «Включено».

3]Использовать командную строку

Найти все примененные или включенные параметры групповой политики

Это еще один простой способ найти все включенные параметры групповой политики на ПК с Windows. Все, что вам нужно сделать, это ввести команду, которая позволит вам показать все настройки и точный путь, чтобы найти их в редакторе локальной групповой политики.

Сначала откройте командную строку на вашем компьютере с Windows и введите эту команду:

gpresult /Scope User /v

Вы должны увидеть результаты.

4]Используйте результирующий набор инструментов политики (rsop.msc)

Это встроенный в ОС Windows инструмент, который позволяет пользователям видеть все параметры групповой политики, примененные к вашему компьютеру. Как упоминалось ранее, это графическая версия команды, а пользовательский интерфейс почти такой же, как и у редактора локальной групповой политики.

Чтобы начать работу, откройте строку «Выполнить», нажав Win + R ключи вместе, введите rsop.mscи нажмите кнопку Enter. Загрузка всего займет пару секунд, и в конце вы можете найти такое окно:

Теперь вы должны перейти к папкам, чтобы проверить, какой параметр применен к вашему компьютеру. Хорошая новость заключается в том, что он показывает только те папки, в которых вы можете найти активированный параметр или политику. Обратите внимание, что этот инструмент не позволяет изменять настройку.

Это одни из лучших способов найти все примененные или включенные параметры групповой политики в Windows 10.

Найти все примененные или включенные параметры групповой политики

GPResult.exe — это консольный административный инструмент, предназначенный для анализа и диагностики параметров групповой политики, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные RSOP (Resultant Set of Policy), список применённых политик домена (GPO), их настройки и подробную информацию об ошибках при обработке GPO. Этот инструмент является частью ОС Windows, начиная с Windows XP. Инструмент GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какой объект групповой политики изменил конкретную настройку Windows и как устранить проблемы с медленной обработкой GPO/GPP?

В этой статье мы рассмотрим нюансы использования команды GPResult для диагностики производительности и отладки групповых политик в домене Active Directory.

В более ранних версиях Windows для диагностики применения групповых политик на стороне клиента использовалась графическая консоль RSOP.msc, что позволяло получать результирующие параметры политики (домен + локальный), которые применяются к компьютеру и пользователю в графической форме, аналогичной консоли редактора GPO.

Однако консоль RSOP.msc непрактична для использования в современных версиях Windows, поскольку она не отображает настройки, применяемые различными расширениями групповой политики (client-side extensions, CSE), такими как GPP (Group Policy Preferences, предпочтения групповой политики), не позволяет искать среди настроек, не обеспечивает достаточно диагностической информации (в Windows 10 даже появляется предупреждение о том, что RSOP не даёт полного отчёта, в отличие от GPResult). Таким образом, команда GPResult сегодня является основным инструментом для выполнения диагностики GPO в Windows.

Как использоваться инструментом Group Policy Results (GPResult.exe)?

Команду GPResult необходимо запустить на компьютере, на котором вы хотите проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:

GPRESULT [/S <система> [/U <пользователь> [/P <пароль>]]] [/SCOPE <область>]
           [/USER <имя_конечного_пользователя>]
           [/R | /V | /Z] [(/X | /H) <имя_файла> [/F]]

Чтобы получить подробную информацию о групповых политиках, применённых к пользователю или компьютеру, а также о других параметрах, относящихся к инфраструктуре GPO (итоговые параметры политики GPO — RsoP), выполните следующую команду:

Gpresult / r

Результаты этой команды разделены на два раздела:

  • Конфигурация компьютера — раздел содержит информацию об объектах GP, применённых к компьютеру (как объект Active Directory);
  • Конфигурация пользователя — это раздел политики пользователя (политики, применённые к учётной записи пользователя AD).

Давайте кратко рассмотрим основные настройки/разделы в выходных данных GPResult, которые могут нас заинтересовать:

  • Имя сайта — это имя сайта AD, на котором расположен компьютер;
  • CN — полное каноническое имя пользователя/компьютера, для которого были сгенерированы данные RSoP;
  • Последнее применение групповой политики — время последнего применения групповых политик;
  • Групповая политика была применена с — это имя контроллера домена, с которого была загружена последняя версия GPO;
  • Имя домена и Тип домена — это имя и номер версии схемы домена Active Directory;
  • Примененные объекты групповой политики — это списки применённых объектов групповой политики;
  • Следующие политики GPO не были применены, так как они отфильтрованы — это объекты групповой политики, которые не применялись или были отфильтрованы;
  • Пользователь является членом следующих групп безопасности — это группы домена, членом которых является пользователь.

В этом примере вы можете видеть, что к объекту пользователя применены 4 групповые политики.

  • Disable Cached Credentials (Отключить кешированные учётные данные);
  • DNS Suffix Search List (Список поиска DNS-суффиксов);
  • Enable Windows Firewall (Включить брандмауэр Windows);
  • Default Domain Policy (Политика домена по умолчанию).

