Обновлено 30.10.2019
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов России Pyatilistnik.org. Не так давно мы с вами разбирали вопрос “По чему не применяются групповые политики”, многим она была полезной и позволила получить новые знания. В сегодняшней публикации я хочу вам показать, как вы можете производить поиск по ключевому слову, значению во всех объектах групповой политики вашего домена Active Directory, опишу когда это полезно.
Постановка задачи
Предположим, что у вас есть инфраструктура Active Directory, все настройки клиентских компьютеров осуществляются через групповые политики, и это правильно так как централизация наше все. В какой-то момент вам необходимо выяснить какая групповая политика вносит ту или иную настройку, если у вас нет практики постоянного комментирования в GPO, то при их большом количестве это может быть весьма затруднительно и долго. Простой пример, у вас есть RDS ферма на которой работают ваши сотрудники, логично предположить, что на них применяются политики компьютера и пользователя, вам необходимо выяснить, какой именно объект добавляет выполнение скрипта при входе, количество политик у вас 20 и более, согласитесь, что не очень удобно их все открывать и искать нужную настройку. Вот для такой ручной работы можно использовать блага предоставленные компанией Microsoft, а именно оболочку PowerShell.
Поиск внутри GPO через PowerShell
Я все больше постигаю возможности PowerShell и нашел решение позволяющее произвести поиск по нужному значению во всех объектах групповой политики буквально за несколько минут. Я предлагаю вам для этого воспользоваться нижеописанным скриптом. Искать мы в моем примере будем сценарий AddRemPrinters-new, который добавляет при входе пользователя назначенные ему принтеры, данный метод отличается от распространения через публикацию в Active Directory или оснастку управление печатью. Давайте откроем оснастку “Управление групповой политикой” и посмотрим, что есть в моем тестовом домене, хочу подчеркнуть, что в настоящей рабочей инфраструктуре GPO объектов может быть от нескольких десяткой до нескольких сотен. В домене root.pyatilistnik.org их 15 штук.
Как я и писал выше мне нужно выяснить в какой из них у меня идет подключение скрипта AddRemPrinters-new. Когда вы явно не знаете, где искать можно бегло пробежаться по каждой политике, это я так называю обезьяний метод, подразумевает полностью ручную работу, особенно интересно когда политик куча. Что вы делаете:
- Выберите нужную групповую политику
- Перейдите в ней на вкладку “Параметры”
- Раскройте области действия политики “Конфигурация компьютера” и “Конфигурация пользователя”, после чего произведите поиск значения в данной групповой политике
Как видите, это очень интересно, особенно когда параметров много и не все даже могут из них отображаться, могут быть проблемы с административными шаблонами, в результате чего вы можете наблюдать ошибку “Пространство имен “Microsoft.Policies.WindowsStore” уже определено как целевое пространство имен для другого файла в хранилище”.
Я стараюсь рационально использовать свое время и люблю, чтобы по возможности все было легко и автоматизированно, поэтому я и люблю PowerShell, который в этом поможет. Скачайте скрипт представленный чуть ниже, его разработал замечательный инженер Microsoft Тони Муррай.
Содержимое скрипта по поиску в объектах групповых политик
# Что будем искать
$string = Read-Host -Prompt “What string do you want to search for?”
# Задаем домен для поиска
$DomainName = $env:USERDNSDOMAIN
# Находим все групповые политики в данном домене
write-host “Finding all the GPOs in $DomainName”
Import-Module grouppolicy
$allGposInDomain = Get-GPO -All -Domain $DomainName
#Заглядываем в каждый XML в GPO
Write-Host “Starting search….”
foreach ($gpo in $allGposInDomain) {
$report = Get-GPOReport -Guid $gpo.Id -ReportType Xml
if ($report -match $string) {
write-host “********** Match found in: $($gpo.DisplayName) **********”
} # end if
else {
Write-Host “No match in: $($gpo.DisplayName)”
} # end else
} # end foreach
Запуск скрипта по поиску
Это простой сценарий Powershell, который использует командлеты групповой политики для поиска строки в объектах групповой политики. Единственным вводом является строка для поиска. Вывод показывает все объекты групповой политики и соответствует ли их (XML) содержимое указанной строке. Обратите внимание, что скрипт не предоставляет никакой информации о том, где в объекте групповой политики находится строка. Для этого вы можете открыть HTML-отчет для объектов групповой политики, для которых есть совпадения, и выполнить поиск вручную.
Хочу отметить, что если у вас не настроено в системе использование сторонних сценариев, то вы будите получать вопрос “Запускайте только сценарии, которым вы доверяете. Хотя сценарии из интернета могут быть полезными, данный сценарий потенциально опасен для компьютера” и варианты ответов:
- Не запускать – D
- Запустить однажды – R
- Приостановить – S
Или же может быть ошибка “так как выполнение скриптов запрещено для данной системы”
Если делаете один раз, то можете не менять политику ExecutionPolicy, если часто то поменяйте, по ссылке выше.
