Das Befehlszeilentool GPResult.exe ist quasi das Standardwerkzeug, um zu überprüfen, welche Gruppenrichtlinien Ihren Windows-Rechner tatsächlich beeinflussen. Es ist erstaunlich, wie oft es übersehen wird, aber bei der Behebung von GPO-Problemen ist es unverzichtbar. Ob Sie nun die angewendeten Richtlinien einsehen, Fehler überprüfen oder einfach nur eine kurze Zusammenfassung erhalten möchten – die Kenntnis seiner Verwendung ist äußerst hilfreich. Manchmal werden Richtlinien nicht wie erwartet angewendet, beispielsweise aufgrund von Filterung, Berechtigungen oder verzögerter Verarbeitung – und GPResult kann Ihnen helfen, die zugrunde liegenden Probleme zu identifizieren.
- So verwenden Sie den Befehl GPResult, um angewendete Richtlinien anzuzeigen
- Exportieren eines ansprechenden HTML-Berichts mit GPResult
- Abrufen von RSOP-Daten von einem Remote-Rechner ohne RDP
- Warum die RSOP-Daten des Benutzers fehlen könnten
- Filtern bestimmter Gruppenrichtlinienobjekte – Warum manche Richtlinien nicht angezeigt werden
- Grafisches RSOP.msc-Tool – Wann man es verwenden sollte (oder nicht)
So verwenden Sie den Befehl GPResult, um angewendete Richtlinien anzuzeigen
Wenn Sie jemals gpresult /rdie Meldung „Zugriff verweigert“ oder „Keine Informationen“ erhalten haben, liegt das wahrscheinlich daran, dass Sie das Programm nicht mit Administratorrechten ausgeführt haben oder nicht als Administrator angemeldet sind. Das sollten Sie als Erstes überprüfen. Die Syntax von GPResult mag anfangs etwas kompliziert erscheinen, ist aber recht einfach, sobald man sie verstanden hat.
GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]Angenommen, Sie möchten nur kurz überprüfen, welche Richtlinien für Ihren aktuellen Benutzer und Computer gelten.Öffnen Sie dazu einfach eine Eingabeaufforderung mit Administratorrechten (Rechtsklick und „Als Administrator ausführen“ auswählen) und führen Sie folgenden Befehl aus:
gpresult /rHiermit werden Informationen zu Ihren Computer- und Benutzerrichtlinien ausgegeben. Für eine kurze Zusammenfassung der Benutzerrichtlinien fügen Sie `–user-policy` hinzu /scope:user. Für die Computerrichtlinien verwenden Sie `–computer-policy` /scope:computer. Bei der Fehlerbehebung ist es oft hilfreich, die Ausgabe in eine Textdatei umzuleiten oder in die Zwischenablage zu kopieren, um sie später überprüfen zu können.
gpresult /r > c:\temp\gpreport.txt # Save to text file gpresult /r |clip # Copy to clipboard for easy pastingBei manchen Konfigurationen kann die Ausführung des Befehls einen Moment dauern, insbesondere bei vielen Richtlinien oder Netzwerkverzögerungen. Sollten Sie eine Fehlermeldung bezüglich verweigerten Zugriffs erhalten, stellen Sie sicher, dass Sie mit Administratorrechten arbeiten.
Exportieren eines ansprechenden HTML-Berichts mit GPResult
Warum nicht gleich einen übersichtlichen Bericht mit allen Richtlinien, Einstellungen und Fehlern in einem benutzerfreundlichen Layout erstellen? Unter Windows 7 und höher kann GPResult einen HTML-Bericht generieren, der sich leichter überprüfen lässt als die Ausgabe in der Befehlszeile. Führen Sie einfach folgenden Befehl aus:
gpresult /h c:\ps\gpo-report.html /fWenn Sie keinen vollständigen Pfad angeben, wird der Bericht unter %WINDIR%\system32 gespeichert, was etwas umständlich sein kann – Windows macht es einem natürlich unnötig schwer. Um den Bericht automatisch in Ihrem Standardbrowser zu öffnen, können Sie die Befehle wie folgt verketten:
gpresult /h c:\ps\gpo-report.html & start c:\ps\gpo-report.htmlDieser Bericht bietet eine visuelle Übersicht über angewendete Gruppenrichtlinienobjekte (GPOs), Verarbeitungszeiten, Fehler und GPO-Details. Er ist besonders hilfreich, wenn Sie eine langsame GPO-Verarbeitung oder widersprüchliche Richtlinien vermuten. Einstellungen wie „Kennwortverlauf erzwingen“, „Firewallregeln“ oder andere werden übersichtlich dargestellt, was in der CLI-Ausgabe nicht immer der Fall ist.
