La herramienta de línea de comandos GPResult.exe es básicamente la herramienta ideal para comprobar qué directivas de grupo afectan a tu equipo Windows. Es curioso que la gente la pase por alto con frecuencia, pero si estás solucionando problemas con GPO, es tu mejor aliado. Ya sea que quieras ver qué directivas se aplican, revisar errores o simplemente obtener un resumen rápido, saber cómo usarla es de gran ayuda. A veces, las directivas no se aplican como se espera, quizá debido al filtrado, los permisos o un procesamiento retrasado, y GPResult puede ayudarte a determinar qué sucede en segundo plano.
- Cómo utilizar el comando GPResult para ver las políticas aplicadas
- Exportar un buen informe HTML con GPResult
- Obtener datos RSOP desde una máquina remota sin RDP
- ¿Por qué podrían faltar los datos RSOP del usuario?
- Filtrado de ciertas GPO: por qué algunas políticas no aparecen
- Herramienta gráfica RSOP.msc: cuándo usarla (o no)
Cómo utilizar el comando GPResult para ver las políticas aplicadas
Si alguna vez has ejecutado un programa gpresult /ry has recibido un mensaje de «Acceso denegado» o no has recibido información, probablemente se deba a que no lo ejecutaste con privilegios de administrador o no has iniciado sesión como administrador. Eso es lo primero que debes comprobar. La sintaxis de GPResult puede parecer un poco intimidante al principio, pero es bastante sencilla una vez que la dominas:
GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]Supongamos que solo quiere echar un vistazo rápido a las políticas que se aplican a su usuario y equipo actuales. Simplemente abra un Símbolo del sistema con privilegios elevados (haga clic derecho y seleccione «Ejecutar como administrador») y ejecute:
gpresult /rEsto muestra información sobre las políticas de su equipo y de usuario. Si desea un resumen rápido solo de las políticas de usuario, agregue /scope:user. Para las políticas de equipo, use /scope:computer. Si está solucionando problemas, suele ser útil redirigir la salida a un archivo de texto o copiarla al portapapeles para poder revisarla:
gpresult /r > c:\temp\gpreport.txt # Save to text file gpresult /r |clip # Copy to clipboard for easy pastingEn algunas configuraciones, el comando puede tardar un poco, especialmente si hay muchas políticas o retrasos en la red. Además, si recibe un error de acceso denegado, asegúrese de estar ejecutando una sesión con privilegios elevados.
Exportar un buen informe HTML con GPResult
¿Por qué no obtener un informe completo y atractivo que muestre todas las políticas, configuraciones y errores con un diseño intuitivo? En Windows 7 y versiones posteriores, GPResult puede generar un informe HTML más fácil de revisar que la salida de la línea de comandos. Simplemente ejecute esto:
gpresult /h c:\ps\gpo-report.html /fSi no especifica una ruta completa, el informe se guardará en %WINDIR%\system32, lo cual puede ser un poco molesto, ya que Windows tiene que complicarlo más de lo necesario. Para abrir el informe automáticamente en su navegador predeterminado, puede encadenar el comando de la siguiente manera:
gpresult /h c:\ps\gpo-report.html & start c:\ps\gpo-report.htmlEste informe muestra un desglose visual de las GPO aplicadas, los tiempos de procesamiento, los errores y los detalles de las GPO. Es especialmente útil si sospecha que el procesamiento de las GPO es lento o que existen políticas conflictivas. Verá elementos como «Aplicar historial de contraseñas», «Reglas de firewall» u otras configuraciones claramente organizadas, algo que no siempre se ve en la salida de la CLI.
Obtener datos RSOP desde una máquina remota sin RDP
A veces, quieres echar un vistazo a lo que se aplica en un PC remoto (quizás un servidor o la estación de trabajo de otra persona) y no quieres molestarte con RDP ni iniciar sesión físicamente. Puedes hacerlo con el comando:
gpresult /s remote-computer-name /rReemplace el nombre del equipo remoto por el nombre del host o la IP. Si necesita especificar un usuario y una contraseña (por ejemplo, para acceso de administrador), agregue /Uy /P:
gpresult /s remote-pc /U domain\admin /P password123Además, puede generar un informe HTML detallado para una máquina remota mediante PowerShell con el cmdlet Get-GPResultantSetOfPolicy :
Get-GPResultantSetOfPolicy -user jsmith -computer wks123 -reporttype html -path c:\ps\rsop_remote.htmlDe esta manera, puede revisar las políticas desde cualquier lugar, suponiendo que tenga los permisos y el acceso adecuados.
¿Por qué podrían faltar los datos RSOP del usuario?
