Het opdrachtregelprogramma GPResult.exe is in principe hét hulpmiddel om te controleren welke groepsbeleidsregels daadwerkelijk van invloed zijn op uw Windows-computer. Het is vreemd hoe vaak mensen het over het hoofd zien, maar als u problemen met groepsbeleidsregels wilt oplossen, is het uw beste vriend. Of u nu wilt zien welke beleidsregels worden toegepast, fouten wilt controleren of gewoon een snel overzicht wilt, weten hoe u het moet gebruiken is enorm handig. Soms worden beleidsregels niet toegepast zoals verwacht, bijvoorbeeld vanwege filtering, machtigingen of vertraagde verwerking – en GPResult kan helpen om te achterhalen wat er achter de schermen aan de hand is.
- Hoe u de GPResult-opdracht kunt gebruiken om toegepaste beleidsregels te bekijken
- Een overzichtelijk HTML-rapport exporteren met GPResult
- RSOP-gegevens ophalen van een externe machine zonder RDP
- Waarom de RSOP-gegevens van de gebruiker mogelijk ontbreken
- Bepaalde GPO’s filteren: waarom sommige beleidsregels niet worden weergegeven
- De grafische tool RSOP.msc — Wanneer moet je hem wel (of niet) gebruiken?
Hoe u de GPResult-opdracht kunt gebruiken om toegepaste beleidsregels te bekijken
Als je ooit gpresult /reen “Toegang geweigerd”-melding of geen informatie hebt gekregen, komt dat waarschijnlijk doordat je de opdracht niet met beheerdersrechten hebt uitgevoerd of niet bent ingelogd als beheerder. Dat is het eerste wat je moet controleren. De syntaxis voor GPResult kan in eerste instantie wat intimiderend lijken, maar is vrij eenvoudig als je er eenmaal aan gewend bent:
GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]Stel dat u even snel wilt zien welke beleidsregels van toepassing zijn op uw huidige gebruiker en computer. Open dan een opdrachtprompt met beheerdersrechten (klik met de rechtermuisknop en kies ‘Uitvoeren als beheerder’) en voer de volgende opdracht uit:
gpresult /rDit geeft informatie weer over zowel uw computer als gebruikersbeleid. Als u alleen een snel overzicht van het gebruikersbeleid wilt, voegt u toe /scope:user. Voor alleen het computerbeleid gebruikt u /scope:computer. Als u problemen oplost, is het vaak handig om de uitvoer naar een tekstbestand te schrijven of naar het klembord te kopiëren, zodat u deze later kunt bekijken.
gpresult /r > c:\temp\gpreport.txt # Save to text file gpresult /r |clip # Copy to clipboard for easy pastingIn sommige configuraties kan de opdracht even duren, vooral als er veel beleidsregels zijn of als er netwerkvertragingen optreden. Als u een foutmelding krijgt over geweigerde toegang, zorg er dan voor dat u de opdracht uitvoert in een sessie met beheerdersrechten.
Een overzichtelijk HTML-rapport exporteren met GPResult
Waarom zou je niet gewoon een volledig, overzichtelijk rapport krijgen met alle beleidsregels, instellingen en fouten in een gebruiksvriendelijke lay-out? Op Windows 7 en later kan GPResult een HTML-rapport genereren dat gemakkelijker te bekijken is dan de uitvoer via de opdrachtregel. Voer hiervoor het volgende commando uit:
gpresult /h c:\ps\gpo-report.html /fAls u geen volledig pad opgeeft, wordt het rapport opgeslagen in %WINDIR%\system32, wat een beetje vervelend kan zijn – Windows maakt het natuurlijk altijd ingewikkelder dan nodig. Om het rapport automatisch in uw standaardbrowser te openen, kunt u de opdracht als volgt combineren:
gpresult /h c:\ps\gpo-report.html & start c:\ps\gpo-report.htmlDit rapport toont een visueel overzicht van toegepaste GPO’s, verwerkingstijden, fouten en GPO-details. Het is vooral handig als u vermoedt dat GPO’s traag worden verwerkt of dat er conflicterende beleidsregels zijn. U ziet zaken als ‘Wachtwoordgeschiedenis afdwingen’, ‘Firewallregels’ en andere instellingen overzichtelijk weergegeven, wat niet altijd het geval is in de CLI-uitvoer.
RSOP-gegevens ophalen van een externe machine zonder RDP
Soms wil je even kijken wat er op een externe pc draait – bijvoorbeeld een server of het werkstation van iemand anders – zonder dat je RDP hoeft te gebruiken of fysiek hoeft in te loggen. Dat kan met het volgende commando:
gpresult /s remote-computer-name /rVervang remote-computer-name door de hostnaam of het IP-adres. Als u een gebruiker en wachtwoord moet opgeven (bijvoorbeeld voor beheerdersrechten), voeg /Udan toe /P:
gpresult /s remote-pc /U domain\admin /P password123Daarnaast kunt u met PowerShell een gedetailleerd HTML-rapport genereren voor een externe machine met behulp van de cmdlet Get-GPResultantSetOfPolicy :
Get-GPResultantSetOfPolicy -user jsmith -computer wks123 -reporttype html -path c:\ps\rsop_remote.htmlOp deze manier kunt u het beleid overal bekijken, mits u over de juiste machtigingen en toegang beschikt.
