GPResult.exe 명령줄 도구는 Active Directory 도메인의 사용자 및/또는 컴퓨터에 적용되는 RSoP(정책 결과 집합)를 가져오는 데 사용됩니다. GPResult를 사용하면 컴퓨터 및 사용자, 정책 설정, GPO 처리 시간 및 오류에 적용되는 도메인 정책(GPO) 목록을 표시할 수 있습니다. Windows에서 설정을 분석하고 그룹 정책 문제를 해결하기 위해 가장 일반적으로 사용되는 관리자 도구입니다.
이 문서에서는 GPResult 명령을 사용하여 진단, 디버그 및 Active Directory 도메인에서 Windows에 적용된 그룹 정책 설정을 분석합니다.
그룹 정책 결과(GPResult.exe) 명령을 사용하는 방법
그룹 정책의 적용을 확인하려는 컴퓨터에서 GPResult 명령을 실행해야 합니다. GPResult의 구문은 다음과 같습니다.
GPRESULT [/S system [/U username [/P [password]]]] [/SCOPE scope] [/USER targetusername] [/R | /V | /Z] [(/X | /H) <filename> [/F]]
특정 사용자 또는 컴퓨터에 적용된 그룹 정책 및 GPO 인프라와 관련된 기타 설정(결과 GPO 정책 설정, RsoP)에 대한 자세한 정보를 얻으려면 명령 프롬프트를 열고 다음 명령을 실행하십시오.Gpresult /r
이 명령의 결과는 두 섹션으로 나뉩니다.
- 컴퓨터 설정 – 섹션에는 컴퓨터에 적용된 GP 개체(Active Directory 개체로)에 대한 정보가 포함되어 있습니다.
- 사용자 설정 – 사용자 정책 섹션(AD 사용자 계정에 적용되는 정책)입니다.
관리자가 관심을 가질 수 있는 GPResult 출력의 기본 설정/섹션을 간략하게 살펴보겠습니다.
- 사이트 이름 – 컴퓨터가 위치한 AD 사이트의 이름입니다.
- CN – RSoP 데이터가 생성된 정식 사용자/컴퓨터 이름,
- 마지막으로 그룹 정책이 적용된 시간 – 그룹 정책 설정이 마지막으로 적용된(업데이트된) 시간입니다.
- 그룹 정책이 에서 적용됨 – 마지막 GPO 버전이 다운로드된 도메인 컨트롤러 이름입니다.
- 도메인 이름 및 도메인 유형 – Active Directory 도메인 스키마의 이름 및 버전 번호입니다.
- 적용된 그룹 정책 개체 – 적용된 GPO 목록입니다.
- 다음 GPO는 필터링되어 적용되지 않았습니다.
- 사용자는 다음 보안 그룹에 속해 있습니다. – 사용자가 속한 도메인 보안 그룹의 목록입니다.
이 예에서는 4개의 그룹 정책이 사용자 개체에 적용된 것을 볼 수 있습니다.
- 캐시된 자격 증명 비활성화
- DNS 접미사 검색 목록;
- Windows 방화벽 사용
- 기본 도메인 정책.
보고서에는 로컬 그룹 정책 편집기(gpedit.msc
)를 통해 구성된 로컬 정책 설정에 대한 정보도 포함됩니다. ).
/scope 옵션을 사용하여 사용자 또는 컴퓨터 정책만 표시할 수 있습니다.gpresult /r /scope:user
또는 적용된 컴퓨터 정책만:gpresult /r /scope:computer
관리자가 아닌 사용자 계정에서 컴퓨터 개체에 적용된 GPO 목록을 가져오려고 하면 gpresult 명령이 액세스 거부 오류를 반환합니다.gpresult /r /scope:computer
ERROR: Access Denied.
