Comment puis-je exporter toutes les stratégies de groupe dans un format facilement analysable?

8

J'ai besoin de vider toutes les stratégies de groupe dans Active Directory pour les consulter hors ligne à une date ultérieure. Existe-t-il un moyen d'exporter facilement toutes les stratégies de groupe vers du texte ou un autre format facilement analysable?

Edit: ces outils fonctionneront-ils à partir d'un ordinateur qui ne fait pas partie du domaine? J'ai des informations d'identification de domaine, mais mon ordinateur portable professionnel ne fait pas nécessairement partie du domaine que je dois examiner.

romandas
la source

Réponses:

4

Malheureusement, avec la nature modulaire des gestionnaires d'extension de stratégie de groupe, je ne pense pas que vous allez trouver un meilleur outil que la console de gestion des stratégies de groupe pour faire ce que vous recherchez.

Votre chemin le plus simple consiste à utiliser un ordinateur joint au domaine pour exécuter GPMC et à examiner / exporter les GPO. Bien sûr, s'il existe des objets de stratégie de groupe dont les autorisations par défaut ont été modifiées, vous pourriez ne pas y avoir accès avec vos informations d'identification pour les auditer.

Étant donné la facilité avec ce que vous voulez avec GPMC sur un ordinateur membre du domaine, je dirais que vous devriez poursuivre. Si vous avez des problèmes, je considérerais cela comme un problème "politique" / de gestion et non un problème technique. GPMC est le bon outil pour le travail, et si vous êtes censé faire le travail, vous devez avoir accès pour le faire. La même chose irait avec l'accès aux objets de stratégie de groupe auxquels vos informations d'identification de domaine pourraient ne pas avoir accès.

Si vous ne pouvez absolument pas accéder à un ordinateur membre du domaine exécutant GPMC, votre meilleure alternative (mais non souhaitable) serait d'avoir un administrateur qui sauvegarde tous les GPO et vous donne la sauvegarde. Vous pouvez importer cette sauvegarde dans un autre domaine AD que vous contrôlez et auditez les GPO. Le problème avec cette stratégie est que toutes les informations SID du domaine d'origine vous seront incompréhensibles dans votre propre domaine (et seront perdues si vous "mappez" les objets de stratégie de groupe importés aux utilisateurs / groupes de votre domaine).

GPMC est votre outil. Découvrez comment rendre les «pouvoirs en place» vous permettent d'utiliser l'outil et vous accomplirez le travail rapidement et efficacement.

Evan Anderson
la source
3

À partir de Windows Server 2008 R2 ou Windows 7 avec RSAT installé, vous pouvez utiliser Powershell pour exporter tous vos paramètres GPO soit en HTML soit en XML avec Get-GPOReport.

Import-Module GroupPolicy

# Export a specific GPO
Get-GPOReport -Name MyFooGPO -ReportType Html -Path MyFooGPOReport.htm
Get-GPOReport -Name MyFooGPO -ReportType Xml -Path MyFooGPOReport.xml

# Export all GPOs
Get-GPOReport -All -ReportType Html -Path AllGPOsReport.htm
Get-GPOReport -All -ReportType Xml -Path AllGPOsReport.xml

Il existe de nombreuses autres applets de commande utiles contenues dans le module GroupPolicy .

oleschri
la source
2

il serait plus facile de le faire en demandant à l'administrateur de sauvegarder tous les objets de stratégie de groupe à l'aide de GPMC et de vous donner accès à ce dossier de sauvegarde, après quoi vous pouvez ouvrir votre instance GPMC et la pointer vers ce dossier de sauvegarde et lire tout ce que vous voulez dans l'interface très intuitive de GPMC .

Une autre option serait de vérifier le script suivant fourni avec GPMC. (par défaut C: \ Program Files \ GPMC \ Scripts)

GetReportsForAllGPOs.wsf: génère des rapports XML pour TOUS les objets de stratégie de groupe dans un domaine donné

GetReportsForGPO.wsf: génère des rapports XML et HTML pour un objet de stratégie de groupe donné

KAPes
la source
1

admx.exe dans le Kit de ressources Windows Server 2003 vous permettra de le faire.

ADM File Parser (AdmX) est un outil de ligne de commande qui permet à un administrateur d'exporter les paramètres de stratégie de groupe vers un fichier texte délimité par des tabulations. L'administrateur peut ensuite utiliser le texte produit par ADM File Parser (AdmX) pour rechercher les modifications des paramètres de stratégie entre les différentes versions des systèmes d'exploitation.

GregD
la source
Sachez qu'AdmX ne vide que les données liées aux modèles administratifs. En raison de l'architecture modulaire des extensions de stratégie de groupe, aucun outil ne peut tout faire.
Evan Anderson
Vous avez raison, c'est pourquoi je dois imprimer l'onglet "Paramètres" pour chacun de mes objets de stratégie de groupe dans la GPMC :)
GregD
1

Demandez à l'administrateur du GP d'ouvrir le composant logiciel enfichable Gestion des stratégies de groupe pour la console de gestion Microsoft.

Lorsque vous sélectionnez un objet de stratégie de groupe, il y a 4 onglets en haut: Délégation des paramètres des détails de l'étendue

Scope vous montrera à qui et / ou à quoi cela s'applique si vous avez besoin de vérifier cela.

Les paramètres généreront un rapport au format HTML de tous les paramètres configurés dans le GPO, ce qui est très facile à lire. Un clic droit n'importe où dans la zone de données Paramètres vous permettra de "Enregistrer le rapport ..." au format HTML standard.

Demandez simplement à votre administrateur GP d'enregistrer le rapport Paramètres pour vous pour chaque politique que vous souhaitez examiner :)

Garrett
la source
0

Utilisez GPMC pour cela (vous devriez l'utiliser pour toutes vos gestions de GPO de toute façon ).

Maximus Minimus
la source
Dans ce cas, ce n'est pas moi qui gère les GPO; J'audite.
romandas