Если вы не хотите одновременно отображать информацию о политиках пользователя и компьютера, вы можете использовать параметр /scope, чтобы отображать только нужный раздел. Только результирующая политика пользователя:

gpresult /r /scope:user

или только применяемые компьютерные политики:

gpresult /r /scope:computer

Поскольку инструмент Gpresult отображает свои данные непосредственно в командной строке, что не всегда удобно для дальнейшего анализа, вывод можно перенаправить в буфер обмена:

Gpresult /r | clip

или текстовый файл:

Gpresult /r > c:psgpresult.txt

Чтобы отобразить сверхдетальную информацию RSOP, вам нужно добавить ключ /z:

Gpresult /r /z

Отчёт RSoP HTML с использованием GPResult

GPResult также может генерировать HTML-отчёт о применённых результирующих политиках (доступно в Windows 7 и выше). Этот отчёт содержит подробную информацию обо всех системных настройках, которые задаются групповыми политиками, и названиями определённых объектов групповой политики, которые их установили (по своей структуре этот отчёт напоминает вкладку Настройки в Консоли управления групповыми политиками — gpmc.msc) . Вы можете сгенерировать HTML-отчет GPResult, используя команду:

GPResult /h c:PSgpo-report.html /f

Чтобы сгенерировать отчёт и автоматически открыть его в браузере, выполните следующую команду:

GPResult /h GPResult.html & GPResult.html

HTML-отчет gpresult содержит довольно много полезной информации: вы можете увидеть ошибки, возникшие во время применения объектов групповой политики, время обработки (в мс) для определённых политик и CSE (в разделе Computer Details → Component Status section («Сведения о компьютере» → «Состояние компонента»)). Как видите, этот HTML-отчёт gpresult намного удобнее для анализа применяемых политик, чем rsop.msc.

Как запустить GPResult на удалённом компьютере?

GPResult также может собирать данные с удалённого компьютера без необходимости локального входа в удалённую систему или через RDP. Команда для сбора RSOP с удалённого компьютера выглядит так:

GPResult /s ИМЯ-УДАЛЁННОГО-КОМПЬЮТЕРА1 /r

Точно так же вы можете удалённо собирать данные как о пользовательских, так и о компьютерных политиках.

У пользователя нет данных RSoP

Когда UAC включён и GPResult используется в режиме без повышенных прав, отображается только раздел пользовательских настроек групповых политик. Если вам нужно, чтобы отображались оба раздела (Конфигурация пользователя и Конфигурация компьютера), команда должна быть запущена в командной строке с правами администратора. Если командная строка с повышенными привилегиями запускается от имени учётной записи, отличной от текущего пользователя, инструмент покажет предупреждение: INFO: The user “domainuser” does not have RSOP data (ИНФОРМАЦИЯ: пользователь «доменпользователь» не имеет данных RSOP). Это происходит из-за того, что GPResult пытается собрать данные пользователя, запустившего его, но поскольку этот пользователь не вошёл в систему, для него нет информации RSOP. Чтобы получить информацию RSOP от пользователя с активным сеансом, вам необходимо указать его учётную запись:

gpresult /r /user:ДОМЕНПОЛЬЗОВАТЕЛЬ

Если вы не знаете имя учётной записи, для которой выполнен вход на удалённый компьютер, вы можете получить такое имя пользователя:

qwinsta /SERVER:ИМЯ-УДАЛЁННОГО-КОМПЬЮТЕРА1

Также проверьте время (и часовой пояс) на клиенте. Время должно совпадать со временем на контроллере домена.

Следующие политики GPO не были применены, так как они отфильтрованы

При устранении неполадок с групповыми политиками стоит обратить внимание на раздел: Следующие политики GPO не были применены, так как они отфильтрованы

Он содержит список объектов групповой политики, которые по какой-либо причине не применяются к этому объекту. Вот несколько причин, по которым политики не применяются:

  • Filtering: Not Applied (Empty), в русифицированной версии «Фильтрация: Не применяется (пусто)» – политика пуста (применять нечего);
  • Filtering: Denied (Unknown Reason), в русифицированной версии «Фильтрация: отклонено (неизвестная причина)» – пользователь/компьютер, скорее всего, не имеет разрешения на чтение/применение этой политики (разрешения можно настроить на вкладке «Безопасность» в Консоли управления групповой политикой
    Вы также можете понять, следует ли применять политику к конкретному объекту AD, используя вкладку действующих разрешений (Advanced → Effective Access) в GPMC (консоли управления групповыми политиками).
  • Filtering: Denied (Security), в русифицированной версии «Фильтрация: Запрещено (Безопасность)» – явный отказ указывается в разделе Apply Group Policy («Применить групповую политику»), или объект AD отсутствует в списке групп в разделе «Фильтрация безопасности» объекта групповой политики.

Итак, в данной статье мы рассмотрели особенности диагностики применения групповых политик с помощью инструмента GPResult и рассмотрели основные сценарии его использования.

Все опции: GPResult

GPResult отображает результирующую политику (RSoP) для указанного пользователя и компьютера.