RSOP 데이터 구문 분석 및 분석의 편의를 위해 Gpresult 결과를 클립보드로 리디렉션할 수 있습니다.Gpresult /r |clip
또는 텍스트 파일:Gpresult /r > c:\ps\gpresult.txt
더 자세한 RSoP 정보를 표시하려면 /z를 추가해야 합니다. 키:Gpresult /r /z
예를 들어 스크린샷은 컴퓨터에 적용되는 도메인 비밀번호 정책 설정을 보여줍니다.
GPResult를 사용하여 RSoP 보고서를 HTML로 내보내기
GPResult를 사용하면 적용된 결과 정책에 대한 HTML 보고서를 생성할 수 있습니다(Windows 7 이상에서 사용 가능). 이 보고서에는 그룹 정책에 의해 설정된 모든 시스템 설정과 이를 설정한 GPO의 이름에 대한 자세한 정보가 포함되어 있습니다. gpresult HTML 보고서는 구조적으로 설정과 유사합니다. 그룹 정책 관리 콘솔의 탭(gpmc.msc
). 다음 gpresult 명령을 사용하여 RSoP HTML 보고서를 생성할 수 있습니다.GPResult /h c:\PS\gpo-report.html /f
HTML 파일의 전체 경로를 지정하지 않으면 gpresult HTML 보고서가 %WINDIR%\system32
에 저장됩니다. 폴더.
보고서를 생성하고 브라우저에서 자동으로 열려면 다음 명령을 실행하십시오.GPResult /h GPResult.html & GPResult.html
gpresult HTML 보고서에는 오류를 적용한 GPO, 특정 정책에 대한 처리 시간(ms) 및 CSE(컴퓨터 세부 정보 -> 구성 요소 상태 섹션에서)를 볼 수 있는 유용한 정보가 많이 포함되어 있습니다. 이는 GPO 처리에 시간이 오래 걸리는 이유를 이해해야 할 때 유용합니다.
예를 들어 위의 스크린샷에서 E 비밀번호 기록 강제 실행 정책 '24개의 비밀번호가 기억됨' 설정 사용 기본 도메인 정책(우승 GPO)에 의해 적용됩니다. 열).
HTML 보고서를 사용하면 컴퓨터 GPO의 결과 집합을 편리한 그래픽 형식으로 표시할 수 있습니다.
GPResult:원격 컴퓨터에서 RSOP 데이터 가져오기
GPResult는 로컬로 또는 RDP를 통해 원격 장치에 로그온할 필요 없이 원격 컴퓨터에서도 정책 결과 집합을 가져올 수 있습니다.GPResult /s remote-pc-name1 /r
gpresult 옵션을 사용하여 원격 컴퓨터에 연결할 사용자 이름과 암호를 지정할 수 있습니다.
gpresult /R /S wks2b21c /scope user /U corp\jsmith /P myPaSSw0rd1!
PowerShell 명령 기록에 암호를 저장하지 않으려면 대화식으로 암호를 묻는 메시지를 표시할 수 있습니다.
gpresult /R /S wks2b21c /scope user /U corp\jsmith /P
마찬가지로 사용자 및 컴퓨터 정책 모두에 대한 데이터를 원격으로 수집할 수 있습니다.
원격 컴퓨터에 로그온한 사용자의 이름을 모르는 경우 다음과 같은 사용자 이름을 얻을 수 있습니다.
qwinsta /SERVER:wks2b21c
Get-GPResultantSetOfPolicy -user jsmith -computer corp\wks2b21c -reporttype html -path c:\ps\gpo_rsop_report.html
GPResult:사용자에게 RSoP 데이터가 없음
UAC가 활성화되고 GPResult가 비승격 모드에서 사용되는 경우 그룹 정책의 사용자 설정 섹션만 표시됩니다. 두 섹션(USER SETTINGS 및 COMPUTER SETTINGS)을 모두 표시해야 하는 경우 명령은 관리자 권한으로 명령 프롬프트에서 실행 중이어야 합니다.
