GPResultコマンドを使用して適用されたGPOとRSoPデータを確認する

GPResult.exe コマンドラインツールは、Active Directoryドメイン内のユーザーやコンピューターに適用されるポリシーの結果セット（RSoP）を取得するために使用されます。 GPResultを使用すると、コンピューターとユーザーに適用されるドメインポリシー（GPO）のリスト、ポリシー設定、GPO処理時間、およびエラーを表示できます。これは、Windowsの設定を分析し、グループポリシーの問題をトラブルシューティングするために最も一般的に使用される管理者ツールです。

この記事では、GPResultコマンドを使用して診断、デバッグ、およびActiveDirectoryドメインのWindowsに適用されているグループポリシー設定を分析します。

グループポリシーの結果（GPResult.exe）コマンドの使用方法

グループポリシーの適用を確認するコンピューターでGPResultコマンドを実行する必要があります。 GPResultの構文は次のとおりです。

GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]

特定のユーザーまたはコンピューターに適用されるグループポリシー、およびGPOインフラストラクチャに関連するその他の設定（結果のGPOポリシー設定、RsoP）に関する詳細情報を取得するには、コマンドプロンプトを開き、次のコマンドを実行します。
Gpresult /r
このコマンドの結果は、次の2つのセクションに分かれています。

• コンピューター設定 –このセクションには、コンピューターに（Active Directoryオブジェクトとして）適用されたGPオブジェクトに関する情報が含まれています。
• ユーザー設定 –これはユーザーポリシーセクション（ADユーザーのアカウントに適用されるポリシー）です。

管理者が関心を持つ可能性のあるGPResult出力の基本的な設定/セクションについて簡単に説明します。

• サイト名 –は、コンピューターが配置されているADサイトの名前です。
• CN –RSoPデータが生成された完全な正規ユーザー/コンピューター名。
• 前回グループポリシーが適用された –グループポリシー設定が最後に適用（更新）された時刻です。
• グループポリシーはから適用されました –は、最新のGPOバージョンがダウンロードされたドメインコントローラー名です。
• ドメイン名とドメインタイプ –はActiveDirectoryドメインスキーマの名前とバージョン番号です。
• 適用されたグループポリシーオブジェクト –適用されたGPOのリストです。
• 次のGPOは除外されたため、適用されませんでした
• ユーザーは次のセキュリティグループに属しています –ユーザーがメンバーになっているドメインセキュリティグループのリスト。

この例では、4つのグループポリシーがユーザーオブジェクトに適用されていることがわかります。

• キャッシュされたクレデンシャルを無効にする;
• DNSサフィックス検索リスト;
• Windowsファイアウォールを有効にする;
• デフォルトのドメインポリシー。

レポートには、ローカルグループポリシーエディター（gpedit.msc）を介して構成されたローカルポリシー設定に関する情報も含まれます。 。

/ scopeオプションを使用して、ユーザーまたはコンピューターのポリシーのみを表示できます。
gpresult /r /scope:user
または適用されたコンピューターポリシーのみ：
gpresult /r /scope:computer
管理者以外のユーザーアカウントでコンピューターオブジェクトに適用されているGPOのリストを取得しようとすると、gpresultコマンドはアクセス拒否エラーを返します。
gpresult /r /scope:computer

ERROR: Access Denied.

RSOPデータの解析と分析に便利なように、Gpresultの結果をクリップボードにリダイレクトできます。
Gpresult /r |clip
またはテキストファイル：
Gpresult /r > c:\ps\gpresult.txt
より詳細なRSoP情報を表示するには、 / zを追加する必要があります キー：
Gpresult /r /z
たとえば、スクリーンショットは、コンピューターに適用されるドメインパスワードポリシー設定を示しています。

GPResultを使用したRSoPレポートのHTMLへのエクスポート

GPResultを使用すると、適用された結果のポリシー（Windows 7以降で使用可能）に関するHTMLレポートを生成できます。このレポートには、グループポリシーによって設定されたすべてのシステム設定と、それらを設定したGPOの名前に関する詳細情報が含まれています。 gpresultHTMLレポートは構造的に設定に似ています グループポリシー管理コンソールのタブ（gpmc.msc ）。次のgpresultコマンドを使用してRSoPHTMLレポートを生成できます。
GPResult /h c:\PS\gpo-report.html /f
HTMLファイルへのフルパスを指定しない場合、gpresultHTMLレポートは%WINDIR%\system32に保存されます。 フォルダ。

レポートを生成してブラウザで自動的に開くには、次のコマンドを実行します。
GPResult /h GPResult.html & GPResult.html
gpresult HTMLレポートには、非常に多くの有用な情報が含まれています。エラーを適用しているGPO、特定のポリシーの処理時間（ミリ秒）、およびCSE（[コンピューターの詳細]-> [コンポーネントの状態]セクション）を確認できます。これは、GPO処理に時間がかかる理由を理解する必要がある場合に役立ちます。

たとえば、上のスクリーンショットでは、 E パスワード履歴を強制する ポリシー 「24個のパスワードを記憶」の設定で デフォルトのドメインポリシー（ Winning GPO ）によって適用されます 列）。

HTMLレポートを使用すると、結果のコンピューターGPOのセットを便利なグラフィカル形式で表示できます。

GPResult：リモートコンピューターからRSOPデータを取得する

GPResultは、ローカルまたはRDPを介してリモートデバイスにログオンする必要なしに、リモートコンピューターから結果のポリシーセットを取得できます。
GPResult /s remote-pc-name1 /r>
gpresultオプションを使用して、リモートコンピューターに接続するためのユーザー名とパスワードを指定できます。

gpresult /R /S wks2b21c /scope user /U corp\jsmith /P myPaSSw0rd1!