Использование:

GPRESULT [/S <система> [/U <пользователь> [/P <пароль>]]] [/SCOPE <область>]
           [/USER <имя_конечного_пользователя>]
           [/R | /V | /Z] [(/X | /H) <имя_файла> [/F]]

Список параметров:

  /S     <система>                Подключаемый удаленный компьютер.

  /U     [<домен>]<пользователь> Указание пользовательского контекста,
                                  в котором должна выполняться эта команда.
                                  Нельзя использовать с /X и /H.

  /P     [<пароль>]               Пароль для этого пользовательского контекста.
                                  Запрос данных, если они не указаны.
                                  Невозможно использовать с /X и /H.

  /SCOPE <область>                Определение области отображения данных:
                                  параметры пользователя или компьютера.
                                  Допустимые значения: "USER", "COMPUTER".

  /USER  [<домен>]<пользователь> Пользовательский контекст, для которого
                                  следует отображать данные RSoP.

  /X     <имя_файла>              Сохранение отчета в XML-формате в
                                  расположении и с именем файла, заданным
                                  параметром <имя_файла>. (Допустимо в Windows
                                  Vista с пакетом обновления 1 (SP1) и выше,
                                  а также в Windows Server 2008 и выше)

  /H     <имя_файла>              Сохранение отчета в HTML-формате в
                                  расположении и с именем файла, заданным
                                  параметром <имя_файла>. (Допустимо в Windows
                                  Vista с пакетом обновления 1 (SP1) и выше,
                                  а также в Windows Server 2008 и выше)

  /F                              Указывает программе Gpresult перезаписать
                                  файл с именем, указанным в команде /X или /H.

  /R                              Отображение сводных данных RSoP.

  /V                              Отображение подробной информации.
                                  Подробная информация содержит сведения
                                  о параметрах, примененных
                                  с приоритетом 1.

  /Z                              Отображение сверхподробной информации.
                                  Сверхподробная информация содержит
                                  сведения о параметрах, примененных
                                  с приоритетом 1 и выше.
                                  Это позволяет увидеть, не был ли параметр
                                  задан одновременно в нескольких местах.
                                  Более подробная информация приведена
                                  в справке по групповой политике.

  /?                              Вывод справки по использованию.

Примеры запуска GPRESULT:

GPRESULT /R
GPRESULT /H GPReport.html
GPRESULT /USER targetusername /V
GPRESULT /S system /USER targetusername /SCOPE COMPUTER /Z
GPRESULT /S system /U username /P password /SCOPE USER /V

Связанные статьи:

  • Устранение неполадок: групповая политика (GPO) не применяется (100%)
  • Устранение неполадок, связанных с медленной обработкой GPO и снижением скорости входа в систему (100%)
  • Актуализация настроек групповой политики на компьютерах домена Windows (90.3%)
  • Настройка политики паролей домена в Active Directory (66.2%)
  • Fine-Grained Password Policy: Как создать детальную политику паролей в Active Directory (66.2%)
  • Как добавить компьютер в рабочую группу и выйти из домена в PowerShell (RANDOM — 50%)

Содержание

  1. Как посмотреть, какие групповые политики применяются к вашему компьютеру с Windows 10
  2. Результирующий набор инструментов политики
  3. Просмотр политик из командной строкой
  4. gpresult
  5. Синтаксис
  6. Параметры
  7. Remarks
  8. Примеры
  9. Групповые политики (GPO) Active Directory: разбираемся почему это важно и как ими управлять в GPOAdmin
  10. Как устроены групповые политики
  11. Управление групповой политикой и делегирование
  12. Почему встроенные инструменты работы с GPO недостаточно удобны
  13. Как обезопасить GPO (объекты групповой политики)
  14. GPRESULT – отображение результирующей политики (RSoP) для указанного пользователя и компьютера.
  15. Пример отображаемой результирующей политики для подробнейшего режима при выполнении команды GPRESULT в ОС Windows 10:
  16. PowerShell: системное администрирование и программирование
  17. Всё о PowerShell в Windows и на Linux. Системное администрирование Windows
  18. Использование инструмента GPResult для проверки того, какие объекты групповой политики применяются
  19. Как использоваться инструментом Group Policy Results (GPResult.exe)?
  20. Отчёт RSoP HTML с использованием GPResult
  21. Как запустить GPResult на удалённом компьютере?
  22. У пользователя нет данных RSoP
  23. Следующие политики GPO не были применены, так как они отфильтрованы
  24. Все опции: GPResult

Как посмотреть, какие групповые политики применяются к вашему компьютеру с Windows 10

14359600

В мире Windows групповая политика предоставляет сетевым администраторам возможность назначать определенные параметры для групп пользователей или компьютеров. Эти настройки затем применяются, когда пользователь из группы входит в систему на сетевом компьютере, или всякий раз, когда запускается ПК в группе.

Локальная групповая политика – это чуть более ограниченная версия, которая применяет параметры только к локальному компьютеру или пользователям или даже к группе локальных пользователей.

