¿Cómo puedo exportar todas las políticas de grupo a un formato fácil de analizar?

8

Necesito volcar todas las Políticas de grupo dentro de Active Directory para revisar fuera de línea en una fecha posterior. ¿Hay alguna manera de exportar fácilmente todas las Políticas de grupo a texto o algún otro formato fácil de analizar?

Editar: ¿Estas herramientas funcionarán desde una computadora que no es parte del dominio? Tengo credenciales de dominio, pero mi computadora portátil de trabajo no es necesariamente parte del dominio que necesito revisar.

active-directory group-policy export text romandas
fuente

Respuestas:

4

Desafortunadamente, con la naturaleza modular de los controladores de extensión de directivas de grupo, no creo que encuentre una herramienta mejor que la Consola de administración de directivas de grupo para hacer lo que busca.

Su ruta más fácil será usar una computadora unida al dominio para ejecutar GPMC y examinar / exportar los GPO. Por supuesto, si hay GPO a los que se han modificado sus permisos predeterminados, es posible que no tenga acceso a ellos con sus credenciales para auditarlos.

Dado lo fácil que sería hacer lo que desea con GPMC en una computadora miembro del dominio, diría que debe buscar eso. Si tiene problemas, lo abordaría como un problema "político" / de gestión y no como un problema técnico. GPMC es la herramienta adecuada para el trabajo, y si se espera que haga el trabajo, debe tener acceso para hacerlo. Lo mismo ocurriría con el acceso a los GPO a los que sus credenciales de dominio podrían no tener acceso.

Si no puede obtener acceso a una computadora miembro del dominio que ejecuta GPMC, su siguiente mejor alternativa (pero no deseable) sería tener un administrador que respalde todos los GPO y le dé la copia de seguridad. Puede importar esa copia de seguridad en otro dominio de AD que controle y audite los GPO allí. El problema con esa estrategia es que toda la información de SID en el dominio original será incomprensible para usted en su propio dominio (y se perderá si "asigna" los GPO importados a los usuarios / grupos dentro de su dominio).

GPMC es tu herramienta. Descubre cómo hacer que los "poderes fácticos" te permitan usar la herramienta y podrás hacer el trabajo de manera rápida y eficiente.

Evan Anderson
fuente
3

A partir de Windows Server 2008 R2 o Windows 7 con RSAT instalado, puede usar Powershell para exportar todas sus configuraciones de GPO a HTML o XML con Get-GPOReport.

Import-Module GroupPolicy

# Export a specific GPO
Get-GPOReport -Name MyFooGPO -ReportType Html -Path MyFooGPOReport.htm
Get-GPOReport -Name MyFooGPO -ReportType Xml -Path MyFooGPOReport.xml

# Export all GPOs
Get-GPOReport -All -ReportType Html -Path AllGPOsReport.htm
Get-GPOReport -All -ReportType Xml -Path AllGPOsReport.xml

Hay muchos otros Cmdlets útiles contenidos en el módulo GroupPolicy .

oleschri
fuente
2

sería más fácil hacerlo pidiéndole al administrador que haga una copia de seguridad de todos los GPO utilizando GPMC y le dé acceso a esa carpeta de copia de seguridad, después de eso puede abrir su instancia de GPMC y señalarla a esa carpeta de copia de seguridad y leer todo lo que desee en la interfaz muy intuitiva de GPMC .

Otra opción sería verificar el siguiente script que viene con GPMC. (por defecto C: \ Archivos de programa \ GPMC \ Scripts)

GetReportsForAllGPOs.wsf: genera informes XML para TODOS los GPO en un dominio determinado

GetReportsForGPO.wsf: genera informes XML y HTML para un GPO determinado

KAPes
fuente
1

admx.exe en el Kit de recursos de Windows Server 2003 le permitirá hacer esto.

ADM File Parser (AdmX) es una herramienta de línea de comandos que permite a un administrador exportar la configuración de la directiva de grupo a un archivo de texto delimitado por tabuladores. El administrador puede usar el texto producido por ADM File Parser (AdmX) para buscar cambios en la configuración de la política entre las diferentes versiones de los sistemas operativos.

GregD
fuente
Tenga en cuenta que AdmX solo descarga los datos administrativos relacionados con las plantillas. Debido a la arquitectura modular de las extensiones de políticas de grupo, ninguna herramienta puede hacer "todo".
Evan Anderson el
Tiene razón, por eso tengo que imprimir la pestaña "Configuración" para todos y cada uno de mis GPO en el GPMC :)
GregD
1

Haga que el administrador de GP abra el complemento de Administración de directivas de grupo para la Consola de administración de Microsoft.

Cuando selecciona un GPO, hay 4 pestañas en la parte superior: Delegación de configuración de detalles de alcance

El alcance le mostrará a quién y / o a qué se aplica si necesita auditar eso.

La configuración generará un informe con formato HTML de todas las configuraciones configuradas en el GPO que es muy fácil de leer. Al hacer clic derecho en cualquier parte del área de datos de Configuración, podrá "Guardar informe ..." en formato HTML estándar.

Simplemente haga que su administrador de GP guarde el informe de configuración para cada política que desee revisar :)

Garrett
fuente
0

Use GPMC para esto (de todos modos, debería usarlo para toda su administración de GPO ).

Maximus Minimus
fuente
En este caso, no soy yo quien administra los GPO; Estoy auditando
romandas