Ich muss alle Gruppenrichtlinien in Active Directory sichern, um sie zu einem späteren Zeitpunkt offline überprüfen zu können. Gibt es eine Möglichkeit, alle Gruppenrichtlinien einfach in Text oder ein anderes leicht analysierbares Format zu exportieren?
Bearbeiten: Funktionieren diese Tools von einem Computer aus, der nicht Teil der Domäne ist? Ich habe Domain-Anmeldeinformationen, aber mein Arbeits-Laptop ist nicht unbedingt Teil der Domain, die ich überprüfen muss.
Antworten:
Aufgrund des modularen Charakters der Handler für Gruppenrichtlinienerweiterungen glaube ich leider nicht, dass Sie ein besseres Tool als die Gruppenrichtlinien-Verwaltungskonsole finden werden, um das zu tun, wonach Sie suchen.
Am einfachsten ist es, entweder einen mit der Domäne verbundenen Computer zu verwenden, um die Gruppenrichtlinien-Verwaltungskonsole auszuführen und die Gruppenrichtlinienobjekte zu untersuchen / exportieren. Wenn es Gruppenrichtlinienobjekte gibt, deren Standardberechtigungen geändert wurden, haben Sie möglicherweise keinen Zugriff auf sie mit Ihren Anmeldeinformationen, um sie zu überwachen.
Angesichts der Tatsache, wie einfach es wäre, mit GPMC auf einem Computer mit Domänenmitgliedern das zu erreichen, was Sie wollen, würde ich sagen, dass Sie dies weiterverfolgen sollten. Wenn Sie Probleme haben, würde ich es als "politisches" / Management-Problem und nicht als technisches Problem betrachten. GPMC ist das richtige Tool für den Job. Wenn Sie den Job ausführen sollen, müssen Sie Zugriff darauf haben. Das Gleiche gilt für den Zugriff auf Gruppenrichtlinienobjekte, auf die Ihre Domänenanmeldeinformationen möglicherweise keinen Zugriff haben.
Wenn Sie absolut keinen Zugriff auf einen Computer eines Domänenmitglieds erhalten, auf dem GPMC ausgeführt wird, besteht Ihre nächstbeste (aber unerwünschte Alternative) darin, dass ein Administrator dort alle Gruppenrichtlinienobjekte sichert und Ihnen die Sicherung gibt. Sie können diese Sicherung in eine andere AD-Domäne importieren, die Sie dort steuern und die Gruppenrichtlinienobjekte überwachen. Das Problem bei dieser Strategie besteht darin, dass alle SID-Informationen in der ursprünglichen Domäne für Sie in Ihrer eigenen Domäne unverständlich sind (und verloren gehen, wenn Sie die importierten Gruppenrichtlinienobjekte Benutzern / Gruppen in Ihrer Domäne "zuordnen").
GPMC ist Ihr Werkzeug. Finden Sie heraus, wie Sie mit den "vorhandenen Kräften" das Tool verwenden können, und erledigen Sie Ihre Arbeit schnell und effizient.
Ab Windows Server 2008 R2 oder Windows 7 mit installiertem RSAT können Sie mit Powershell alle Ihre GPO-Einstellungen entweder in HTML oder in XML exportieren Get-GPOReport.
Import-Module GroupPolicy
# Export a specific GPO
Get-GPOReport -Name MyFooGPO -ReportType Html -Path MyFooGPOReport.htm
Get-GPOReport -Name MyFooGPO -ReportType Xml -Path MyFooGPOReport.xml
# Export all GPOs
Get-GPOReport -All -ReportType Html -Path AllGPOsReport.htm
Get-GPOReport -All -ReportType Xml -Path AllGPOsReport.xmlDas GroupPolicy-Modul enthält viele weitere hilfreiche Cmdlets .
Es ist einfacher, den Administrator zu bitten, alle Gruppenrichtlinienobjekte mit GPMC zu sichern und Ihnen Zugriff auf diesen Sicherungsordner zu gewähren. Danach können Sie Ihre GPMC-Instanz öffnen und auf diesen Sicherungsordner verweisen und alles, was Sie möchten, in der sehr intuitiven Oberfläche von GPMC lesen .
Eine andere Option wäre die Überprüfung des folgenden Skripts, das mit GPMC geliefert wird. (Standardmäßig C: \ Programme \ GPMC \ Scripts)
GetReportsForAllGPOs.wsf: Generiert XML-Berichte für ALLE Gruppenrichtlinienobjekte in einer bestimmten Domäne
GetReportsForGPO.wsf: Generiert XML- und HTML-Berichte für ein bestimmtes Gruppenrichtlinienobjekt
Mit admx.exe im Windows Server 2003 Resource Kit können Sie dies tun.
Der ADM File Parser (AdmX) ist ein Befehlszeilentool, mit dem ein Administrator Gruppenrichtlinieneinstellungen in eine durch Tabulatoren getrennte Textdatei exportieren kann. Der Administrator kann dann den von ADM File Parser (AdmX) erstellten Text verwenden, um Änderungen für die Richtlinieneinstellungen zwischen verschiedenen Versionen der Betriebssysteme zu finden.
Lassen Sie den GP-Administrator das Gruppenrichtlinienverwaltungs-Snap-In für die Microsoft Management Console öffnen.
Wenn Sie ein Gruppenrichtlinienobjekt auswählen, befinden sich oben 4 Registerkarten: Delegierung der Einstellungen für Bereichsdetails
Der Bereich zeigt Ihnen, für wen und / oder was er gilt, wenn Sie dies prüfen müssen.
Die Einstellungen generieren einen HTML-formatierten Bericht über alle konfigurierten Einstellungen im Gruppenrichtlinienobjekt, der sehr einfach zu lesen ist. Wenn Sie mit der rechten Maustaste auf eine beliebige Stelle im Datenbereich "Einstellungen" klicken, können Sie "Bericht speichern ..." im Standard-HTML-Format.
Lassen Sie einfach Ihren GP-Administrator den Einstellungsbericht für jede Richtlinie speichern, die Sie überprüfen möchten :)
Verwenden Sie hierfür GPMC (Sie sollten es sowieso für die gesamte GPO-Verwaltung verwenden ).