Первое, что вас спросят, это что нужно искать внутри объекта GPO, я ввожу AddRemPrinters-new. После нажатия “Enter” сразу запускается скрипт и происходит поиск по всем политикам, если политика не содержит нужного нам значения, то она выдает статус “No match in“, если совпадение обнаружено, то вы увидите статус “Match found in и имя политики“. В моем примере я обнаружил нужное мне значение в политике под именем “AllClients-DefaultSettings” и “Add-Printers”.
Как видите такой метод, гораздо проще, единственное есть нюансы, скрипт ищет точное значение, но вы можете дописать его, чтобы он искал и по части слова. Если вы знаете еще методы, позволяющие вам производить быстрый и действенный поиск по объектам GPO, то прошу описать его в комментариях. На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Мы предложили ряд советов, в которых мы просили вас изменить объект групповой политики. Хотя мы всегда указываем вам точный путь, если вы решаете пойти самостоятельно, вам может потребоваться поиск определенной политики. Вот как можно поиск в групповой политике определенного объекта групповой политики в выпусках Windows 10 или Server.
Как искать в групповой политике
Редактор групповой политики позволяет изменять политики, которые могут ограничивать, включать или отключать функции в Windows. Существуют тысячи политик, и если вы не умеете искать, то найти что-либо практически невозможно.
Есть несколько способов найти объект групповой политики. Вы можете использовать любой из этих методов:
- Использование фильтра групповой политики на компьютере
- Поиск групповой политики в Интернете
- Инструмент NIT-GPOSearch
- Автономный лист групповой политики.
Вы можете использовать любой из этих методов, но наша рекомендация остается с первым, поскольку он более актуален и надежен.
1]Поиск с использованием фильтра групповой политики
Если вы думаете, почему мы вообще об этом говорим? Дело в том, что в отличие от редактора реестра, который предлагает прямой поиск, в редакторе групповой политики поиск отсутствует. Вы не можете нажать Ctrl + F и начать вводить и искать то, что искали. Вместо этого групповая политика предлагает фильтры.
- Откройте редактор групповой политики, используя gpedit.msc в строке «Выполнить».
- Фильтр доступен только для административных шаблонов в разделе «Конфигурация пользователя» и «Конфигурация компьютера».
- Выберите его, а затем нажмите «Просмотр»> «Параметры фильтра».
- Откроется окно «Фильтр» с множеством опций.
- Тип настроек политики: управляемые, настроенные и прокомментированные.
- Установите флажок, в котором написано Включить фильтры ключевых слов
- Последний фильтр — это фильтр требований, который полезен, если вы ищете политику, предназначенную для конкретной платформы, например Windows 10 и т. Д.
- Нажмите ОК, а затем щелкните значок Фильтр.
- Нажмите «Все настройки», и вы лучше ознакомитесь с политиками.
Каждый раз, когда вы хотите отключить фильтр, щелкните значок еще раз, и он отобразит все политики.
Реализация использования фильтра лучше поиска. Реализация такова, что фильтр сохраняет последнее использованное вами ключевое слово, что делает его удобным для пользователя.
2]Поиск групповой политики в Интернете
Поиск по групповой политике — это официальный онлайн-инструмент от Microsoft, который позволяет выполнять поиск в параметрах групповой политики Microsoft Active Directory.
Находясь на веб-сайте, вы можете использовать окно поиска или метод фильтрации, чтобы найти политику. Преимущество использования этого инструмента в том, что он более удобен, чем встроенный инструмент. Когда у вас будет полный путь, вы можете напрямую перейти в редактор групповой политики и внести изменения.
Это также полезно, когда у вас нет доступа к GPE, и вы хотите знать, какая определенная политика полезна и в какой ОС она поддерживается.
3]NIT-GPOSearch Tool
Это бесплатный инструмент, который имеет огромное преимущество. Он также может отображать ключи реестра для политики. Каждая групповая политика имеет запись в реестре, и она невероятно полезна для тех, кому нужно знать как политику, так и ее запись в реестре.
После установки программного обеспечения запустите его из меню приложения. Будет предложено поле поиска, в котором вы можете ввести описание политики. Он будет искать имя политики в C: Windows Policy Definitions. Все политики сохраняются в этой папке в формате admx, adml.
Когда вы наводите указатель мыши на каждый из них, предварительный просмотр даст вам более подробную информацию о политике. В целом это отличное решение, но имейте в виду, что во время поиска он становится медленным, поэтому дайте ему немного времени.
