Gibt es eine Möglichkeit, mehrere Gruppenrichtlinienobjekte in einem Gruppenrichtlinienobjekt zu konsolidieren?

7

Ich habe ungefähr 100 Gruppenrichtlinienobjekte, die ich auf 15 bis 20 zusammenführen möchte. Gibt es eine Möglichkeit, sie zusammenzuführen? Ich habe diesen Artikel gefunden:

http://blogs.technet.com/b/ashleymcglone/archive/2011/01/19/finally-copy-and-merge-gpos-powershell-saves-the-day.aspx

Es gibt jedoch Einschränkungen bei der Funktionalität, die ich nicht beheben kann, ohne sie einzeln durchzugehen.

windows-server-2008 group-policy active-directory BlindingDawn
quelle
Ich weiß die Antwort nicht, aber Sie erhalten eine +1, wenn Sie zumindest versuchen, die Gruppenrichtlinienobjekte zu konsolidieren.
John Gardeniers

Antworten:

5

Es gibt keine allgemeine Funktionalität, um das zu tun, wonach Sie suchen. Aufgrund des modularen Charakters von Gruppenrichtlinien und clientseitigen Erweiterungen (CSEs) kann es auch an sich keine verallgemeinerte Lösung geben. (Jemand könnte "Merge" -Handler für alle Standard-Microsoft-CSEs schreiben, aber jede CSE von Drittanbietern wäre ein eigenes Problem.)

Architektonisch kann die Gruppenrichtlinie erweitert werden, um neue Arten von Einstellungen zu verarbeiten. Auf Client-Seite sind diese CSEs DLLs, die das Parsen der Richtliniendaten für jeden unterschiedlichen Richtlinientyp (IE-Richtlinie, Sicherheitsrichtlinie, administrative Vorlagen / Registrierung usw.) verarbeiten. Auf der Serverseite ist die Verwaltungskonsole erweiterbar, damit Drittanbieter Verwaltungstools für ihre Richtliniendaten erstellen können. Es gibt kein standardisiertes Format für die Speicherung der CSE-Daten innerhalb des Gruppenrichtlinienobjekts. Die Registrierungsrichtlinie verwendet eine Registrierungsstrukturdatei, die IE-Richtlinie verwendet eine IEAK-Vorlagendatei usw.

Microsoft hat nicht daran gedacht, dass CSE-Verwaltungsschnittstellen von Drittanbietern Richtlinien zum Zusammenführen benötigen, damit dies nicht der Fall ist. Nennen wir es kurzsichtig, aber so ist es eben.

Welche Inhalte befinden sich in Ihren Gruppenrichtlinienobjekten neben den Registrierungsrichtlinien, die konsolidiert werden müssen? Je nachdem, was es ist, können Sie möglicherweise Code schreiben (oder jemanden dafür bezahlen, Code zu schreiben), um das zu tun, wonach Sie suchen.

Evan Anderson
quelle
Es ist eigentlich ein bisschen von allem, Überwachungsrichtlinien, Berechtigungen, Registrierungsänderungen, Bat-Dateien.
BlindingDawn
@BlindingDawn: Ja - das wird ein Schmerz. Ich hasse es, dir das sagen zu müssen. Wenn es sich jedoch um eine so vielseitige Mischung handelt, kann es gut sein, wenn ein Mensch sie trotzdem durchläuft. Das ist eine Menge GPOs (und ich sage dies als ein Typ, der mindestens einen Kunden mit mehr als 50 GPOs in seinem 1000-PC-Netzwerk hat).
Evan Anderson
Ich nehme "Dinge, die ich nicht hören wollte" für 1.000 Dollar, Evan
BlindingDawn
3

Sie können mit einem Tool beginnen, mit dem Gruppenrichtlinienobjekte verglichen werden können, um festzustellen, was (wenn überhaupt) alle Gruppenrichtlinienobjekte gemeinsam haben. Sobald Sie dies erreicht haben, können Sie zunächst ein neues Gruppenrichtlinienobjekt erstellen, das alle allgemeinen Einstellungen enthält, und von dort aus arbeiten.

Vermeiden Sie die Versuchung, ein einziges monolithisches Gruppenrichtlinienobjekt zu erstellen, um alles zu erledigen. 100 klingt nach zu vielen, aber 1 ist wahrscheinlich zu wenig.

Joeqwerty
quelle
Können Sie ein solches Tool vorschlagen?
Daniel Goldberg
Hier sind zwei: quest.com/landing/… und sdmsoftware.com/group_policy_compare.php
joeqwerty