Gruppenrichtlinien konsolidieren - Wie am geschicktesten?
Hallo alle zusammen,
ich habe aktuell den Auftrag bei einem Kunden die Gruppenrichtlinien zu konsolidieren und hoffe, dass mir hier der eine oder andere Tipps dazu geben kann.
Szenario:
Zusammengefasst: Es ist eine gewachsene Struktur^^ und es ist kein allgemeines Konzept erkennbar.
Wenn ich die Struktur von Anfang an aufbauen würde hätte ich keine Probleme; Dazu gibt es ja sehr schöne Best Practice Hinweise (wie z.B. Hier).
Aber so stehe ich bei diesem Chaos etwas auf dem Schlauch...
Mein erstes konkretes Ziel ist es unnötige GPOs (=GPOs die effektiv nie greifen) zu entfernen.
Mein Ansatz:
Um herauszufinden welche GPOs unnötig sind könnte ich via Gruppenrichtlinienmodellierung jeden User in Verbindung mit jedem PC (inkl. jeweils der richtigen Sicherheitsgruppen) einmal testen, dann schauen welche GPOs beim User/PC greifen und dann schauen ob sich die Einstellungen einzelner GPOs gegenseitig aufheben. Falls die Einstellungen einer GPO von einer anderen überschrieben wird (und zwar wirklich bei JEDEM User/PC) könnte die GPO entfernt werden.
Zudem müsste noch eine Liste aller GPOs mit der Liste von GPOs die überhaupt einmal angewendet werden abgeglichen werden.
Bei ca. 3000 Usern und ähnlich vielen PCs erscheint mir das aber sehr viel Arbeitsaufwand bzw. ich glaube selbst wenn ich es schaffen würde ein Script dazu zu schreiben (was schwierig wäre - Es müssen ja z.B. die Inhalte von GPOs verglichen werden) würde das AD bei der Auswertung in die Knie gehen...
Daher meine Frage: Wie würdet ihr vorgehen? Habe ich vielleicht einen Denkfehler und es ist in Wirklichkeit ganz einfach? Kennt ihr Tools die dabei unterstützen können? Oder würdet ihr empfehlen alles Platt zu machen und sauber neu aufzubauen?
Danke für Tipps dazu,
LG redder
ich habe aktuell den Auftrag bei einem Kunden die Gruppenrichtlinien zu konsolidieren und hoffe, dass mir hier der eine oder andere Tipps dazu geben kann.
Szenario:
- Windows Server 2008 R2
- Ca. 250 GPOs, davon die Hälfte mit spezieller Sicherheitsfilterung (die auch nicht immer sinnvoll ist, da z.B. eine Sicherheitsgruppe mit PCs eine GPO zugewiesen bekommt in der nur Benutzereinstellungen festgelegt sind).
- Vererbung teilweise deaktiviert
- Viele unnötige Verlinkungen (Eine GPO ist z.B. auf mehrere OUs verlinkt, obwohl es durch die Vererbung nicht nötig wäre)
- Teilweise GPOs die von anderen GPOs wieder entkräftet werden
- Sehr merkwürdige GPOs die effektiv nur bei einem User greifen
- Keine durchgängige Namenskonvention
Zusammengefasst: Es ist eine gewachsene Struktur^^ und es ist kein allgemeines Konzept erkennbar.
Wenn ich die Struktur von Anfang an aufbauen würde hätte ich keine Probleme; Dazu gibt es ja sehr schöne Best Practice Hinweise (wie z.B. Hier).
Aber so stehe ich bei diesem Chaos etwas auf dem Schlauch...
Mein erstes konkretes Ziel ist es unnötige GPOs (=GPOs die effektiv nie greifen) zu entfernen.
Mein Ansatz:
Um herauszufinden welche GPOs unnötig sind könnte ich via Gruppenrichtlinienmodellierung jeden User in Verbindung mit jedem PC (inkl. jeweils der richtigen Sicherheitsgruppen) einmal testen, dann schauen welche GPOs beim User/PC greifen und dann schauen ob sich die Einstellungen einzelner GPOs gegenseitig aufheben. Falls die Einstellungen einer GPO von einer anderen überschrieben wird (und zwar wirklich bei JEDEM User/PC) könnte die GPO entfernt werden.
Zudem müsste noch eine Liste aller GPOs mit der Liste von GPOs die überhaupt einmal angewendet werden abgeglichen werden.
Bei ca. 3000 Usern und ähnlich vielen PCs erscheint mir das aber sehr viel Arbeitsaufwand bzw. ich glaube selbst wenn ich es schaffen würde ein Script dazu zu schreiben (was schwierig wäre - Es müssen ja z.B. die Inhalte von GPOs verglichen werden) würde das AD bei der Auswertung in die Knie gehen...
Daher meine Frage: Wie würdet ihr vorgehen? Habe ich vielleicht einen Denkfehler und es ist in Wirklichkeit ganz einfach? Kennt ihr Tools die dabei unterstützen können? Oder würdet ihr empfehlen alles Platt zu machen und sauber neu aufzubauen?
Danke für Tipps dazu,
LG redder
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 195688
Url: https://administrator.de/forum/gruppenrichtlinien-konsolidieren-wie-am-geschicktesten-195688.html
Ausgedruckt am: 24.12.2024 um 00:12 Uhr
3 Kommentare
Neuester Kommentar