Abrufen von RSOP-Daten von einem Remote-Rechner ohne RDP
Manchmal möchte man einen Blick auf die Installationen eines entfernten PCs werfen – beispielsweise eines Servers oder der Workstation eines anderen Benutzers –, ohne sich mit RDP oder einer physischen Anmeldung herumschlagen zu müssen. Dies ist mit folgendem Befehl möglich:
gpresult /s remote-computer-name /rErsetzen Sie „Remote-Computer-Name“ durch den Hostnamen oder die IP-Adresse. Falls Sie einen Benutzernamen und ein Passwort angeben müssen (z. B.für den Administratorzugriff), fügen Sie Folgendes /Uhinzu /P:
gpresult /s remote-pc /U domain\admin /P password123Zusätzlich können Sie mit PowerShell und dem Cmdlet „Get-GPResultantSetOfPolicy“ einen detaillierten HTML-Bericht für einen Remotecomputer generieren :
Get-GPResultantSetOfPolicy -user jsmith -computer wks123 -reporttype html -path c:\ps\rsop_remote.htmlAuf diese Weise können Sie Richtlinien von überall aus einsehen, vorausgesetzt, Sie verfügen über die entsprechenden Berechtigungen und Zugriffsrechte.
Warum die RSOP-Daten des Benutzers fehlen könnten
Wenn beim Ausführen gpresultdie Meldung „Der Benutzer verfügt nicht über RSOP-Daten“ erscheint, liegt dies in der Regel an den Einstellungen der Benutzerkontensteuerung (UAC) und der Berechtigungen. Sitzungen ohne Administratorrechte oder die Ausführung in einer normalen Benutzer-Shell liefern oft nur unvollständige Informationen. Um vollständige Ergebnisse zu erhalten, müssen Sie die Eingabeaufforderung als Administrator ausführen.
Wenn Sie beispielsweise normal angemeldet sind und den Befehl ausführen gpresult /r, werden möglicherweise nur die Computerrichtlinien angezeigt. Wenn Sie jedoch mit Administratorrechten ausführen (Rechtsklick auf die Eingabeaufforderung > Als Administrator ausführen), sollten sowohl Benutzer- als auch Computerdaten angezeigt werden. Wenn Sie in einer anderen Benutzersitzung angemeldet sind, können Sie diesen Benutzer explizit angeben.
gpresult /r /user:domain\usernameProfi-Tipp: Stellen Sie sicher, dass Ihre Systemuhr mit der des Domänencontrollers (PDC FSMO-Rolle) synchronisiert ist – nicht übereinstimmende Zeitzonen oder Uhren können die Richtlinienanwendung und Berichtserstellung beeinträchtigen und oft zu unerklärlichen Problemen führen.
Filtern bestimmter Gruppenrichtlinienobjekte – Warum manche Richtlinien nicht angezeigt werden
Manchmal werden Richtlinien aufgrund von Filtern oder Sicherheitsbeschränkungen nicht angewendet. Der Abschnitt „Die folgenden Gruppenrichtlinienobjekte wurden nicht angewendet, da sie herausgefiltert wurden“ ist der entscheidende Hinweis – er hat seinen Grund. Hier einige häufige Ursachen:
- Filterung: Nicht angewendet (Leer) — die Gruppenrichtlinie hat keine Einstellungen, daher trifft nichts zu.
