Le Group Policy Objects – GPO (Oggetti Criteri di Gruppo in italiano) sono una serie di regole che è possibile impostare a livello di dominio di rete aziendale per forzare / settare alcune voci nel registry che regolano il comportamento di una macchina Windows client collegata al dominio. Oggi vediamo come verificare se i GPO che abbiamo impostato sul nostro server Active Directory si propagano in maniera corretta ai nostri clients di rete.
E’ sempre bene prestare la massima attenzione quando si impostano dei GPO a livello di Active Directory perchè a seconda del livello a cui li colleghiamo possono essere applicati anche a tutte le nostre macchine clients.
Quando i GPO diventano diversi o quando non funzionano come vorremmo è utile capire se vengono recepiti da una certa macchina / utente della nostra rete aziendale, il modo più immediato per fare queste verifiche è agire direttamente dal client di rete usando il comando GPRESULT.EXE
Le operazioni da fare quindi sono : spostarci sulla nostra macchina Windows client ed aprire un prompt dei comandi (cmd.exe), quindi digitiamo in sequenza :
GPUPDATE /FORCE
GPRESULT /R
entrambi i comandi necessitano di qualche istante per essere elaborati, il primo comando forza l’aggiornamento immediato di tutte le GPO sulla nostra macchina client (in questo modo siamo sicuri che anche le ultime modifiche GPO che abbiamo applicato sul nostro server Active Directory a cui si collega il client vengano recepite subito), mentre il secondo comando genera un report testuale con tutte le GPO che vengono applicate sul pc, la sezione che ci interessa è quella chiamata : Oggetti Criteri di gruppo applicati
che come potete vedere dall’esempio qui sotto riporta le varie GPO recepite dal client :
in questo modo è già possibile fare un debug veloce per capire se stiamo applicando o no al nostro client tutte le GPO che abbiamo impostato, nel caso avessimo molte GPO possiamo usare il comando :
GPRESULT /H C:\TEMP\GPRESULT.HTML
per generare un report completo in formato HTML nel percorso specificato dopo il parametro /H (nel nostro esempio è la directory c:\temp), l’output del report sarà un file html che possiamo aprire con qualsiasi browser che riporta in modo chiaro tutte le GPO applicate e molte altre informazioni, vedi esempio qui sotto :
.
Il comando GPRESULT è in grado anche di interrogare macchine remote o di dare ulteriori informazioni, per un elenco completo della sintassi fate riferimento a questo documento tecnico di Microsoft :
https://docs.microsoft.com/it-it/windows-server/administration/windows-commands/gpresult
Per maggiori info sulle GPO applicabili a livello di Active Directory potete leggere qui :
https://docs.microsoft.com/en-us/troubleshoot/windows-server/group-policy/group-policy-overview
NOTA : vi ricordo che a differenza del comando grafico RSOP.MSC (Resultant Set of Policy) a partire da Windows Vista in poi il comando GPRESULT.EXE è l’unico che riporta tutte le GPO applicate sulla macchina Windows.
