mentos
Goto Top

Eine GPO aufteilen

Hallo Leute,
ich habe bereits länger im Netzt gesucht aber finde kein passendendes Tool deshalb meine Frage hier.

Ich habe zwei GPOs mit insgesamt über 800 Settings. Die GPOs sind unübersichtlich und sehr träge beim Öffnen. Deshalb würde dich diese GPOs gerne aufsplitten in kleinere GPOs - in logische Päckchen, damit auch andere Admins sofort bescheid wissen.

Wie wäre eure Vorgehensweise?
Gibt es Tools für das Auftrennen oder Mergen von GPOs?

Kann man mittels Backup kleinere neue GPOs basteln?

Vielen Dank im Voraus!

Content-ID: 6364863083

Url: https://administrator.de/contentid/6364863083

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

Doskias
Doskias 14.03.2023 um 16:45:08 Uhr
Goto Top
Moin

Zitat von @Mentos:
Hallo Leute,
ich habe bereits länger im Netzt gesucht aber finde kein passendendes Tool deshalb meine Frage hier.

Ich habe zwei GPOs mit insgesamt über 800 Settings. Die GPOs sind unübersichtlich und sehr träge beim Öffnen. Deshalb würde dich diese GPOs gerne aufsplitten in kleinere GPOs - in logische Päckchen, damit auch andere Admins sofort bescheid wissen.
Halte ich persönlich für eine gute Idee, andere Admins haben lieber eine GPO. Ist aber Geschmackssache.

Wie wäre eure Vorgehensweise?
Gibt es Tools für das Auftrennen oder Mergen von GPOs?
Nicht das es mir bekannt wäre. Das musst du schon per Hand machen. Du kannst GPOs kopieren und dann Inhalte löschen. Oder schreibst dir ein PowerShell-Skript. Aber auch dabei musst du sagen wie du es aufteilen willst.

Kann man mittels Backup kleinere neue GPOs basteln?
Was haben Backups jetzt damit zu tun? Backup machst du für etwas ganz anderes.

Gruß
Doskias
Mentos
Mentos 14.03.2023 um 16:55:55 Uhr
Goto Top
Zitat von @Doskias:
Was haben Backups jetzt damit zu tun? Backup machst du für etwas ganz anderes.

Gruß
Doskias

Damit meinte ich , ob es beispielsweise eine Möglichkeit gibt , Backups mit einem Editor zu öffnen, Einstellungen mit einem Editor zu löschen und dann das editierte Backup wieder zu importieren.
Doskias
Doskias 14.03.2023 um 17:22:32 Uhr
Goto Top
Zitat von @Mentos:

Zitat von @Doskias:
Was haben Backups jetzt damit zu tun? Backup machst du für etwas ganz anderes.

Gruß
Doskias

Damit meinte ich , ob es beispielsweise eine Möglichkeit gibt , Backups mit einem Editor zu öffnen, Einstellungen mit einem Editor zu löschen und dann das editierte Backup wieder zu importieren.

Hab ich das richtig verstanden? Du gedenkst im Backup Änderungen vorzunehmen und diese Änderungen dann ins Ad zurück zu spielen. Davon abgesehen, dass man in Backups nichts verändert, würde das zurückspielen höchst wahrscheinlich die ID der GPOo behalten und deine aktive überschreiben. Aber wie gesagt. Das was du vor hast brauchst du gar nicht. Das bringt die GPO-Verwaltung mit sich. GPO kopieren, Kopie anpassen. GPO kopieren, Kopie 2 anpassen, etc... Bis du alles auseinander gefummelt hast. Dann Ursprungs-GPO deaktiveren (nicht löschen), fertig.
em-pie
em-pie 14.03.2023 um 18:48:46 Uhr
Goto Top
Moin,

@Doskias
Ich glaube, er meint kein Backup ala VEEAM & Co

@to
Mach mal ein Export der GPO und schaue mal mit dem Editor rein. Danach kannst du bewerten, ob du das nach einer Modifikation wieder importieren kannst und willst…

Grundsätzlich wird es aber keinen Automatismus geben, der dir die Arbeit abnimmt.

