Làm cách nào tôi có thể xuất tất cả các chính sách nhóm sang định dạng dễ phân tích?


8

Tôi cần kết xuất tất cả các Chính sách nhóm trong Active Directory để xem lại ngoại tuyến vào một ngày sau đó. Có cách nào để tôi có thể dễ dàng xuất tất cả Chính sách nhóm thành văn bản hoặc một số định dạng dễ phân tích cú pháp khác không?

Chỉnh sửa: Liệu các công cụ này có hoạt động từ một máy tính không phải là một phần của miền không? Tôi có thông tin tên miền, nhưng máy tính xách tay công việc của tôi không nhất thiết phải là một phần của tên miền tôi cần xem xét.

Câu trả lời:


4

Thật không may, với bản chất mô-đun của trình xử lý mở rộng chính sách nhóm, tôi không tin rằng bạn sẽ tìm thấy bất kỳ công cụ nào tốt hơn Bảng điều khiển quản lý chính sách nhóm để thực hiện những gì bạn đang theo đuổi.

Con đường dễ nhất của bạn sẽ là sử dụng máy tính được nối với miền để chạy GPMC và kiểm tra / xuất GPO. Tất nhiên, nếu có các GPO đã được sửa đổi quyền mặc định, bạn có thể không có quyền truy cập vào chúng với thông tin đăng nhập của bạn để kiểm tra chúng.

Cho biết cách dễ dàng thực hiện với những gì bạn muốn với GPMC trên máy tính thành viên tên miền Tôi muốn nói rằng bạn nên theo đuổi điều đó. Nếu bạn gặp vấn đề, tôi sẽ tiếp cận nó như một vấn đề "chính trị" / quản lý và không phải là vấn đề kỹ thuật. GPMC là công cụ phù hợp cho công việc và nếu bạn dự kiến ​​sẽ thực hiện công việc bạn cần có quyền truy cập để thực hiện công việc đó. Điều tương tự cũng xảy ra với việc truy cập GPO mà thông tin xác thực tên miền của bạn có thể không có quyền truy cập.

Nếu bạn hoàn toàn không thể có quyền truy cập vào máy tính thành viên tên miền đang chạy GPMC, điều tốt nhất tiếp theo của bạn (nhưng không thể thay thế) sẽ là quản trị viên ở đó sao lưu tất cả các GPO và cung cấp bản sao lưu cho bạn. Bạn có thể nhập bản sao lưu đó vào một miền AD khác mà bạn kiểm soát và kiểm toán GPO ở đó. Vấn đề với chiến lược đó là tất cả thông tin SID trong tên miền ban đầu sẽ không thể hiểu được với bạn trong tên miền của riêng bạn (và sẽ bị mất nếu bạn "ánh xạ" GPO đã nhập cho người dùng / nhóm trong miền của bạn).

GPMC là công cụ của bạn. Tìm hiểu làm thế nào để tạo ra "quyền hạn" cho phép bạn sử dụng công cụ và bạn sẽ hoàn thành công việc nhanh chóng và hiệu quả.


3

Bắt đầu với Windows Server 2008 R2 hoặc Windows 7 đã cài đặt RSAT, bạn có thể sử dụng Powershell để xuất tất cả các cài đặt GPO của mình sang HTML hoặc sang XML với Get-GPOReport.

Import-Module GroupPolicy

# Export a specific GPO
Get-GPOReport -Name MyFooGPO -ReportType Html -Path MyFooGPOReport.htm
Get-GPOReport -Name MyFooGPO -ReportType Xml -Path MyFooGPOReport.xml

# Export all GPOs
Get-GPOReport -All -ReportType Html -Path AllGPOsReport.htm
Get-GPOReport -All -ReportType Xml -Path AllGPOsReport.xml

Có nhiều Cmdlets hữu ích khác có trong mô đun GroupPolicy .


2

Sẽ dễ dàng hơn bằng cách yêu cầu quản trị viên sao lưu tất cả các GPO bằng GPMC và cấp cho bạn quyền truy cập vào thư mục sao lưu đó, sau đó bạn có thể mở phiên bản GPMC của mình và trỏ nó vào thư mục sao lưu đó và đọc bất cứ điều gì bạn muốn trong giao diện rất trực quan của GPMC .

Một lựa chọn khác sẽ là kiểm tra tập lệnh đi kèm với GPMC. (theo mặc định C: \ Chương trình tập tin \ GPMC \ Sc scripts)

GetReportsFor ALLGPOs.wsf: Tạo báo cáo XML cho TẤT CẢ GPO trong miền đã cho

GetReportsForGPO.wsf: Tạo báo cáo XML và HTML cho một GPO nhất định


1

admx.exe trong Bộ tài nguyên Windows Server 2003 sẽ cho phép bạn làm điều này.

Trình phân tích tệp ADM (admX) là một công cụ dòng lệnh cho phép quản trị viên xuất các cài đặt Chính sách nhóm thành tệp văn bản được phân định bằng tab. Sau đó, quản trị viên có thể sử dụng văn bản được tạo bởi ADM File Parser (admX) để tìm các thay đổi cho cài đặt chính sách giữa các phiên bản khác nhau của hệ điều hành.


Xin lưu ý rằng admX chỉ loại bỏ dữ liệu liên quan đến mẫu quản trị. Do cấu trúc mô đun của các phần mở rộng chính sách nhóm, không một công cụ nào có thể làm "mọi thứ".
Evan Anderson

Bạn đã đúng, đó là lý do tại sao tôi phải in ra tab "Cài đặt" cho từng GPO của mình trong GPMC :)
GregD

1

Yêu cầu quản trị viên GP mở phần đính vào Quản lý chính sách nhóm cho Microsoft Management Console.

Khi bạn chọn GPO, có 4 tab ở trên cùng: Phạm vi Cài đặt Chi tiết Phạm vi

Phạm vi sẽ cho bạn biết ai và / hoặc những gì nó áp dụng nếu bạn cần kiểm toán điều đó.

Cài đặt sẽ tạo một báo cáo được định dạng HTML của tất cả các cài đặt được định cấu hình trong GPO rất dễ đọc. Nhấp chuột phải vào bất cứ nơi nào trong vùng dữ liệu Cài đặt sẽ cho phép bạn "Lưu báo cáo ..." ở định dạng HTML tiêu chuẩn.

Chỉ cần yêu cầu quản trị viên GP của bạn lưu báo cáo Cài đặt cho bạn cho từng chính sách bạn muốn xem xét :)


0

Sử dụng GPMC cho điều này (bạn nên sử dụng nó cho tất cả các quản lý GPO bạn nào ).


Trong trường hợp này, tôi không phải là người quản lý GPO; Tôi đang kiểm toán.
romandas
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.