Das Bereinigen und Vergleichen von GPOs kann schnell ein unbeliebtes Thema werden. Spätestens, wenn keiner direkt fürs AD verantwortlich ist und viele Policys “mal schnell” erstellt werden, ist der Wildwuchs vorprogrammiert. Doppelte, widersprüchliche und unlogische Werte in den Gruppenrichtlinien kommen leider genau so oft vor, wie Fehler beim Skripten von automatischen Installationen 😉
Daher diese kleine Anleitung, um mit einfachen Tricks zumindest die gröbsten Fehler herauszufinden und zu bereinigen. Denn wer hat schon Lust, all seine Windows Server oder Office 365 Policies manuell zu vergleichen 😉
Vorgehensweise
Die Bereinigung der GPOs erfolgt in hier 3 Schritten.
- Zuerst werden wir die GPOs, die wir vergleichen wollen, exportieren. Danach werden die Export-Dateien auf einen anderen Computer oder ein Share kopiert. Diesen Schritt kann man theoretisch auslassen, ich bin jedoch kein Fan davon auf dem Domaincontroller GPO Tools oder andere Anwendungen auszuführen und liegenzulassen
- Danach werden wir die Richtlinien mit dem Microsoft Tool Policy Analyzer vergleichen
- Zuletzt werden wir die doppelten und unlogischen Werte entfernen. Dieser Schritt erfolgt manuell
Export
Die folgenden beiden Schritten erledigen wir in der Group Policy Management Console. Dieses Tutorial behandelt übrigens keine Lokalen Richtlinien, sondern Group Policy Objects (GPOS) aus dem Active Directory.
Relevante GPOs identifizieren
Wenn man nicht schon weiß, welche Group Policy Objects man bereinigen möchte, hilft der Gruppenrichtlinienergebnis-Assistent. Mit diesem kann man einen beliebigen Standard-Client und Standard-User prüfen. Danach sieht man alle angewendeten Gruppenrichtlinienobjekte unter der Zusammenfassung der Benutzer- und Computerkonfiguration.
Export der relevanten GPOs
Damit wird die GPO Settings später vergleichen und auf Fehler prüfen können, müssen wir diese zuerst einmal aus dem Active Directory exportieren. Hierzu wechseln wir in der Gruppenrichtlinienverwaltung in den Bereich Gruppenrichtlinienobjekte.
Hier markieren wir uns nacheinander die zur Überprüfung relevanten Elemente und exportieren diese. Das können wir tun, indem wir einen Rechtsklick auf die GPO machen, und auf “Sichern…” klicken.
Anschließend kopiere ich mir den Ordner, der die Exportieren GPOs beinhaltet, auf meinen Computer.
GPOs Vergleichen
GPO Comparison Tool
Den zweiten Schritt zum Vergleichen von GPOs frühen wir mit dem Microsoft Tool Policy Analyzer durch. Dafür müssen wir lediglich, dass Microsoft Security Compliance Toolkit 1.0 herunterladen, entpacken und können es anschließend direkt starten.
Vergleichen der GPO exports
Jetzt müssen wir die exportierten Group Policies importieren.
GPOs bereinigen, indem man die doppelten und unlogischen Werte entfernt
Also zum Bereinigen gibt es eigentlich nicht viel zu sagen. Wir müssen uns natürlich die gefundenen Konflikte im Policy Analyzer genau anschauen. Danach müssen wir entscheiden, welche der Einstellungen die richtige ist und die andere Einstellung deaktivieren. Das war’s dann eigentlich auch schon, viel Erfolg beim Nachmachen 🙂