4]Автономный лист групповой политики
Наконец, существует полностью автономный способ поиска групповой политики. Но мы не думаем, что это надежно, так как вам нужно будет постоянно обновлять его.
Microsoft предлагает Справочник по параметрам групповой политики для Windows и Windows Server. Вы можете скачать таблицу Excel и использовать ее.
Мы надеемся, что теперь вы сможете искать объекты групповой политики намного быстрее, чем когда-либо прежде.
- Remove From My Forums
-
General discussion
-
If you run GPupdate /force command to update the Group policies in the GP clients, the results will display only GUID (Global Unique Identifier) of the GP which is failing to update. It will not show you the name of the GP.
At that time, as a server admin, you should be able to find the GP name which is failing.
A. Below PowerShell command will help you to find the GP name using its GUID.
1 1. Open PowerShell on Active Directory Server and type “Import-Module GroupPolicy”
2. Get-GPO -Guid 31a09564-cd4a-4520-98fa-446a2af23b4b -Domain domain.com****Note: Here domain name would be your domain name where you are trying to apply the policies****
We can get the GP name from Group Policy Management console as well. Below are the steps
1. Open Group Policy Management console (GPMC.msc)
2. Right click on domain name and click on Search, it will open a search box.
3. Select “GUID” from the Dropdown and copy the GP GUID including {}. Click on Add
4. Click on Search to search in Domain. You will see the GP name in search results. Below is one example.
Мне дали задание очистить ADUC/ групповую политику.
Весьма пугающе из-за недоумения, как все было собрано. Кажется, он был объединен с методом «попробуй, не сработал, не беспокойся об удалении, просто попробуй, промой / повтори».
Двигаемся дальше. Я организовал пользователей так, как мне бы хотелось. Но прежде чем я начну удалять / добавлять объекты в группы безопасности, я бы хотел посмотреть, какие политики они наследуют. Я делаю это с надеждой, что есть оправдание тому, что я вижу.
Другими словами: как я могу узнать, какие политики применяются к определенной группе безопасности?
То , что вы хотите это GPMC – консоль управления групповыми политиками. Он позволяет вам запускать отчеты на пользователях и компьютерах, чтобы увидеть, что такое “RSOP” или “Результирующий набор политик”.
Политики не применяются к группам безопасности (они предназначены для настроек безопасности, а не для политик); Политики применяются через членство в группе / подразделении.
Если вы редактируете определенную политику, то в редакторе объектов групповой политики вы можете щелкнуть правой кнопкой мыши имя политики и выбрать «Свойства». Затем на вкладке «Ссылки» вы можете использовать кнопку «найти сейчас», чтобы определить, к какой группе (группам) политики или подразделениям политики применяется политика.
Получите консоль управления групповыми политиками от MS, если у вас ее еще нет. Это сделает его гораздо более очевидна , так как к тому , что политика распространяется на какие группы.
Также вы можете использовать RSOP.MSC на рабочей станции, чтобы определить, как политики влияют на эту рабочую станцию / пользователя.
Надеюсь, это поможет…
Глобальные группы очень часто используются в качестве фильтров для групповой политики. Я искал ответ на первоначальный вопрос и нашел, что представленные ответы менее чем полезны. В нашей среде есть сотни объектов групповой политики и сотни глобальных групп (групп безопасности), поэтому я надеялся, что кто-то еще придумал ответ … Время освежить навык PowerShell!
Технически говоря, политики применяются на основе наборов правил, определенных иерархическим образом. В настоящее время мы фильтруем в первую очередь членство в глобальных группах. Основным ограничением этого метода является то, что операция происходит в контексте безопасности пользователя. Мы также используем фильтры WMI для пользовательских настроек для изменения уровня машины. Изменения машины обычно выполняются без фильтров глобальных групп, чтобы они могли работать в контексте безопасности машины. Членство на основе машин / подразделений сложно поддерживать в масштабе предприятия.
Всё ещё ищете ответ? Посмотрите другие вопросы с метками active-directory group-policy.
Здравствуйте!
Подскажите, как найти конкретную настройку локальной групповой политики в реестре?
Например, в ветке:
Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиПараметры безопасности,
есть настройка:
Интерактивный вход в систему: Напоминать пользователям об истечении срока действия пароля заранее
Мне нужно ее обнулить, что бы вообще никогда не напоминал, но сделать это нужно именно через реестр.
У меня есть скрипт, в котором некоторые параметры локальной групповой политики меняются через реестр, но там сложно по аналогии понять, где искать конкретно нужную мне настройку.
Например, вот:
‘ Локальная политика безопасности. Завершение работы: очистка файла подкачки виртуальной памяти WshShell.RegWrite “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory ManagementClearPageFileAtShutdown”,1,”REG_DWORD”