В прошлом мы использовали ряд трюков, которые используют локальную групповую политику для изменения параметров, которые вы не можете изменить нигде, кроме как путем редактирования реестра Windows. Если вы привыкли менять параметры локальной групповой политики, вам может показаться полезным просмотр всех изменений, сделанных вами, в одном месте, вместо того, чтобы копаться в редакторе локальных групповых политик.

Примечание. Локальная групповая политика доступна только в версиях Windows Professional и Enterprise. Если вы используете домашнюю версию, у вас не будет доступа к редактору локальных групповых политик.

Результирующий набор инструментов политики

Самый простой способ увидеть все параметры групповой политики, которые вы применили к компьютеру или учетной записи пользователя, – использовать инструмент «Результирующий набор политик».

Он не покажет последнюю политику, примененную к вашему компьютеру, – для этого вам нужно будет использовать командную строку, как мы опишем в следующем разделе. Тем не менее, он показывает практически все политики, которые вы настроили для регулярного использования. И предоставляет простой графический интерфейс для просмотра параметров групповой политики, действующих на вашем ПК, независимо от того, входят ли эти параметры в групповую политику или локальную групповую политику.

Чтобы открыть инструмент, нажмите «Поиск», введите «rsop.msc» → нажмите на предложенный вариант.

nabor grupp politik

Инструмент «Результирующий набор политик» начнёт сканирование вашей системы на примененные параметры групповой политики.

После того, как сканирование будет выполнено, инструмент покажет вам консоль управления, которая очень похожа на редактор локальной групповой политики, за исключением того, что она отображает только использованные параметры и несколько неустановленных настроек безопасности.

rezultat primenennykh politik

Это позволяет легко просматривать и видеть, какие политики действуют. Обратите внимание, что вы не можете использовать инструмент «Результирующая политика» для изменения этих параметров. Вы можете дважды щелкнуть параметр, чтобы просмотреть детали, но если вы хотите отключить или внести изменения в параметр, вам придется использовать редактор локальных групповых политик.

Просмотр политик из командной строкой

Если вам удобно использовать командную строку, это даёт несколько преимуществ перед использованием инструмента «Результирующая политика». Во-первых, он может отображать каждую последнюю политику, примененную на вашем ПК. Во-вторых, он покажет некоторые дополнительные сведения о безопасности – например, в какие группы безопасности входит пользователь или какие привилегии у них есть.

Для этого мы будем использовать команду gpresult. Вы должны указать область для результатов, а допустимые области включают «пользователь» и «компьютер». Это означает, что для просмотра всех политик, действующих для пользователя и компьютера, Вам придется дважды запускать команду.

Чтобы просмотреть все политики, применяемые к учетной записи пользователя, с помощью которой вы в настоящее время вошли в систему, вы должны использовать следующую команду:

gpresult /Scope User /v

otchet gruppa politiki

Параметр /v в этой команде указывает на подробные результаты, так что вы увидите всё. Прокрутите вниз, и вы увидите раздел с названием «Результирующий набор политик для пользователя», который содержит информацию, которая вам нужна.

Если вы ищете политики, применяемые к вашему компьютеру, всё, что вам нужно сделать, это изменить область действия:

gpresult /Scope Computer /v

Если вы прокрутите вниз, вы увидите, что теперь есть раздел «Результирующий набор политик для компьютера».

Доступны и другие вещи, которые вы можете сделать с помощью команды gpresult. Например, если вы хотите сохранить отчет, а не просматривать его в командной строке, вы можете отключить параметр /v в любой из этих команд и вместо этого использовать /x (для формата XML) или /h (для формата HTML).

Источник

gpresult

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Отображает результирующий набор политик (RSoP) для удаленного пользователя и компьютера. Чтобы использовать отчеты RSoP для удаленных целевых компьютеров через брандмауэр, необходимо иметь правила брандмауэра, разрешающие входящий сетевой трафик на портах.

Синтаксис

За исключением использования /?, необходимо включить параметр OUTPUT, /r, /v, /z, /x или /h.

Параметры

Параметр Описание
ключ Указывает имя или IP-адрес удаленного компьютера. Не используйте обратные косые черты. По умолчанию это локальный компьютер.
/u Использует учетные данные указанного пользователя для выполнения команды. Пользователь по умолчанию — это пользователь, который вошел в систему на компьютере, который выдает команду.
/p [

Групповая политика является основным средством администрирования для определения и контроля работы программ, сетевых ресурсов и операционной системы для пользователей и компьютеров в Организации. В среде Active Directory групповая политика применяется к пользователям или компьютерам на основе их членства в сайтах, доменах или подразделениях.

Поскольку перекрывающиеся параметры политики можно применять к любому компьютеру или пользователю, функция групповая политика создает результирующий набор параметров политики при входе пользователя в систему. Команда gpresult отображает результирующий набор параметров политики, примененных к компьютеру для указанного пользователя при входе пользователя в систему.

Поскольку /v и /z создают много информации, полезно перенаправить вывод в текстовый файл (например, gpresult/z >policy.txt ).

в ARM64 версиях Windows только gpresult в SysWow64 работает с /h параметром.