Waarom de RSOP-gegevens van de gebruiker mogelijk ontbreken
Als je de opdracht uitvoert gpresulten de melding “De gebruiker heeft geen RSOP-gegevens” ziet, heeft dit meestal te maken met de instellingen van UAC en de machtigingen. Sessies zonder beheerdersrechten of het uitvoeren van de opdracht in een normale gebruikersshell geven vaak slechts gedeeltelijke informatie weer. Voor volledige resultaten moet je de opdrachtprompt als beheerder uitvoeren.
Als u bijvoorbeeld normaal bent ingelogd en het commando uitvoert gpresult /r, worden mogelijk alleen computerbeleidsregels weergegeven. Maar als u de opdrachtprompt met beheerdersrechten uitvoert (klik met de rechtermuisknop op Opdrachtprompt > Uitvoeren als beheerder), worden zowel gebruikers- als computergegevens weergegeven. Als u bent ingelogd met een andere gebruikerssessie, kunt u die gebruiker expliciet opgeven:
gpresult /r /user:domain\usernameTip: zorg ervoor dat de systeemklok gesynchroniseerd is met de domeincontroller (PDC FSMO-rol).Niet-overeenkomende tijdzones of klokken kunnen de toepassing van beleid en rapportage verstoren en vaak tot verwarring leiden.
Bepaalde GPO’s filteren: waarom sommige beleidsregels niet worden weergegeven
Soms worden beleidsregels niet toegepast vanwege filtering of beveiligingsbeperkingen. De sectie ‘De volgende GPO’s zijn niet toegepast omdat ze werden gefilterd’ is een aanwijzing – die staat er niet voor niets. Dit zijn enkele veelvoorkomende oorzaken:
- Filteren: Niet toegepast (Leeg) — het groepsbeleidsobject heeft geen instellingen, dus er wordt niets toegepast.
- Filteren: Toegang geweigerd of problemen met machtigingen — de gebruiker of computer beschikt niet over de juiste machtigingen om het groepsbeleidsobject (GPO) te lezen, vaak een probleem met beveiligingsfiltering. Controleer de machtigingen in gpmc.msc, met name de beveiligingsfiltering en delegatie.
- Beveiligingsweigering — expliciete weigeringsmachtigingen of beveiligingsfiltering die de toepassing van beleid blokkeert, vooral als een AD-groep niet is opgenomen.
In de Group Policy Management Console ( gpmc.msc ) van Windows kunt u controleren welke GPO’s van toepassing zijn op het niveau van de organisatie-eenheid (OU) en de beveiligingsfiltering en WMI-filtering bekijken die mogelijk voorkomen dat bepaalde beleidsregels worden toegepast. Dit is een veelvoorkomend probleem waar mensen tegenaan lopen.
De grafische tool RSOP.msc — Wanneer moet je hem wel (of niet) gebruiken?
De ouderwetse RSOP.msc-tool bestaat nog steeds, maar eerlijk gezegd is deze nogal beperkt. Hij toont de resulterende beleidsregels in een mooie grafische interface, maar kan geen beleidsregels verwerken die zijn toegepast via nieuwere CSE’s (zoals Groepsbeleidvoorkeuren) en geeft vaak geen volledig beeld. In nieuwere Windows-versies wordt de tool niet meer ondersteund.
Een betrouwbaardere methode is nu het gebruik gpresult /rvan de PowerShell-opdracht `Get-GPResultantSetOfPolicy`, waarmee een completer rapport met alle instellingen wordt opgehaald, inclusief die van GPP-extensies. Als u echter snel visueel wilt controleren, kan het openen van RSOP.msc nuttig zijn, maar houd er rekening mee dat dit mogelijk niet het volledige beeld geeft.
Vanaf Windows Vista en nieuwer rsop.msctoont de tool niet alle instellingen; voor een volledig rapport moet u gpresult gebruiken. Op de ene configuratie werkt het prima, op de andere… niet zo best. Daarom geven de meeste beheerders tegenwoordig de voorkeur aan de opdrachtregel of PowerShell, vooral bij het oplossen van complexe beleidsproblemen.
Hopelijk bespaart dit iemand een paar uur zoekwerk. GPO-instellingen kunnen lastig zijn, maar met deze tools krijg je een duidelijker beeld van wat er zich daadwerkelijk achter de schermen afspeelt.
Samenvatting
- Voer dit uit
gpresult /rin een CMD- of PowerShell-venster met beheerdersrechten. - Gebruik dit
gpresult /h report.htmlvoor een visueel HTML-rapport. - Voor externe systemen kunt u
/sreferenties toevoegen of de PowerShell-opdracht Get-GPResultantSetOfPolicy gebruiken. - Als het beleid niet wordt toegepast, controleer dan de filtering, machtigingen en tijdssynchronisatie.
- Vergeet niet dat rsop.msc prima is voor snelle controles, maar soms belangrijke instellingen over het hoofd ziet. Gebruik daarom gpresult voor een volledig beeld.
Samenvatting
Het beheersen van gpresult is een vaardigheid die je een hoop kopzorgen bespaart, vooral in domeinomgevingen. Of je nu problemen met onjuiste gebruikersregels wilt oplossen of een uitrol wilt controleren, het is de moeite waard om vertrouwd te raken met dit commando. Toch moet je soms de machtigingen en filters dubbel controleren, of het wat langer laten draaien. Hopelijk helpt dit iemand om te voorkomen dat ze urenlang naar problemen zoeken – het heeft er in ieder geval al een paar gered.