Диагностика групповых политик: gpresult, rsop, Event Log
Я Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15 лет я видел десятки случаев «GPO не применяется, а должна». У нас на практике в корпоративных сетях это вторая по частоте проблема после «почему нет интернета у одного пользователя». Разберу порядок диагностики, инструменты и реальные причины, которые лечу каждый месяц.
Первый шаг: gpresult
Всегда начинаю с gpresult. Он показывает, что реально применилось на клиенте.
REM Простой отчёт
gpresult /r
REM HTML-отчёт для подробного анализа
gpresult /h %userprofile%\gpo.html /f
start %userprofile%\gpo.html
REM Отчёт для конкретного пользователя
gpresult /user "domain\ivanov" /h c:\temp\ivanov-gpo.html
REM Только настройки компьютера (когда нет интерактивной сессии)
gpresult /scope computer /vВ HTML-отчёте смотрим:
- Applied GPOs — список применённых политик.
- Denied GPOs — с причиной (Filtering, Empty, Disabled).
- Security Group Membership — в каких группах состоит объект.
- Winning GPO для каждой настройки — кто именно задал значение.
rsop.msc — графический взгляд
Устарел и показывает меньше, чем gpresult /h, но иногда удобен:
rsop.mscВ Windows Server 2022 часть настроек Preferences он не отображает — перешёл на HTML-отчёт.
Event Log: операционные события GPO
Event Viewer → Applications and Services Logs → Microsoft → Windows → GroupPolicy → Operational. Ключевые EventID:
| ID | Что означает |
|---|---|
| 4016 / 5016 | Начало/успех обработки компьютерной GPO |
| 4017 / 5017 | Начало/успех обработки LDAP |
| 5312 | Список применённых GPO |
| 5313 | Список отфильтрованных GPO |
| 7016 | Ошибка CSE |
| 8194 | Ошибка доступа к SYSVOL |
| 1058 | Не удалось прочитать GPO (часто SYSVOL/DFSR) |
1058 — моя любимая ошибка, почти всегда проблема с DFSR-репликацией SYSVOL между контроллерами. Идём на DC, проверяем состояние репликации.
Типичные причины неприменения GPO
1. Security Filtering после MS16-072
Патч MS16-072 (2016) изменил порядок чтения GPO — теперь их читает компьютер, а не пользователь. Если вы убрали Authenticated Users из Security Filtering ради точечной фильтрации по группе — GPO перестанет применяться.
Решение: оставьте Authenticated Users с правом Read, но без Apply. Затем добавьте нужную группу с Read + Apply.
2. WMI Filter «не стрельнул»
Часто для GPO ставят WMI-фильтр «только для Windows 10»:
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.%"Windows 11 имеет Version 10.0.22000+, но не проходит фильтр «Windows Server», «Windows 7». Проверка:
gpresult /r /scope:computer # показывает, какой WMI-фильтр отфильтровал3. GPO-link отключен / не на нужной OU
Часто админ создал GPO, но забыл привязать (Link) к OU. Или привязал к Domain Root, а хотел только на Workstations. Проверяем в gpmc.msc → дерево OU → свойства Link.
4. Block Inheritance и Enforced
OU может иметь Block Inheritance — не наследует политики сверху. А отдельные GPO могут быть Enforced — протыкают блокировку. Всегда проверяйте настройки OU и флаг Enforced.
5. Проблемы с SYSVOL / репликацией
Если GPO редактировали на одном DC, но она не появилась на другом — нужно проверить DFSR:
dcdiag /v /test:replications
repadmin /replsummary
repadmin /showrepl
wevtutil qe "DFS Replication" /c:10 /rd:true /f:text6. Slow Link Detection
По сути, если канал до DC медленный (меньше порога по умолчанию 500 kbps), часть расширений (Software Installation, Scripts) не применяется. Проверяем: Computer Configuration → Policies → Administrative Templates → System → Group Policy → Configure Group Policy slow link detection.
7. Время и Kerberos
Рассинхронизация часов между DC и клиентом больше 5 минут — Kerberos ломается, GPO не применяются. Команды:
w32tm /query /status
w32tm /resync /forceАлгоритм диагностики
gpresult /h report.html— что применилось, что отфильтровано.- Проверить Event Log GroupPolicy/Operational — ошибки 1058, 7016.