Примеры

Чтобы сохранить все доступные сведения о групповая политика в файл с именем, policy.txt, только для удаленного пользователя маиндомхироплн с паролем p@ssW23 на компьютере срвмаин, введите:

Чтобы отобразить данные RSoP для вошедшего в систему пользователя, маиндомхироплн с паролем p@ssW23 для компьютера срвмаин, введите:

Источник

Групповые политики (GPO) Active Directory: разбираемся почему это важно и как ими управлять в GPOAdmin

Групповая политика — важный элемент любой среды Microsoft Active Directory (AD). Её основная цель — дать ИТ-администраторам возможность централизованно управлять пользователями и компьютерами в домене. Групповая политика, в свою очередь, состоит из набора политик, называемых объектами групповой политики (GPO). У Microsoft реализованы тысячи разных политик и настроек, в которых можно утонуть и потом не всплыть. Все они подробно описаны в справочной таблице.

u5rl8jlozqu5flgjpplrlwpl4e

В этой статье мы расскажем о работах по настройке групповых политик и удобном инструменте для упрощения управления ими — Quest GPOAdmin. Подробности под катом.

Как устроены групповые политики

При создании домена AD автоматически создаются два объекта групповой политики:

Политика домена по умолчанию устанавливает базовые параметры для всех пользователей и компьютеров в домене в трех плоскостях: политика паролей, политика блокировки учетных записей и политика Kerberos.

Политика контроллеров домена по умолчанию устанавливает базовые параметры безопасности и аудита для всех контроллеров домена в рамках домена.

Для вступления настроек в силу, объект групповой политики необходимо применить (связать) с одним или несколькими контейнерами Active Directory: сайт, домен или подразделение (OU). Например, можно использовать групповую политику, чтобы потребовать от всех пользователей в определённом домене использовать более сложные пароли или запретить использование съемных носителей на всех компьютерах только в финансовом подразделении данного домена.

Объект групповой политики не действует, пока не будет связан с контейнером Active Directory, например, сайтом, доменом или подразделением. Любой объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с конкретным контейнером может быть связано несколько объектов групповой политики. Кроме того, контейнеры наследуют объекты групповой политики, например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях. Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и наследуется всем пользователям и компьютерам в дочерних OU.

Настройки различных объектов групповой политики могут перекрываться или конфликтовать. По умолчанию объекты групповой политики обрабатываются в следующем порядке (причем созданные позднее имеют приоритет над созданными ранее):

Изменение последовательности GPO. Объект групповой политики, созданный позднее, обрабатывается последним и имеет наивысший приоритет, перезаписывая настройки в созданных ранее объектах. Это работает в случае возникновения конфликтов.

Блокирование наследования. По умолчанию дочерние объекты наследуют все объекты групповой политики от родительского, но вы можете заблокировать это наследование.

Принудительное игнорирование связи GPO. По умолчанию параметры родительских политик перезаписываются любыми конфликтующими политиками дочерних объектов. Вы можете переопределить это поведение.

Отключение связей GPO. По умолчанию, обработка включена для всех связей GPO. Вы можете предотвратить применение объекта групповой политики для конкретного контейнера, отключив связь с объектом групповой политики этого контейнера.

image loader

Иногда сложно понять, какие политики фактически применяются к конкретному пользователю или компьютеру, определить т.н. результирующий набор политик (Resultant Set of Policy, RSoP). Microsoft предлагает утилиту командной строки GPResult, который умеет генерировать отчет RSoP.

juiwoxxffxv9ho1w3das

Для управления групповыми политиками Microsoft предоставляет консоль управления групповыми политиками (GPMC). Используя этот бесплатный редактор групповой политики, ИТ-администраторы могут создавать, копировать, импортировать, создавать резервные копии и восстанавливать объекты групповой политики, а также составлять отчеты по ним. Microsoft также предлагает целый набор интерфейсов GPMC, которые можно использовать для программного доступа ко многим операциям, поддерживаемым консолью.

По умолчанию любой член группы администраторов домена может создавать объекты групповой политики и управлять ими. Кроме того, существует глобальная группа под названием «Владельцы-создатели групповых политик»; его члены могут создавать объекты групповой политики, но они могут изменять только созданные ими политики, если им специально не предоставлены разрешения на редактирование других объектов групповой политики.

В этой же консоли можно делегировать вспомогательным ИТ-администраторам разрешения для различных действий: создание, редактирование и создание связей для определенных объектов групповой политики. Делегирование — ценный инструмент; например, можно предоставить группе, ответственной за управление Microsoft Office, возможность редактировать объекты групповой политики, используемые для управления настройками Office на рабочем столе пользователей.

eh dwp9cownit0fubqr4dd58dp4

Управление групповой политикой и делегирование

Делегирование— та вещь, которая быстро выходит из-под контроля. Права делегируются то так то эдак и, в конце концов, не те люди могут получить не те права.

Ценность групповой политики заключается в ее силе. Одним махом вы можете применить политики в домене или подразделении, которые значительно укрепят безопасность или улучшат производительность бизнеса. Или наоборот.

