Команда GPRESULT выводит результирующий набор групповых политик (RSoP — Resultant Set of Policy), применённых к текущему пользователю или компьютеру. Это основной инструмент администратора для диагностики: почему та или иная политика не применилась, какие GPO активны, и какой контроллер домена участвовал в последнем обновлении политик.
- Синтаксис команды GPRESULT
- Ключи и параметры
- Примеры использования
- Краткий обзор применённых политик
- HTML-отчёт для детального анализа
- Диагностика политик для конкретного пользователя
- Проверка политик удалённого компьютера
- Проверка только политик компьютера
- XML-отчёт для парсинга скриптом
- Поиск причины, почему GPO не применился
- Частые ошибки и решения
- Когда применять, а когда нет
- FAQ
- Чем GPRESULT отличается от GPMC (консоли управления GPO)?
- Нужно ли перезагружать компьютер после изменения GPO?
- Как узнать, почему GPO не применился?
- Работает ли GPRESULT без домена?
- Можно ли запустить GPRESULT удалённо для другого пользователя?
- Как часто обновляются групповые политики автоматически?
Синтаксис команды GPRESULT
GPRESULT [/S система] [/U пользователь] [/P пароль]
[/SCOPE {USER|COMPUTER}]
[/USER целевой_пользователь]
[/R | /V | /Z]
[/H файл.html] [/X файл.xml]
[/F] [/?] Расшифровка основных плейсхолдеров:
/S система— имя или IP-адрес удалённого компьютера./U пользователь//P пароль— учётные данные для подключения к удалённой машине./USER целевой_пользователь— пользователь, для которого нужно показать данные политики./SCOPE— ограничить вывод только данными пользователя (USER) или только компьютера (COMPUTER)./H файл.html— сохранить подробный HTML-отчёт./X файл.xml— сохранить отчёт в XML./F— перезаписать существующий файл отчёта без запроса.
Ключи и параметры
| Ключ | Описание | Пример |
|---|---|---|
/R | Краткий сводный отчёт RSoP: применённые GPO, время последнего обновления, DC | gpresult /R |
/V | Подробный отчёт: добавляет настройки политик (verbose) | gpresult /V |
/Z | Максимально подробный отчёт (super verbose), включая все применённые и отклонённые политики | gpresult /Z |
/H файл | HTML-отчёт с полной информацией — удобен для анализа и передачи | gpresult /H C:\gpo.html |
/X файл | XML-отчёт — подходит для парсинга скриптами | gpresult /X C:\gpo.xml |
/SCOPE USER | Показать только пользовательские политики | gpresult /R /SCOPE USER |
/SCOPE COMPUTER | Показать только политики компьютера | gpresult /R /SCOPE COMPUTER |
/USER имя | Данные политики для указанного пользователя (не текущего) | gpresult /USER domain\ivan /R |
/S имя_ПК | Подключиться к удалённому компьютеру | gpresult /S PC-OFFICE01 /R |
/F | Принудительно перезаписать файл отчёта | gpresult /H C:\gpo.html /F |
Примеры использования
Краткий обзор применённых политик
Нужно быстро узнать, какие GPO применены к текущему пользователю и компьютеру.
gpresult /R
Команда выведет список применённых объектов GPO, время последнего обновления политики и имя контроллера домена. Требует запуска от имени администратора для просмотра политик компьютера.
HTML-отчёт для детального анализа
Нужно передать полный отчёт о политиках коллеге или сохранить для документации.
gpresult /H C:\Reports\gpo-report.html /F
Команда создаёт HTML-файл с полной информацией по GPO: применённые объекты, конкретные настройки политик, WMI-фильтры, отклонённые GPO с причиной.
Диагностика политик для конкретного пользователя
Пользователь жалуется, что настройки рабочего стола не применяются. Нужно проверить его политики.
gpresult /USER DOMAIN\petrov /SCOPE USER /V
Вывод покажет применённые пользовательские GPO и их конкретные настройки для учётной записи petrov.
Проверка политик удалённого компьютера
Нужно проверить GPO на рабочей станции, не вставая с места.
gpresult /S PC-BRANCH01 /U DOMAIN\admin /P пароль /R
Команда подключается к компьютеру PC-BRANCH01 и выводит краткий RSoP-отчёт. Требует открытого WMI-порта (TCP 135) на целевом компьютере.