- Filterung: Zugriff verweigert oder Berechtigungsprobleme – dem Benutzer oder Computer fehlen die erforderlichen Berechtigungen zum Lesen der Gruppenrichtlinie. Dies ist häufig ein Problem mit der Sicherheitsfilterung.Überprüfen Sie die Berechtigungen in gpmc.msc, insbesondere die Einstellungen für Sicherheitsfilterung und Delegierung.
- Sicherheitsverweigerungen – explizite Verweigerung von Berechtigungen oder Sicherheitsfilterung, die die Anwendung von Richtlinien blockiert, insbesondere wenn eine AD-Gruppe nicht einbezogen wird.
In der Gruppenrichtlinienverwaltungskonsole ( gpmc.msc ) von Windows können Sie überprüfen, welche Gruppenrichtlinienobjekte (GPOs) auf Organisationseinheitsebene (OU) gelten, und die Sicherheits- und WMI-Filter einsehen, die die Anwendung einiger Richtlinien möglicherweise verhindern. Dies ist ein häufiger Fehler, der viele Anwender verwirrt.
Grafisches RSOP.msc-Tool – Wann man es verwenden sollte (oder nicht)
Das altbekannte Tool RSOP.msc ist zwar noch vorhanden, aber ehrlich gesagt doch recht eingeschränkt. Es zeigt die resultierenden Richtlinien zwar in einer ansprechenden Benutzeroberfläche an, kann aber keine Richtlinien verarbeiten, die über neuere CSEs (wie Gruppenrichtlinienpräferenzen) angewendet wurden, und liefert oft kein vollständiges Bild. In neueren Windows-Versionen gilt es daher als veraltet.
Zuverlässiger ist es mittlerweile, gpresult /rden PowerShell-Befehl ` Get-GPResultantSetOfPolicy` zu verwenden, der einen umfassenderen Bericht mit allen Einstellungen, einschließlich derer aus Gruppenrichtlinienerweiterungen, liefert. Für eine schnelle visuelle Überprüfung kann die Anwendung `RSOP.msc` hilfreich sein, allerdings ist zu beachten, dass sie möglicherweise nicht alle Informationen anzeigt.
Ab Windows Vista und neueren Versionen rsop.msczeigt das Tool nicht mehr alle Einstellungen an – für einen vollständigen Bericht benötigen Sie gpresult. Auf manchen Systemen funktioniert es einwandfrei, auf anderen weniger. Daher bevorzugen die meisten Administratoren heutzutage die Befehlszeile oder PowerShell, insbesondere bei der Behebung komplexer Richtlinienprobleme.
Hoffentlich spart das jemandem ein paar Stunden Sucherei. GPO-Angelegenheiten können knifflig sein, aber mit diesen Tools erhält man ein klareres Bild davon, was tatsächlich im Hintergrund passiert.
Zusammenfassung
- Führen Sie das Programm
gpresult /rin einem CMD- oder PowerShell-Fenster mit Administratorrechten aus. gpresult /h report.htmlZur Erstellung eines visuellen HTML-Berichts verwenden.- Für Remote-Systeme fügen Sie
/sAnmeldeinformationen hinzu oder verwenden Sie den PowerShell-Befehl Get-GPResultantSetOfPolicy. - Falls die Richtlinien nicht angewendet werden, überprüfen Sie Filterung, Berechtigungen und Zeitsynchronisierung.
- Vergessen Sie nicht: rsop.msc eignet sich zwar für schnelle Überprüfungen, erfasst aber manchmal nicht alle tieferliegenden Einstellungen. Verwenden Sie daher gpresult für eine vollständige Übersicht.
Zusammenfassung
Die sichere Anwendung von gpresult ist eine Fähigkeit, die einem viel Kopfzerbrechen erspart, insbesondere in Domänenumgebungen. Ob man nun fehlerhafte Benutzerrichtlinien behebt oder einfach nur eine Bereitstellung überprüft – es lohnt sich, mit dem Befehl vertraut zu sein. Trotzdem muss man manchmal Berechtigungen und Filter noch einmal überprüfen oder den Vorgang etwas länger laufen lassen. Hoffentlich hilft dies jemandem, stundenlange Fehlersuche zu vermeiden – es hat sicherlich schon einigen geholfen.