GPResult.exeコマンドラインツールは、Windowsマシンに実際に影響を与えているグループポリシーを確認するための頼れるツールです。意外と見落とされがちなのですが、GPOの問題をトラブルシューティングする際には頼りになる存在です。適用されているポリシーを確認したい場合も、エラーをチェックしたい場合も、あるいは概要を簡単に確認したい場合も、使い方を知っておくと非常に役立ちます。フィルタリング、権限、処理の遅延などが原因で、ポリシーが期待どおりに適用されない場合もあります。GPResult は、裏で何が起こっているのかを突き止めるのに役立ちます。
- GPResult コマンドを使用して適用されたポリシーを確認する方法
- GPResult で HTML レポートをエクスポートする
- RDP を使用せずにリモート マシンから RSOP データを取得する
- ユーザーのRSOPデータが欠落する理由
- 特定のGPOを除外する – 一部のポリシーが表示されない理由
- グラフィカル RSOP.msc ツール — いつ使うべきか (あるいは使わないべきか)
GPResult コマンドを使用して適用されたポリシーを確認する方法
実行時gpresult /rに「アクセス拒否」や情報なしのエラーが表示された場合は、管理者権限で実行していないか、管理者としてログインしていないことが原因である可能性があります。まずはこの点を確認してください。GPResult の構文は最初は少し難しそうに感じるかもしれませんが、慣れてしまえば非常に簡単です。
GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]現在のユーザーとコンピュータに適用されているポリシーを簡単に確認したいとします。管理者特権のコマンドプロンプト(右クリックして「管理者として実行」を選択)を開き、次のコマンドを実行します。
gpresult /rこれにより、コンピュータポリシーとユーザーポリシーの両方の情報が出力されます。ユーザーポリシーのみの概要が必要な場合は、 を追加します/scope:user。コンピュータポリシーのみの概要が必要な場合は、 を使用します/scope:computer。トラブルシューティングを行う場合は、出力をテキストファイルにリダイレクトするか、クリップボードにコピーして確認すると便利です。
gpresult /r > c:\temp\gpreport.txt # Save to text file gpresult /r |clip # Copy to clipboard for easy pasting設定によっては、特にポリシーが多数適用されていたりネットワークの遅延があったりする場合は、コマンドの実行に時間がかかることがあります。また、アクセス拒否のエラーが表示された場合は、管理者特権のセッションで実行されていることを必ずご確認ください。
GPResult で HTML レポートをエクスポートする
そもそも、ポリシー、設定、エラーがすべて分かりやすいレイアウトで表示される、見やすいレポートを生成してみませんか? Windows 7以降では、GPResultを使ってコマンドライン出力よりも確認しやすいHTMLレポートを生成できます。次のコマンドを実行するだけです。
gpresult /h c:\ps\gpo-report.html /fフルパスを指定しないと、レポートは%WINDIR%\system32に保存されます。これは少し面倒です。Windows は当然のことながら、必要以上に複雑な設定をする必要があるからです。レポートをデフォルトのブラウザで自動的に開くには、次のようにコマンドを連結します。
gpresult /h c:\ps\gpo-report.html & start c:\ps\gpo-report.htmlこのレポートは、適用されたGPO、処理時間、エラー、GPOの詳細を視覚的に表示します。GPOの処理速度が遅い、またはポリシーの競合が疑われる場合に特に便利です。「パスワード履歴の適用」、「ファイアウォールルール」などの設定項目が明確に整理されており、CLI出力では必ずしも表示されない場合もあります。
RDP を使用せずにリモート マシンから RSOP データを取得する
リモートPC(サーバーや他人のワークステーションなど)に適用されている内容を覗き見たいけれど、わざわざRDPを使ったり物理的にログオンしたりしたくない、という時があります。次のコマンドで可能です。
gpresult /s remote-computer-name /rremote-computer-name をホスト名またはIPアドレスに置き換えます。ユーザー名とパスワードを指定する必要がある場合(管理者アクセスなど)、/Uと を追加します/P。
gpresult /s remote-pc /U domain\admin /P password123さらに、PowerShell のGet-GPResultantSetOfPolicyコマンドレットを使用して、リモート マシンの詳細な HTML レポートを生成することもできます。
Get-GPResultantSetOfPolicy -user jsmith -computer wks123 -reporttype html -path c:\ps\rsop_remote.htmlこの方法では、適切な権限とアクセス権があれば、どこからでもポリシーを確認できます。