Проверка только политик компьютера
Нужно убедиться, что политики безопасности компьютера применились корректно.
gpresult /SCOPE COMPUTER /V
Вывод содержит список GPO уровня компьютера и их настройки. Запускать только от имени администратора.
XML-отчёт для парсинга скриптом
Нужно автоматически проверять список применённых GPO на нескольких машинах.
gpresult /X C:\Audit\gpo-%COMPUTERNAME%.xml /F
Скрипт сохраняет XML-файл с именем машины. Файлы можно обработать через PowerShell командой [xml](Get-Content ...) для автоматического анализа.
Поиск причины, почему GPO не применился
Нужно понять, почему политика из GPO не действует на пользователя.
gpresult /H C:\debug.html /F start C:\debug.html
В HTML-отчёте откройте раздел «Denied GPOs» — там указано, почему каждый объект GPO был отклонён (нет прав доступа, WMI-фильтр не прошёл, политика отключена и т.д.).
Частые ошибки и решения
| Ошибка / проблема | Причина | Решение |
|---|---|---|
GPRESULT: у вас нет прав доступа | CMD запущен без прав администратора, или попытка получить данные политики компьютера без прав | Запустить CMD «от имени администратора» |
Сведения RSoP недоступны | Компьютер не в домене, или служба WMI не запущена | Убедиться, что машина в домене AD. Проверить службу WMI: sc query winmgmt |
Ошибка при подключении к удалённому компьютеру (/S) | Брандмауэр блокирует WMI (TCP 135), или не указаны учётные данные | Разрешить WMI в брандмауэре на целевом ПК. Добавить /U и /P с учётными данными администратора |
| HTML-файл не создаётся — «файл уже существует» | Файл отчёта уже есть, флаг перезаписи не указан | Добавить /F для принудительной перезаписи |
Вывод пустой или политики не отображаются для /USER | Указанный пользователь ни разу не входил на этот компьютер — данных RSoP нет | Запустить GPRESULT на том компьютере, на котором пользователь авторизован |
| GPO отображается в «Denied», хотя должен применяться | WMI-фильтр на GPO вернул false, или у пользователя нет права «Apply Group Policy» | Проверить WMI-фильтр GPO в консоли GPMC. Убедиться, что учётная запись входит в группу с правом Apply |
Когда применять, а когда нет
GPRESULT применяется исключительно в доменных средах Active Directory для диагностики GPO. На изолированных компьютерах или в рабочей группе команда вернёт ошибку либо покажет только локальные политики без данных домена. Для применения нужны права администратора (для данных компьютера). В PowerShell аналог — командлет Get-GPResultantSetOfPolicy из модуля GroupPolicy (RSAT), который позволяет строить RSoP-отчёты программно и обрабатывать результаты в скриптах без разбора XML вручную.
FAQ
Чем GPRESULT отличается от GPMC (консоли управления GPO)?
GPRESULT показывает уже применённые на конкретной машине политики (RSoP). GPMC (Group Policy Management Console) — инструмент для создания и редактирования GPO на контроллере домена. GPRESULT используют для диагностики на клиентской машине.
Нужно ли перезагружать компьютер после изменения GPO?
Не всегда. Пользовательские политики можно обновить командой gpupdate /force без перезагрузки. Политики компьютера, затрагивающие запуск системы, могут потребовать перезагрузки. GPRESULT покажет время последнего применения политики.
Как узнать, почему GPO не применился?
Сгенерируйте HTML-отчёт: gpresult /H C:\debug.html /F и откройте файл в браузере. Раздел «Denied GPOs» покажет каждый отклонённый объект с причиной: WMI-фильтр, недостаток прав, GPO отключён.
Работает ли GPRESULT без домена?
Команда запустится, но покажет только локальные политики (Local Group Policy). Данные домена будут недоступны, если компьютер не подключён к Active Directory.
Можно ли запустить GPRESULT удалённо для другого пользователя?
Да: gpresult /S имя_ПК /USER домен\пользователь /H отчёт.html. Требуются права администратора на удалённой машине и открытый порт WMI (TCP 135).
Как часто обновляются групповые политики автоматически?
По умолчанию — каждые 90 минут (плюс случайное смещение до 30 минут). Для контроллеров домена — каждые 5 минут. Принудительное обновление: gpupdate /force.
