mentos
Goto Top

Nicht angewendete GPOs identifizieren

Hallo Leute,
bin auf eure Expertise angewiesen.

wisst ihr, gibt es eine Möglichkeit direkt am DC festzustellen ob manche Gruppenrichtlinien zwar existieren aber bei keinem Computer oder User angewendet werden weil z.B keine der Kriterien erfüllt werden oder andere Gründe.

Würde gerne ein paar GPOs ausmisten.

Danke für eure Antworten.

Mfg Mentos

Content-ID: 6097703662

Url: https://administrator.de/contentid/6097703662

Ausgedruckt am: 05.11.2024 um 06:11 Uhr

O.Gensch
O.Gensch 23.02.2023 um 11:38:27 Uhr
Goto Top
Hallo,

mit rsop.msc solltest du die angewandten Richtlinien sehen, somit kannst du gleich erkennen welche Richtlinien nicht greifen.

LG
lcer00
lcer00 23.02.2023 um 11:41:07 Uhr
Goto Top
Hallo,
Zitat von @O.Gensch:

Hallo,

mit rsop.msc solltest du die angewandten Richtlinien sehen, somit kannst du gleich erkennen welche Richtlinien nicht greifen.
... und das kann man theoretisch automatisieren mit Get-GPResultantSetOfPolicy: https://learn.microsoft.com/en-us/powershell/module/grouppolicy/get-gpre ...

https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell ...

Grüße

lcer
O.Gensch
O.Gensch 23.02.2023 um 11:48:14 Uhr
Goto Top

vollkommen richtig. Beide Daumen hoch ;)
DerMaddin
DerMaddin 23.02.2023 um 13:07:00 Uhr
Goto Top
Hier => PowerShell
Dirmhirn
Dirmhirn 23.02.2023 um 13:22:43 Uhr
Goto Top
Hi,

Rsop benötigt doch einen user und/oder computer als parameter.

Du müsstest das für alle User durchlaufen lassen und dann die Reports nach genutzten GPOs filtern und die Liste mit vorhandenen GPOs abgleichen.

Reichen dir GPOs die nirgends verlinkt sind? Oder habt ihr GPOs mit filtern, die zwar verlinkt sind, aber am Ende wirkungslos, weil alle User/Computer gefiltert werden. Für letzteres musst du wohl über Rsop gehen.

Sg Dirm
Mentos
Mentos 23.02.2023 um 15:15:14 Uhr
Goto Top
Zitat von @Dirmhirn:

Hi,

Rsop benötigt doch einen user und/oder computer als parameter.

Du müsstest das für alle User durchlaufen lassen und dann die Reports nach genutzten GPOs filtern und die Liste mit vorhandenen GPOs abgleichen.

Reichen dir GPOs die nirgends verlinkt sind? Oder habt ihr GPOs mit filtern, die zwar verlinkt sind, aber am Ende wirkungslos, weil alle User/Computer gefiltert werden. Für letzteres musst du wohl über Rsop gehen.

Sg Dirm

Ja genau , ich muss prüfen ob eine GPO mit den Filtern angewendet werden.
Mentos
Mentos 23.02.2023 um 15:15:58 Uhr
Goto Top
Zitat von @Dirmhirn:

Hi,

Rsop benötigt doch einen user und/oder computer als parameter.

Du müsstest das für alle User durchlaufen lassen und dann die Reports nach genutzten GPOs filtern und die Liste mit vorhandenen GPOs abgleichen.

Reichen dir GPOs die nirgends verlinkt sind? Oder habt ihr GPOs mit filtern, die zwar verlinkt sind, aber am Ende wirkungslos, weil alle User/Computer gefiltert werden. Für letzteres musst du wohl über Rsop gehen.

Sg Dirm

Hallo, danke für deine Nachricht aber nur die Verlinkung alleine reicht nicht aus. Muss auch die Filterung berücksichtigen.
Mentos
Mentos 23.02.2023 um 15:16:24 Uhr
Goto Top
Zitat von @O.Gensch:

Hallo,

mit rsop.msc solltest du die angewandten Richtlinien sehen, somit kannst du gleich erkennen welche Richtlinien nicht greifen.

LG

ok danke ich werde das testen.
Mentos
Mentos 23.02.2023 um 15:17:21 Uhr
Goto Top
Zitat von @lcer00:

Hallo,
Zitat von @O.Gensch:

Hallo,

mit rsop.msc solltest du die angewandten Richtlinien sehen, somit kannst du gleich erkennen welche Richtlinien nicht greifen.
... und das kann man theoretisch automatisieren mit Get-GPResultantSetOfPolicy: https://learn.microsoft.com/en-us/powershell/module/grouppolicy/get-gpre ...

https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell ...

Grüße

lcer

Blicke da gerade nicht durch, aber danke für deine Antwort.
6017814589
6017814589 24.02.2023 aktualisiert um 07:48:06 Uhr
Goto Top
Oder man klickt sich die GPO Simulation einfach in der GPMC zusammen das sollte auch ein nicht PS affiner User schaffen
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windo ...
6017814589
6017814589 24.02.2023 aktualisiert um 10:42:31 Uhr
Goto Top
Get-GPO -All | ?{$data=[xml](Get-GPOReport -Guid $_.Id -ReportType Xml); !$data.GPO.LinksTo -or !($data.GPO.LinksTo | ? Enabled -eq 'true')}  
Mentos
Mentos 28.02.2023 um 08:08:40 Uhr
Goto Top
Vielen Dank , werde das in den nächsten Tagen testen.