Negli articoli precedenti è stato mostrato come creare diversi Criteri di gruppo per gli account utente/computer del dominio.
Per verificare se le policy sono state applicate possiamo aiutarci con uno strumento incluso all'interno di Windows e utilizzato per il troubleshooting delle group policy: gpresult.exe.
Tramite gpresult è possibile recuperare le seguenti informazioni RSoP (Resultant set of Group Policy):
- Il domain controller da cui la workstation ha ottenuto i criteri di gruppo;
- Quando i criteri di gruppo sono stati applicati;
- Quali criteri di gruppo sono stati applicati
- Quali criteri di gruppo sono stati esclusi da filtri;
- Gruppi di appartenenza;
- Informazioni sulle abilitazioni.
Per verificare quali criteri di gruppo sono stati applicati agli account utente, dal prompt dei comandi di un computer del dominio eseguire il comando
gpresult /SCOPE user /V
Il fatto che un criterio di gruppo risulti applicato non significa che funzioni correttamente. Ad es. il criterio di gruppo che mappa in automatico una cartella condivisa risulterebbe comunque applicato anche se fa riferimento ad una cartella non più esistente o residente su una workstation/server non raggiungibile.
Tramite i parametri /S e /USER è possibile recuperare le informazioni di un account utente loggato su un computer remoto. Ad esempio, supponiamo di voler recuperare le informazioni dell'utente giovanni.lubrano loggato sul computer PCDIR001. Il comando sarà il seguente:
gpresult /S PCDIR001 /USER giovanni.lubrano /SCOPE user /V
FIG 1 - GPRESULT criteri utente |
Per verificare i criteri di gruppo applicati al computer, invece, eseguire il comando
gpresult /SCOPE computer /V
dal prompt dei comandi eseguito come amministratore. Il parametro /V fornisce un output dettagliato, se vogliamo informazioni ancora più dettagliate possiamo utilizzare il parametro /Z.
Anche in questo caso è possibile interrogare un computer remoto con il comando
gpresult /S PCDIR001 /SCOPE computer /V
FIG 2 - GPRESULT criteri computer |