- Проверить членство в группах:
whoami /groupsдля пользователя,gpresult /scope:computerдля компьютера. - Проверить Link и Enforced на OU в gpmc.msc.
- Проверить Security Filtering и WMI-фильтры на GPO.
- Проверить репликацию:
dcdiag,repadmin /replsummary. - Проверить время:
w32tm /query /status. - Для пользовательских политик — проверить, применены ли настройки Computer (без них User может не применить часть).
- Если ничего не помогло —
gpupdate /force /bootс перезагрузкой и повторный gpresult.
Loopback processing
Специфическая настройка для терминальных серверов и киосков. Computer Configuration → Policies → Administrative Templates → System → Group Policy → Configure user Group Policy loopback processing mode.
- Merge — применяет пользовательские настройки И из OU пользователя, И из OU компьютера (последние побеждают).
- Replace — применяет только из OU компьютера, игнорируя OU пользователя.
Полезно, когда терминальный сервер должен принудительно задать всем пользователям одинаковый фон, ограничения панели управления и прочее.
Реальный кейс: у нового сотрудника не маппится общая папка
Однажды в 2024 году мы обслуживали проектный институт на 75 рабочих мест в Москве. Сотрудник сменил позицию — перевели из OU «Проектировщики» в OU «Инженеры». На новой должности не смаппился общий диск Z:. gpresult показал, что GPO «Engineers-Drives» не применена, хотя пользователь в нужной группе. Event Log — тишина.
Разбор показал: на GPO был WMI-фильтр «Windows 10 Pro», а у сотрудника пересел новый ноутбук с Windows 11 Home. Починили: убрали фильтр (он был исторический), поменяли ноут на Windows 11 Pro. Починка — 40 минут удалённо. Стоимость — по абонентке, отдельно не тарифицировалось.
Полезные команды на заметку
REM Принудительное обновление
gpupdate /force
gpupdate /force /boot # с перезагрузкой для Computer Config
gpupdate /force /logoff # с logoff для User Config
REM Показать все политики в домене
Get-GPO -All | Select DisplayName, GpoStatus, CreationTime
REM Связи OU → GPO
Get-GPInheritance -Target "OU=Users,DC=corp,DC=company,DC=ru"
REM Бэкап конкретной GPO
Backup-GPO -Name "Engineers-Drives" -Path C:\GPOBackup
REM Отчёт по GPO
Get-GPOReport -All -ReportType HTML -Path C:\gpo-all.htmlПочиним ваши групповые политики
15+ лет опыта с Active Directory и GPO. У нас на практике в обслуживании десятки корпоративных доменов. Удалённая и выездная диагностика, быстрый аудит, наведение порядка в «зоопарке» политик. Инфраструктура АйТи Фреш — 8 серверов Dell Xeon Platinum 8280 с 40G Mellanox в дата-центре МТС Москва.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — диагностика GPO
- Чем gpresult отличается от rsop.msc?
- gpresult — консольная утилита, быстро выводит применённые GPO, поддерживает HTML-отчёт. rsop.msc — MMC-оснастка с графическим деревом примененных настроек. Для анализа первая удобнее, для чтения — вторая.
- Почему политика показана как применённая, но настройка не действует?
- Два классических случая: настройка из Preferences выполнилась один раз и потом не применяется (Apply once), либо другая GPO перезаписывает в обратном порядке. Проверяйте порядок применения и winning GPO в gpresult.
- Как включить GPO только для одной группы?
- В Security Filtering снимите Authenticated Users, добавьте нужную группу с Read и Apply group policy. Не забудьте добавить Authenticated Users обратно с Read, иначе 2016+ клиенты не прочитают GPO (MS16-072).
- Что такое loopback processing?
- Loopback применяет пользовательские настройки GPO исходя из объекта Computer, а не User. Используется для терминальных серверов, где все пользователи должны получать одинаковые настройки при логине, независимо от OU.
- Как посмотреть события GPO в логах?
- Event Viewer → Applications and Services Logs → Microsoft → Windows → GroupPolicy → Operational. Там видны все события применения: успех, ошибки, время. EventID 4016/5016 — начало/успех, 4017/5017 — завершение, 7016 — ошибка.