Ich selbst versuche immer bestmöglich zu gruppieren: alles, was Office betrifft zusammen, dann die Browser-Settings zusammen, usw…
Dani
Dani 14.03.2023 aktualisiert um 20:16:06 Uhr
Goto Top
Moin,
Wie wäre eure Vorgehensweise?
mit so vielen Informationen ist es eigentlich nicht möglich sinnvoll zu antworten.

Es geht ja nicht nur um die Anzahl der Einstellungen. Die Verarbeitung dahingehend "grob" gesagt immer gleich schnell. Es ist z.B. problemlos möglich 800 GPOs für Office zu konfigurieren.

Des weiteren ist auch immer dahingehend zu unterscheiden, ob GPO oder GPP und ob Benutzer oder Computer. Das kann bei falscher Anordnung der neuen GPOs zu ungewollten Seiteneffekte mit bestehenden GPOs kommen (Reihenfolge der Verarbeitung, evtl. erzwungene GPOs, etc.).

Da kannst du je nach Gegebenheiten mit einem einfachen Aufteilen zwischen Frühstück und Mittagspause mehr Schaden anrichten, als euch lieb ist.


Gruß,
Dani
Mr-Gustav
Mr-Gustav 15.03.2023 um 08:21:26 Uhr
Goto Top
Mach dir am besten Gedanken was du später dann in die GPO´s packen willst.
Also durchforsten der mega GPO und dann je nach Schwerpunkt eine GPO erstellen.

Es kommt aber drauf an wie diese große GPO aufgebaut ist und wie diese einer oder mehreren GPO´s zugewiesen wurde. Wir vermeiden es in. der Regel eigentlich immer GPO´s doppelt zu verlinken. Wenn die OU Struktur untendrunter passt dann gaht das in 90% der Fälle ohne Probleme.
Aber leider kann ich dir anhand deiner Infos auch keine Tipps geben da du doch rechst sparsam mit den Informationen warst. 800 Elemente ist jetzt nicht viel. Wenn ich überlege das wir eine GPO mit 600 Elementen haben welche für 3 oder 4 Anwendungen nur REG Schlüssel verteilt. 800 Einträge ist alsso relativ. Wichtig ist auch die OU Struktur darunter und von der schreibst du ja nichts.

Was die Verarbeitung angeht so kann ich dir sagen das es egal ist ob Windows jetzt eine GRO?E oder mehrere Kleine GPO´s verarbeitet. In der heutigen Zeit sollte das selbst über 3G, bzw. VPN oder was auch immer für ein Zugang vorhanden ist, schnell von statten gehen. Das einzige was sich etwas beißen kann, so wars bei uns, sind GPP´s welche mit ITEM Level Targeting ( Zielgruppenadressierung ) in Kombi mit anderen GPO Einstellungen. Wir haben das dann getrennt und siehe da es geht schneller ( Anmeldung geht etwas schneller von der Hand bei einem Neu PC bzw. wenn sich ein neuer User anmeldet der noch nie an dem PC angemeldet war ).


Wir haben z.b. für WIndows 11 eine eigene GPO und zusätzlich noch eine Security GPO für eben dieses Windows 10. Usw... Wir haben das nach Anwendungsfall/Anforderung getrennt.

Computer:
WIndows 10
WIndows 11
Sicherheitseinstellungen Win 11
Sicherheits .... Win 10
Drucker ( Computer )
SCCM / Deployment / Customizing
Applocker
802,.1x / WLAN
Zertifikate + RootCA´s verteilen
und GPP haben jeweils eine eigene GPO bzw da haben wir aktuell nur
glaube ich 2 oder 3 verschiedene. Auch wieder getrennt nach Zusammengehörigkeit
bzw. Schwerpunkt.

Benutzer:
Sicherheit
Windows 10
Winblows 11
Zertifikate
802.1x / WLAN
VPN ......
Customizing
SCCM / Deployment