パスワードをPowerShellコマンド履歴に保存したくない場合は、対話形式でパスワードの入力を求めることができます。

gpresult /R /S wks2b21c /scope user /U corp\jsmith /P

同様に、ユーザーポリシーとコンピューターポリシーの両方に関するデータをリモートで収集できます。

リモートコンピューターにログオンしているユーザーの名前がわからない場合は、次のようなユーザー名を取得できます。

qwinsta /SERVER:wks2b21c

gpresultコマンドによって生成されるものと同様のRSOPHTMLレポートは、PowerShellを使用して生成できます。結果のポリシーレポートをリモートコンピューターから取得するには、 Get-GPResultantSetOfPolicyを使用します GroupPolicyモジュールのコマンドレット：

Get-GPResultantSetOfPolicy -user jsmith -computer corp\wks2b21c -reporttype html -path c:\ps\gpo_rsop_report.html

GPResult：ユーザーはRSoPデータを持っていません

UACが有効で、GPResultが非昇格モードで使用されている場合、グループポリシーのユーザー設定セクションのみが表示されます。両方のセクション（ユーザー設定とコンピューター設定）を表示する必要がある場合は、コマンドが管理者権限でコマンドプロンプトで実行されている必要があります。

現在のユーザーとは異なるアカウントに代わって管理者特権のコマンドプロンプトが実行されると、ツールは警告を表示します：情報：ユーザー「domain\user」にはRSOPデータがありません 。これは、GPResultが開始したユーザーのデータを収集しようとするために発生しますが、このユーザーはログインしていないため、RSOP情報はありません。アクティブなセッションを持つユーザーのRSOP情報を収集するには、そのユーザーのアカウントを指定する必要があります：
gpresult /r /user:corp\edward

また、クライアントの時刻（およびタイムゾーン）を確認してください。時間は、FSMO PDCロールを実行しているドメインコントローラー（プライマリドメインコントローラー）の時間と一致する必要があります。

次のGPOは、フィルターで除外されたため適用されませんでした

適用されたグループポリシーのトラブルシューティングを行うときは、次のセクションに注意する必要があります。次のGPOは、除外されたため適用されませんでした 。これには、何らかの理由でこのオブジェクトに適用されていないGPOのリストが含まれています。 GPOが特定のActiveDirectoryオブジェクトに適用されない理由は次のとおりです。

• フィルタリング：適用されない（空） –ポリシーは空です（適用するものはありません）。
• フィルタリング：拒否（不明な理由）– ユーザー/コンピューターには、このポリシーを読み取ったり適用したりする権限がない可能性があります。アクセス許可は、グループポリシー管理コンソール（gpmc.msc）の[セキュリティ]タブで構成できます。 ）;
• フィルタリング：拒否（セキュリティ）— 明示的な拒否は、グループポリシーの適用セクションで指定されています 、またはADオブジェクトがGPOの[セキュリティフィルタリング]セクションのグループのリストに含まれていません。

また、GPOをADの組織単位（OU）に適用するか、GPMCの[有効なアクセス許可]タブ（[詳細設定]-> [有効なアクセス]）で特定のオブジェクトに適用するかを確認できます。

Windowsでのポリシーの結果セット（RSOP.msc）スナップイン

最初は、グラフィカルコンソールRSOP.msc Windowsで適用されたグループポリシーを診断するために使用されました。このmmcスナップインを使用すると、GPOエディターコンソールに似たグラフィカル形式で、コンピューターとユーザーに適用された結果のポリシー（ドメイン+ローカル）の設定​​を取得できます。 RSOP.msc 下のスクリーンショットのコンソールは、WindowsUpdate設定がWSUS_SERVERSポリシーによって構成されていることを示しています。

RSOP.mscを使用して、最新のWindowsバージョンで適用されたGPOを完全に分析することはできません。 GPP（グループポリシー設定）などのクライアント側拡張機能（CSE）を介して適用された設定は表示されず、検索が許可されず、診断情報もほとんど提供されません。 rsop.mscを実行している場合 Windows 10および11では、完全なGPOレポートを取得するにはgpresultを使用する必要があるという警告がありました。

Starting with Vista, the Resultant Set of Policies (RSoP) report does not show all Microsoft Group Policy settings. To see the full set of Microsoft Group Policy settings applied for a computer or user, use the command-line tool gpresult.

この記事では、GPResultコマンドを使用して、Windowsに適用される結果のグループポリシーを分析する方法について説明しました。さらに、次のガイドは、ドメイン内のGPOのトラブルシューティングに役立つ場合があります：「グループポリシーをクライアントに適用することを妨げる一般的な問題」。