Как я могу экспортировать все групповые политики в легко разбираемый формат?


9

Мне нужно сбросить все групповые политики в Active Directory для последующего просмотра в автономном режиме. Есть ли способ, которым я могу легко экспортировать все групповые политики в текстовый или какой-либо другой легко разбираемый формат?

Изменить: Будут ли эти инструменты работать с компьютера, который не является частью домена? У меня есть учетные данные домена, но мой рабочий ноутбук не обязательно является частью домена, который мне нужно проверить.

Ответы:


4

К сожалению, с модульной природой обработчиков расширений групповой политики, я не верю, что вы найдете какой-либо инструмент лучше, чем консоль управления групповыми политиками, чтобы делать то, что вам нужно.

Самый простой путь - использовать компьютер, подключенный к домену, для запуска консоли управления групповыми политиками и проверки / экспорта объектов групповой политики. Конечно, если есть объекты групповой политики, для которых были изменены разрешения по умолчанию, у вас может не быть доступа к ним с вашими учетными данными для их аудита.

Учитывая, как легко было бы сделать то, что вы хотите с помощью консоли управления групповыми политиками на компьютере, являющемся членом домена, я бы сказал, что вам следует продолжать это. Если у вас есть проблемы, я бы отнесся к ним как к «политической» / управленческой проблеме, а не технической проблеме. GPMC - это правильный инструмент для работы, и если вы ожидаете, что сделаете работу, у вас должен быть доступ к ней. То же самое относится и к доступу к объектам групповой политики, к которым учетные данные вашего домена могут не иметь доступа.

Если вы абсолютно не можете получить доступ к компьютеру, работающему в домене, на котором запущен GPMC, ваш следующий лучший (но нежелательный вариант) - это создать там администратора для резервного копирования всех объектов групповой политики и предоставления вам резервной копии. Вы можете импортировать эту резервную копию в другой домен AD, который вы там контролируете и проверяете. Проблема этой стратегии заключается в том, что вся информация SID в исходном домене будет непонятна вам в вашем собственном домене (и будет потеряна, если вы «сопоставите» импортированные объекты групповой политики с пользователями / группами внутри вашего домена).

GPMC - это ваш инструмент. Выясните, как сделать так, чтобы «мощные возможности» позволяли вам использовать инструмент, и вы выполняете работу быстро и эффективно.


3

Начиная с Windows Server 2008 R2 или Windows 7 с установленным RSAT, вы можете использовать Powershell для экспорта всех настроек GPO в HTML или XML с помощью Get-GPOReport.

Import-Module GroupPolicy

# Export a specific GPO
Get-GPOReport -Name MyFooGPO -ReportType Html -Path MyFooGPOReport.htm
Get-GPOReport -Name MyFooGPO -ReportType Xml -Path MyFooGPOReport.xml

# Export all GPOs
Get-GPOReport -All -ReportType Html -Path AllGPOsReport.htm
Get-GPOReport -All -ReportType Xml -Path AllGPOsReport.xml

Есть много других полезных командлетов, содержащихся в модуле GroupPolicy .


2

это было бы проще сделать, попросив администратора сделать резервную копию всех объектов групповой политики с помощью консоли управления групповыми политиками и предоставить вам доступ к этой папке резервного копирования, после чего вы можете открыть свой экземпляр консоли управления групповыми политиками и указать его в этой папке резервного копирования и прочитать все, что вы хотите, в очень интуитивно понятном интерфейсе консоли управления групповыми политиками. ,

Другой вариант - проверить следующий скрипт, который поставляется с GPMC. (по умолчанию C: \ Program Files \ GPMC \ Scripts)

GetReportsForAllGPOs.wsf: создает отчеты XML для всех объектов групповой политики в данном домене.

GetReportsForGPO.wsf: создает отчеты XML и HTML для данного объекта групповой политики.


1

admx.exe в Windows Server 2003 Resource Kit позволит вам сделать это.

Анализатор файлов ADM (AdmX) - это инструмент командной строки, который позволяет администратору экспортировать параметры групповой политики в текстовый файл с разделителями табуляции. Затем администратор может использовать текст, созданный анализатором файлов ADM (AdmX), чтобы найти изменения параметров политики между различными версиями операционных систем.


Помните, что AdmX выдает только административные данные, связанные с шаблоном. Из-за модульной архитектуры расширений групповой политики ни один инструмент не может делать «все».
Эван Андерсон

Вы правы, поэтому я должен распечатать вкладку «Настройки» для каждого из моих объектов групповой политики в консоли управления
групповыми политиками

1

Попросите администратора GP открыть оснастку «Управление групповой политикой» для консоли управления Microsoft.

При выборе объекта групповой политики вверху отображаются 4 вкладки: Область действия Сведения Параметры Делегирование

Scope покажет вам, к кому и / или к чему он относится, если вам необходимо это проверить.

Настройки создадут в формате HTML отчет обо всех настроенных параметрах в объекте групповой политики, который очень легко прочитать. Щелчок правой кнопкой мыши в любом месте области данных «Настройки» позволит вам «Сохранить отчет ...» в стандартном формате HTML.

Просто попросите администратора GP сохранить отчет о настройках для каждой политики, которую вы хотите просмотреть :)


0

Для этого используйте GPMC (в любом случае вы должны использовать его для всего управления GPO ).


В данном случае я не тот, кто управляет объектами групповой политики; Я одитирую
Романдас
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.