Но этой властью также можно злоупотребить, намеренно или случайно. Одно неправильное изменение объекта групповой политики может привести к нарушению безопасности. Взломщик или злонамеренный администратор могут легко изменить объекты групповой политики, чтобы, например:

Почему встроенные инструменты работы с GPO недостаточно удобны

К сожалению, встроенные инструменты не всегда позволяют в удобном формате поддерживать безопасность и контроль групповой политики. Изменения, внесенные в объекты групповой политики, по умолчанию вступают в силу, как только окно закрывается — отсутствует кнопка «Применить», которая могла бы дать администраторам шанс остановиться, одуматься и выявить ошибки, прежде чем организация подвергнется атаке.

Из-за того, что разрешения безопасности основаны на объектах групповой политики, любой администратор домена может изменять любой параметр безопасности объекта групповой политики. И даже параметры, которые должны препятствовать злонамеренным действиям этого человека. Например, администратор может отключить объект групповой политики, который отвечает за разрешение входа в систему на определенном сервере, на котором размещены конфиденциальные данные. Ну, а дальше скопировать часть или весь ценный контент на свой компьютер и продать в даркнете.

Но самое ужасное во всей этой истории с безопасностью GPO — изменения настроек не отслеживаются в собственных журналах безопасности, нет предупреждений, следовательно, невозможно отслеживать такие нарушения, даже если использовать SIEM-систему.

Как обезопасить GPO (объекты групповой политики)

Лучший способ минимизировать риск неправильной настройки объектов групповой политики — это создать многоуровневую структуру безопасности, которая дополняет собственные инструменты. Для надёжной защиты групповой политики нужны решения, которые позволят:

В интерфейсе можно выбрать избыточные или конфликтующие параметры групповой политики и объединить их в один объект групповой политики или создать новый.

bc0749fe9cd701fd2b802b9d56e51597

Откат. Можно легко откатиться к предыдущим версиям объектов групповой политики и устранить негативные последствия.

c0aa726ccddc85f948b4bb89dbee0edf

Настраиваемый воркфлоу. В интерфейсе GPOADmin можно заранее определить автоматические действия для различных сценариев.

ca099b6c00ad217d1ed415836dff5a9d

Политики защищенных настроек. Определите список параметров, по которым проверяются разрешенные настройки для политик.

cb914e871b4040fef11eb5facedbe45b

Управление объектами. В интерфейсе легко определить, кто отвечает за управление определенными политиками.

4ac8e2de283477d548e8d33e4c46cde3

Подтверждение по электронной почте. Утверждать или отклонять запросы на изменение объекта групповой политики можно прямо из письма в почте.

478889637785067d8522eea05bdfdb8d

Пользовательские шаблоны писем. Для определенных ролей шаблоны писем можно кастомизировать.

51d2e39fbb04e4532072985fcf133858

Синхронизация GPO. Доступна возможность синхронизации настроек между несколькими GPO.

14ea635dccef11ad3cd7a0c3e0daa583

Сравнение GPO. Обеспечьте целостность настроек GPO и снизьте риск нарушения политики.

94aa5df7b9b87789e39dd5a824d8a9c8

С GPOAdmin можно навести порядок в работе десятка администраторов, которые могут намеренно или случайно вносить неправильные изменения в объекты групповой политики. Теперь о каждом изменении будут знать все.

Мы готовы провести для вас демонстрацию или развернуть решение в вашей инфраструктуре, чтобы вы могли убедиться в ценности GPOAdmin для вашей организации. Решение, действительно, поможет уберечься от фатальных ошибок и навести порядок в домене. Свяжитесь с нами удобным для вас способом.

Источник

GPRESULT – отображение результирующей политики (RSoP) для указанного пользователя и компьютера.

Команда GPRESULT позволяет отображать результирующую политику для пользователя и компьютера в локальной или удаленной системе. Используется системными администраторами для анализа применяемых групповых политик. Синтаксис и возможности команды в небольшой степени различаются для разных версий ОС Windows. Основное отличие состоит в том, что отчеты в HTML и XML-формате можно получить только при использовании команды GPRESULT в среде Windows 7 и старше.

Формат командной строки:

GPRESULT [/S система [/U пользователь [/P пароль]]] [/USER имя_конечного_пользователя] [/R | /V | /Z] [(/X | /H) имя_файла [/F]]

Параметры командной строки:

Большая часть возможностей команды GPRESULT доступна при использовании редактора локальной групповой политики (оснастки панели управления gpedit.msc )

Пример отображаемой результирующей политики для подробнейшего режима при выполнении команды GPRESULT в ОС Windows 10:

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) версии 2.0
c 2015 Корпорация Майкрософт. Все права защищены.