ユーザーのRSOPデータが欠落する理由
実行時にgpresult「ユーザーにはRSOPデータがありません」と表示される場合、通常はUACと権限の設定に関係しています。管理者権限のないセッションや通常のユーザーシェルで実行している場合は、多くの場合、部分的な情報しか返されません。完全な結果を得るには、コマンドプロンプトを管理者として実行する必要があります。
例えば、通常ログインして を実行するとgpresult /r、コンピュータポリシーのみが表示される場合があります。しかし、管理者権限(コマンドプロンプトを右クリック > 管理者として実行)を使用すると、ユーザーとコンピュータの両方のデータが取得されます。別のユーザーセッションにログインしている場合は、そのユーザーを明示的に指定できます。
gpresult /r /user:domain\usernameプロのヒント: システム クロックがドメイン コントローラー (PDC FSMO ロール) と同期されていることを確認してください。タイムゾーンやクロックが一致していないと、ポリシーの適用やレポートに問題が生じ、困った事態になることがよくあります。
特定のGPOを除外する – 一部のポリシーが表示されない理由
フィルタリングやセキュリティ制限のために、ポリシーが適用されない場合があります。「次のGPOはフィルタリングされたため適用されませんでした」というセクションが表示されていれば、何らかの理由があるはずです。よくある原因は以下のとおりです。
- フィルタリング: 適用されていません (空) – GPO には設定がないため、何も適用されません。
- フィルタリング:拒否または権限の問題— ユーザーまたはコンピュータにGPOの読み取り権限がありません。これは多くの場合、セキュリティフィルタリングの問題です。gpmc.msc で権限、特にセキュリティフィルタリングと委任を確認してください。
- セキュリティ拒否– 特に AD グループが含まれていない場合、明示的に権限を拒否するか、ポリシーの適用をブロックするセキュリティ フィルタリングを行います。
Windowsのグループポリシー管理コンソール(gpmc.msc)では、組織単位(OU)レベルで適用されるGPOを確認し、一部のポリシーの適用をブロックする可能性のあるセキュリティフィルタリングとWMIフィルタリングを確認できます。これは、ユーザーがつまずきやすいよくある問題です。
グラフィカル RSOP.msc ツール — いつ使うべきか (あるいは使わないべきか)
昔ながらのRSOP.mscツールはまだ残っていますが、正直言って、機能がかなり限られています。適用されたポリシーは見やすいGUIで表示されますが、新しいCSE(グループポリシーの基本設定など)経由で適用されたポリシーは処理できず、全体像が表示されないこともよくあります。最近のWindowsのバージョンでは、やや非推奨になっています。
より信頼性の高い方法は、gpresult /rPowerShellのGet-GPResultantSetOfPolicyコマンドを使用することです。これにより、GPP拡張機能の設定を含むすべての設定を含む、より包括的なレポートを取得できます。それでも、手早く視覚的に確認したい場合はRSOP.mscを開くと便利ですが、すべての情報が得られるとは限らないことに注意してください。
Windows Vista以降では、このrsop.mscツールはすべての設定を表示しません。完全なレポートを表示するには、gpresultを使用する必要があります。ある環境では問題なく動作しますが、別の環境では…うまく動作しません。そのため、最近では多くの管理者がコマンドラインまたはPowerShellを使用する傾向があり、特に複雑なポリシーの問題をトラブルシューティングする際にはそれが顕著です。
これで、誰かの作業時間を数時間短縮できれば幸いです。GPO 関連の作業は扱いが難しい場合もありますが、これらのツールを使えば、舞台裏で実際に何が起こっているのかをより明確に把握できます。
まとめ
gpresult /r管理者特権の CMD または PowerShell ウィンドウで実行します。gpresult /h report.html視覚的な HTML レポートに使用します。- リモート システムの場合は、
/s資格情報を追加するか、PowerShell のGet-GPResultantSetOfPolicyを使用します。 - ポリシーが適用されない場合は、フィルタリング、権限、および時刻同期を確認してください。
- 忘れないでください。rsop.mscは簡単なチェックには適していますが、より詳細な設定が抜けている場合もあるので、完全な情報を得るには gpresult に頼ってください。
まとめ
gpresult を上手に使いこなすことは、特にドメイン環境では、多くの頭を悩ませる問題を省くスキルの一つです。ユーザーの不適切なポリシーのトラブルシューティングでも、ロールアウトの確認だけでも、このコマンドに慣れておく価値はあります。それでも、権限やフィルターを再確認したり、もう少し長く実行したりする必要がある場合もあります。これで、誰かが問題の解決に何時間も費やす必要がなくなることを願っています。確かに、これでかなりの時間が節約できました。