Si al ejecutar gpresultel comando se muestra «El usuario no tiene datos RSOP», suele estar relacionado con la configuración del Control de Cuentas de Usuario (UAC) y los permisos. Las sesiones sin privilegios elevados o la ejecución en un shell de usuario normal suelen devolver solo información parcial. Para obtener resultados completos, debe ejecutar el símbolo del sistema como administrador.
Por ejemplo, si inicia sesión normalmente y ejecuta [nombre del usuario] gpresult /r, podría mostrar solo las políticas del equipo. Pero si eleva el sistema (haga clic con el botón derecho en Símbolo del sistema > Ejecutar como administrador), debería mostrar los datos del usuario y del equipo. Si inicia sesión en una sesión de usuario diferente, puede especificar ese usuario explícitamente:
gpresult /r /user:domain\usernameConsejo profesional: asegúrese de que el reloj de su sistema esté sincronizado con el controlador de dominio (función PDC FSMO); las zonas horarias o los relojes no coincidentes pueden arruinar la aplicación y los informes de políticas y, a menudo, dejarlo rascándose la cabeza.
Filtrado de ciertas GPO: por qué algunas políticas no aparecen
A veces, las políticas no se aplican debido a filtros o restricciones de seguridad. La sección «Las siguientes GPO no se aplicaron porque se filtraron» es una pista: existe por alguna razón. Estas son algunas causas comunes:
- Filtrado: no aplicado (vacío) : el GPO no tiene configuraciones, por lo que no se aplica nada.
- Filtrado: Denegación o problemas de permisos : el usuario o el equipo no tienen los permisos necesarios para leer la GPO, lo que suele ser un problema de filtrado de seguridad. Compruebe los permisos en gpmc.msc, especialmente los de Filtrado de Seguridad y Delegación.
- Denegaciones de seguridad : denegación explícita de permisos o filtrado de seguridad que bloquea la aplicación de políticas, especialmente si no está incluido un grupo de AD.
En la Consola de administración de directivas de grupo de Windows ( gpmc.msc ), puede verificar qué GPO se aplican a nivel de unidad organizativa (OU) y ver el filtrado de seguridad y el filtrado WMI que podrían impedir la aplicación de algunas directivas. Es un problema común que suele confundir a la gente.
Herramienta gráfica RSOP.msc: cuándo usarla (o no)
La herramienta RSOP.msc, de la vieja escuela, sigue vigente, pero, sinceramente, es algo limitada. Muestra las políticas resultantes en una interfaz gráfica de usuario atractiva, pero no admite políticas aplicadas a través de CSE más recientes (como las Preferencias de directiva de grupo) y, a menudo, no muestra la imagen completa. Está algo obsoleta en las versiones más recientes de Windows.
Ahora es más fiable usar Get-GPResultantSetOfPolicygpresult /r de PowerShell, que genera un informe más completo con todas las configuraciones, incluidas las de las extensiones GPP. Aun así, si desea realizar comprobaciones visuales rápidas, abrir RSOP.msc puede ser útil, pero tenga en cuenta que podría no mostrar toda la información.
A partir de Windows Vista y versiones posteriores, la rsop.mscherramienta no muestra todas las configuraciones; deberá usar gpresult para obtener un informe completo. En algunas configuraciones funciona bien, en otras no tanto. Por eso, la mayoría de los administradores prefieren la línea de comandos o PowerShell hoy en día, especialmente para resolver problemas complejos con políticas.
Con suerte, esto le ahorrará algunas horas de investigación. El trabajo con GPO puede ser complicado, pero con estas herramientas, se obtiene una visión más clara de lo que realmente sucede entre bastidores.
Resumen
- Ejecutar
gpresult /ren una ventana elevada de CMD o PowerShell. - Úselo
gpresult /h report.htmlpara un informe HTML visual. - Para sistemas remotos, agregue
/scredenciales o utilice Get-GPResultantSetOfPolicy de PowerShell. - Si las políticas no se aplican, verifique el filtrado, los permisos y la sincronización horaria.
- No lo olvides, rsop.msc está bien para verificaciones rápidas, pero a veces omite configuraciones más profundas, así que confía en gpresult para obtener una historia completa.
Resumen
Usar gpresult con maestría es una de esas habilidades que te ahorrará muchos dolores de cabeza, especialmente en entornos de dominio. Ya sea para solucionar problemas con las políticas incorrectas de un usuario o simplemente verificar una implementación, vale la pena familiarizarse con el comando. Aun así, a veces es necesario volver a verificar los permisos, los filtros o dejarlo correr un poco más. Ojalá esto ayude a evitar perder horas buscando problemas; seguro que ha ahorrado algunos.