Создано 16.11.2015 в 12:10:18

Данные RSOP для comp1user1 на comp1 : Режим ведения журнала
—-

Конфигурация ОС:
Версия ОС:
Имя сайта:
Перемещаемый профиль:
Локальный профиль:
Подкл. по медленному каналу:
Изолированная рабочая станция
10.0.10240
Н/Д
Н/Д
C:Usersuser1
Нет

Последнее применение групповой политики: 16.11.2015 в 11:44:50
Групповая политика была применена с: Н/Д
Порог медленного канала для групповой политики: 500 kbps
Имя домена: comp1
Тип домена: Локальный компьютер

Примененные объекты групповой политики

Local Group Policy

Компьютер является членом следующих групп безопасности

Обязательный уровень системы
Все
Пользователи
СЛУЖБА
КОНСОЛЬНЫЙ ВХОД
Прошедшие проверку
Данная организация
BDESVC
BITS
CertPropSvc
DcpSvc
dmwappushservice
DoSvc
DsmSvc
Eaphost
IKEEXT
iphlpsvc
LanmanServer
lfsvc
MSiSCSI
NcaSvc
NetSetupSvc
RasAuto
RasMan
RemoteAccess
RetailDemo
Schedule
SCPolicySvc
SENS
SessionEnv
SharedAccess
ShellHWDetection
UsoSvc
wercplsupport
Winmgmt
wlidsvc
wuauserv
XboxNetApiSvc
ЛОКАЛЬНЫЕ
Администраторы

Результирующий набор политик для компьютера

Установка программ

Н/Д

Сценарии запуска

Н/Д

Сценарии завершения работы

Н/Д

Политики учетных записей

Н/Д

Политика аудита

Н/Д

Права пользователя

Н/Д

Параметры безопасности

Н/Д

Параметры журнала событий

Н/Д

Группы с ограниченным доступом

Н/Д

Системные службы

Н/Д

Параметры реестра

Н/Д

Параметры файловой системы

Н/Д

Политики открытого ключа

Н/Д

GPO: Local Group Policy
Идентификатор папки:
Software Policies Microsoft WindowsMediaPlayer DesktopShortcut
Значение: 110, 0, 111, 0, 0, 0
Состояние: Включено

GPO: Local Group Policy
Идентификатор папки:
Software Policies Microsoft WindowsMediaPlayer DisableAutoUpdate
Значение: 1, 0, 0, 0
Состояние: Включено

Последнее применение групповой политики: 16.11.2015 в 11:43:05
Групповая политика была применена с: Н/Д
Порог медленного канала для групповой политики: 500 kbps
Имя домена: comp1
Тип домена: Локальный компьютер

Примененные объекты групповой политики

Local Group Policy

Пользователь является членом следующих групп безопасности

None
Все
Локальная учетная запись и член группы «Администраторы»
Администраторы
Пользователи
ИНТЕРАКТИВНЫЕ
КОНСОЛЬНЫЙ ВХОД
Прошедшие проверку
Данная организация
Локальная учетная запись
ЛОКАЛЬНЫЕ
Проверка подлинности NTLM
Высокий обязательный уровень

Привилегии безопасности данного пользователя

Обход перекрестной проверки
Управление аудитом и журналом безопасности
Архивация файлов и каталогов
Восстановление файлов и каталогов
Изменение системного времени
Завершение работы системы
Принудительное удаленное завершение работы
Смена владельцев файлов и других объектов
Отладка программ
Изменение параметров среды изготовителя
Профилирование производительности системы
Профилирование одного процесса
Увеличение приоритета выполнения
Загрузка и выгрузка драйверов устройств
Создание файла подкачки
Настройка квот памяти для процесса
Отключение компьютера от стыковочного узла
Выполнение задач по обслуживанию томов
Имитация клиента после проверки подлинности
Создание глобальных объектов
Изменение часового пояса
Создание символических ссылок
Увеличение рабочего набора процесса

Результирующий набор политик для пользователя

Установка программ

Н/Д

Сценарии входа

Н/Д

Сценарии выхода

Н/Д

Политики открытого ключа

Н/Д

GPO: Local Group Policy
Идентификатор папки:
Software Microsoft Windows CurrentVersion Policies Explorer NoDriveTypeAutoRun
Значение: 255, 0, 0, 0
Состояние: Включено

GPO: Local Group Policy
Идентификатор папки:
Software Microsoft Windows CurrentVersion Policies Explorer NoAutorun
Значение: 1, 0, 0, 0
Состояние: Включено

Перенаправление папок

Н/Д

Пользовательский интерфейс браузера Internet Explorer

Н/Д

Подключения Internet Explorer

Н/Д

URL-адреса Internet Explorer

Н/Д

Безопасность Internet Explorer

Н/Д

Программы Internet Explorer

Н/Д

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

Источник

PowerShell: системное администрирование и программирование

Всё о PowerShell в Windows и на Linux. Системное администрирование Windows

Использование инструмента GPResult для проверки того, какие объекты групповой политики применяются

GPResult.exe — это консольный административный инструмент, предназначенный для анализа и диагностики параметров групповой политики, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные RSOP (Resultant Set of Policy), список применённых политик домена (GPO), их настройки и подробную информацию об ошибках при обработке GPO. Этот инструмент является частью ОС Windows, начиная с Windows XP. Инструмент GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какой объект групповой политики изменил конкретную настройку Windows и как устранить проблемы с медленной обработкой GPO/GPP?