현재 사용자와 다른 계정을 대신하여 관리자 권한 명령 프롬프트를 실행하면 도구에 다음 경고가 표시됩니다. INFO:"domain\user" 사용자에게 RSOP 데이터가 없습니다. . 이것은 GPResult가 이를 시작한 사용자의 데이터를 수집하려고 시도하지만 이 사용자가 로그인하지 않았기 때문에 그에 대한 RSOP 정보가 없기 때문에 발생합니다. 활성 세션이 있는 사용자에 대한 RSOP 정보를 수집하려면 해당 계정을 지정해야 합니다.gpresult /r /user:corp\edward
또한 클라이언트의 시간(및 시간대)을 확인하십시오. 시간은 FSMO PDC 역할(주 도메인 컨트롤러)을 실행하는 도메인 컨트롤러의 시간과 일치해야 합니다.
다음 GPO는 필터링되어 적용되지 않았습니다.
적용된 그룹 정책의 문제를 해결할 때 다음 GPO가 필터링되어 적용되지 않았습니다 섹션에 주의를 기울일 필요가 있습니다. . 어떤 이유로든 이 개체에 적용되지 않은 GPO 목록이 포함되어 있습니다. GPO가 특정 Active Directory 개체에 적용되지 않는 몇 가지 이유는 다음과 같습니다.
- 필터링:적용되지 않음(비어 있음) – 정책이 비어 있습니다(적용할 항목이 없음).
- 필터링:거부됨(알 수 없는 이유) – 사용자/컴퓨터는 이 정책을 읽고 적용할 권한이 없을 수 있습니다. 권한은 그룹 정책 관리 콘솔(
gpmc.msc
)의 보안 탭에서 구성할 수 있습니다. ); - 필터링:거부됨(보안) — 명시적 거부는 그룹 정책 적용 섹션에 지정되어 있습니다. , 또는 AD 개체가 GPO의 보안 필터링 섹션에 있는 그룹 목록에 없습니다.
또한 GPMC의 유효 권한 탭(고급 -> 유효 액세스)에서 GPO를 AD의 OU(조직 구성 단위) 또는 특정 개체에 적용해야 하는지 확인할 수 있습니다.
Windows의 정책 결과 집합(RSOP.msc) 스냅인
처음에는 그래픽 콘솔 RSOP.msc
Windows에서 적용된 그룹 정책을 진단하는 데 사용되었습니다. 이 mmc 스냅인을 사용하면 GPO 편집기 콘솔과 유사한 그래픽 형식으로 컴퓨터와 사용자에 적용된 결과 정책(도메인 + 로컬)의 설정을 얻을 수 있습니다. RSOP.msc
아래 스크린샷의 콘솔은 Windows 업데이트 설정이 WSUS_SERVERS 정책에 의해 구성되었음을 보여줍니다.
RSOP.msc를 사용하여 최신 Windows 버전에서 적용된 GPO를 완전히 분석할 수 없습니다. GPP(그룹 정책 기본 설정)와 같은 CSE(클라이언트 측 확장)를 통해 적용된 설정은 표시되지 않으며 검색을 허용하지 않으며 약간의 진단 정보를 제공합니다. rsop.msc
실행 시 Windows 10 및 11에서 전체 GPO 보고서를 얻으려면 gpresult를 사용해야 한다는 경고가 있었습니다.
Starting with Vista, the Resultant Set of Policies (RSoP) report does not show all Microsoft Group Policy settings. To see the full set of Microsoft Group Policy settings applied for a computer or user, use the command-line tool gpresult.
이 기사에서는 GPResult 명령을 사용하여 Windows에 적용된 결과 그룹 정책을 분석하는 방법을 살펴보았습니다. 또한 다음 가이드는 도메인의 GPO 문제를 해결하는 데 도움이 될 수 있습니다. "그룹 정책이 클라이언트에 적용되지 않도록 하는 일반적인 문제"