redder
Goto Top

Gruppenrichtlinien konsolidieren - Wie am geschicktesten?

Hallo alle zusammen,
ich habe aktuell den Auftrag bei einem Kunden die Gruppenrichtlinien zu konsolidieren und hoffe, dass mir hier der eine oder andere Tipps dazu geben kann.

Szenario:
  • Windows Server 2008 R2
  • Ca. 250 GPOs, davon die Hälfte mit spezieller Sicherheitsfilterung (die auch nicht immer sinnvoll ist, da z.B. eine Sicherheitsgruppe mit PCs eine GPO zugewiesen bekommt in der nur Benutzereinstellungen festgelegt sind).
  • Vererbung teilweise deaktiviert
  • Viele unnötige Verlinkungen (Eine GPO ist z.B. auf mehrere OUs verlinkt, obwohl es durch die Vererbung nicht nötig wäre)
  • Teilweise GPOs die von anderen GPOs wieder entkräftet werden
  • Sehr merkwürdige GPOs die effektiv nur bei einem User greifen
  • Keine durchgängige Namenskonvention

Zusammengefasst: Es ist eine gewachsene Struktur^^ und es ist kein allgemeines Konzept erkennbar.

Wenn ich die Struktur von Anfang an aufbauen würde hätte ich keine Probleme; Dazu gibt es ja sehr schöne Best Practice Hinweise (wie z.B. Hier).
Aber so stehe ich bei diesem Chaos etwas auf dem Schlauch...

Mein erstes konkretes Ziel ist es unnötige GPOs (=GPOs die effektiv nie greifen) zu entfernen.

Mein Ansatz:
Um herauszufinden welche GPOs unnötig sind könnte ich via Gruppenrichtlinienmodellierung jeden User in Verbindung mit jedem PC (inkl. jeweils der richtigen Sicherheitsgruppen) einmal testen, dann schauen welche GPOs beim User/PC greifen und dann schauen ob sich die Einstellungen einzelner GPOs gegenseitig aufheben. Falls die Einstellungen einer GPO von einer anderen überschrieben wird (und zwar wirklich bei JEDEM User/PC) könnte die GPO entfernt werden.
Zudem müsste noch eine Liste aller GPOs mit der Liste von GPOs die überhaupt einmal angewendet werden abgeglichen werden.

Bei ca. 3000 Usern und ähnlich vielen PCs erscheint mir das aber sehr viel Arbeitsaufwand bzw. ich glaube selbst wenn ich es schaffen würde ein Script dazu zu schreiben (was schwierig wäre - Es müssen ja z.B. die Inhalte von GPOs verglichen werden) würde das AD bei der Auswertung in die Knie gehen...

Daher meine Frage: Wie würdet ihr vorgehen? Habe ich vielleicht einen Denkfehler und es ist in Wirklichkeit ganz einfach? Kennt ihr Tools die dabei unterstützen können? Oder würdet ihr empfehlen alles Platt zu machen und sauber neu aufzubauen?

Danke für Tipps dazu,
LG redder

Content-ID: 195688

Url: https://administrator.de/forum/gruppenrichtlinien-konsolidieren-wie-am-geschicktesten-195688.html

Ausgedruckt am: 24.12.2024 um 00:12 Uhr

Hitman4021
Hitman4021 11.12.2012 um 14:23:15 Uhr
Goto Top
Hallo,

ich würde alles Platt machen und sauber neu aufbauen.
Ist einfacher und geht so wie du es schilderst warscheinlich sogar schneller wie Ordnung ins Chaos zu bringen.

Gruß
Coreknabe
Coreknabe 12.12.2012 um 10:55:49 Uhr
Goto Top
Moin,

das Thema schiebe ich auch schon eine ganze Weile vor mir her, auch wenn die Umgebung nicht so groß ist wie bei Dir...
Wenn noch jemand eine tolle Lösung hat, wäre ich auch interessiert face-wink

Gruß
redder
redder 09.01.2013 um 10:49:30 Uhr
Goto Top
Hallo,
es scheint wirklich keine einfache Lösung zu geben und leider durfte ich nicht alles neu aufbauen.

Der Vollständigkeit halber hier meine Vorgehensweise:
1. Grob schauen welche GPOs keinen Sinn ergeben und nach Absprache mit Kunden löschen
2. Aufnahme aller GPOs mit direkten Verknüpfungen und Sicherheitsfilterung
3. Alle GPOs, die die selben Verknüpfungen und Sicherheitsfilterung haben zusammenfassen (mit dem Tool "Microsoft Security Compliance Manager" können GPOs unter bestimmten Vorrausetzungen zusammengefasst werden)
4. Sonderfälle wie deaktivierte Vererbung in bestimmten OUs beseitigen

Wie auch immer, das Aufräumen war eine Heidenarbeit und trotzdem wird das hier wohl nicht mehr richtig schön werden.
Also denkt bitte dran solche Situationen durch richtige Konzepte von vornerein zu vermeiden :D

LG redder