В этой статье мы рассмотрим нюансы использования команды GPResult для диагностики производительности и отладки групповых политик в домене Active Directory.

В более ранних версиях Windows для диагностики применения групповых политик на стороне клиента использовалась графическая консоль RSOP.msc, что позволяло получать результирующие параметры политики (домен + локальный), которые применяются к компьютеру и пользователю в графической форме, аналогичной консоли редактора GPO.

Однако консоль RSOP.msc непрактична для использования в современных версиях Windows, поскольку она не отображает настройки, применяемые различными расширениями групповой политики (client-side extensions, CSE), такими как GPP (Group Policy Preferences, предпочтения групповой политики), не позволяет искать среди настроек, не обеспечивает достаточно диагностической информации (в Windows 10 даже появляется предупреждение о том, что RSOP не даёт полного отчёта, в отличие от GPResult). Таким образом, команда GPResult сегодня является основным инструментом для выполнения диагностики GPO в Windows.

Как использоваться инструментом Group Policy Results (GPResult.exe)?

Команду GPResult необходимо запустить на компьютере, на котором вы хотите проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:

Чтобы получить подробную информацию о групповых политиках, применённых к пользователю или компьютеру, а также о других параметрах, относящихся к инфраструктуре GPO (итоговые параметры политики GPO — RsoP), выполните следующую команду:

Gpresult

Результаты этой команды разделены на два раздела:

Давайте кратко рассмотрим основные настройки/разделы в выходных данных GPResult, которые могут нас заинтересовать:

gpresult r

В этом примере вы можете видеть, что к объекту пользователя применены 4 групповые политики.

Если вы не хотите одновременно отображать информацию о политиках пользователя и компьютера, вы можете использовать параметр /scope, чтобы отображать только нужный раздел. Только результирующая политика пользователя:

или только применяемые компьютерные политики:

Поскольку инструмент Gpresult отображает свои данные непосредственно в командной строке, что не всегда удобно для дальнейшего анализа, вывод можно перенаправить в буфер обмена:

или текстовый файл:

Чтобы отобразить сверхдетальную информацию RSOP, вам нужно добавить ключ /z:

Отчёт RSoP HTML с использованием GPResult

gpresult html report

Чтобы сгенерировать отчёт и автоматически открыть его в браузере, выполните следующую команду:

HTML-отчет gpresult содержит довольно много полезной информации: вы можете увидеть ошибки, возникшие во время применения объектов групповой политики, время обработки (в мс) для определённых политик и CSE (в разделе Computer Details → Component Status section («Сведения о компьютере» → «Состояние компонента»)). Как видите, этот HTML-отчёт gpresult намного удобнее для анализа применяемых политик, чем rsop.msc.

Как запустить GPResult на удалённом компьютере?

GPResult также может собирать данные с удалённого компьютера без необходимости локального входа в удалённую систему или через RDP. Команда для сбора RSOP с удалённого компьютера выглядит так:

Точно так же вы можете удалённо собирать данные как о пользовательских, так и о компьютерных политиках.

У пользователя нет данных RSoP

Когда UAC включён и GPResult используется в режиме без повышенных прав, отображается только раздел пользовательских настроек групповых политик. Если вам нужно, чтобы отображались оба раздела (Конфигурация пользователя и Конфигурация компьютера), команда должна быть запущена в командной строке с правами администратора. Если командная строка с повышенными привилегиями запускается от имени учётной записи, отличной от текущего пользователя, инструмент покажет предупреждение: INFO: The user “domainuser” does not have RSOP data (ИНФОРМАЦИЯ: пользователь «доменпользователь» не имеет данных RSOP). Это происходит из-за того, что GPResult пытается собрать данные пользователя, запустившего его, но поскольку этот пользователь не вошёл в систему, для него нет информации RSOP. Чтобы получить информацию RSOP от пользователя с активным сеансом, вам необходимо указать его учётную запись:

gpresult user

Если вы не знаете имя учётной записи, для которой выполнен вход на удалённый компьютер, вы можете получить такое имя пользователя:

Также проверьте время (и часовой пояс) на клиенте. Время должно совпадать со временем на контроллере домена.

Следующие политики GPO не были применены, так как они отфильтрованы

При устранении неполадок с групповыми политиками стоит обратить внимание на раздел: Следующие политики GPO не были применены, так как они отфильтрованы

Он содержит список объектов групповой политики, которые по какой-либо причине не применяются к этому объекту. Вот несколько причин, по которым политики не применяются:

GPO security filtering

Итак, в данной статье мы рассмотрели особенности диагностики применения групповых политик с помощью инструмента GPResult и рассмотрели основные сценарии его использования.

Все опции: GPResult

GPResult отображает результирующую политику (RSoP) для указанного пользователя и компьютера.

Источник

Like this post? Please share to your friends:
  • Проверка оперативной памяти windows 7 на ошибки командная строка
  • Проверка работы веб камеры windows 10
  • Проверка работоспособности пк windows 11 утилита
  • Проверка оперативной памяти windows 10 на стабильность
  • Проверка загрузки оперативной памяти windows 10