🍍 💪🏼 🛅 रिपोर्ट बनाएँ और PowerShell का उपयोग करके समूह नीतियों का विश्लेषण करें 👨🏽‍🎓 🌿 🔔

प्रशासन के लिए पॉवरशेल का उपयोग करने का विषय अत्यंत प्रासंगिक है, और इस विषय पर अधिक से अधिक लेख हैबे पर दिखाई देते हैं। जेफरी हिक्स के एक लेख का पिछला अनुवाद , जिसे हमने पिछले शुक्रवार को प्रकाशित किया था, जिसमें दिलचस्पी की लहर थी। और टेकईड नॉर्थ अमेरिका 2012 में एक ही लेखक के उल्लेखनीय प्रदर्शन को कैसे याद नहीं किया जा सकता है। जेफरी हिक्स ने जेरेमी मोस्कोविट्ज के साथ जो रिपोर्ट की, वह समूह नीति वस्तुओं और रिपोर्टिंग के विश्लेषण के लिए समर्पित थी। मूल सामग्री (वीडियो) यहाँ है , लेकिन हम संक्षेप में सामग्री + स्क्रिप्ट देते हैं। किसी भी मामले में, हम स्वयं वीडियो देखने की सलाह देते हैं।

रिपोर्ट दो मुद्दों पर केंद्रित है:

समूह नीति रिपोर्ट बनाता है
समूह नीति विश्लेषण

विवरण - कटौती के तहत।

हम समूह नीतियों के साथ संयोजन में PowerShell का उपयोग करते हैं: इसके लिए क्या आवश्यक है?

समूह नीतियों के साथ काम करते समय PowerShell का उपयोग करने के लिए, हमें आवश्यकता है:

विंडोज 7 (पॉवरशेल लॉन्च करने के लिए)
विंडोज 7 के लिए RSAT
वास्तव में PowerShell v2.0 या उच्चतर
वैकल्पिक: Microsoft सक्रिय निर्देशिका प्रदाता की सिफारिश की

हमारे कार्यों का क्रम:

आयात समूह नीति मॉड्यूल (आयात-मॉड्यूल GroupPolicy)
PowerShell का उपयोग करके GPO प्राप्त करें (GPO PowerShell ऑब्जेक्ट प्राप्त करें)
इस ऑब्जेक्ट के आधार पर एक रिपोर्ट बनाएं
समूह नीति ऑब्जेक्ट पर HTML / XML रिपोर्ट बनाना
विश्लेषण उद्देश्यों के लिए XML में पार्सिम और खोज
Select-XML और Xpath का उपयोग करके खोजें

समूह नीति रिपोर्ट बनाएँ

समस्या नंबर 1। आपको समूह नीतियों में वर्तमान में क्या हो रहा है, इसके बारे में जानकारी प्राप्त करने की आवश्यकता है

PS C:\> Import-Module GroupPolicy PS C:\> Get-GPO JeremyGPO

इस मामले में, जेरेमीजीपीओ के बजाय जीपीओ का प्रदर्शन नाम (DisplayName) खड़ा है। यह प्लेट प्रदर्शित है

 DisplayName : JeremyGPO DomainName : GLOBOMANTICS.local Owner : GLOBOMANTICS\Domain Admins Id : cd73c562-5bfe-40e2-b81e-28da10da425c GpoStatus : ComputerSettingsDisabled Description : CreationTime : 12/28/2011 2:52:37 PM ModificationTime : 5/21/2012 11:08:26 AM UserVersion : AD Version: 4, SysVol Version: 4 ComputerVersion : AD Version: 1, SysVol Version: 1 WmiFilter :

समाधान: रिपोर्ट बनाएं।

उदाहरण के लिए, हमें पिछले 30 दिनों में बदली गई सभी समूह वस्तुओं की सूची प्राप्त करने के कार्य के साथ सामना करना पड़ता है, जो तीन मूल्यों (प्रदर्शन नाम, परिवर्तन का समय, विवरण) के साथ अवरोही क्रम (अंतिम में सबसे ऊपर) में क्रमबद्ध होते हैं। प्राप्त जानकारी को एक .csv फ़ाइल (GPOModReport.csv इस उदाहरण में) को निर्यात किया जाना चाहिए। यह PowerShell में कैसा दिखता है:

 PS C:\> get-gpo -all | Where {$_.ModificationTime -gt (Get-Date).AddDays(-30)} ... | Sort ModificationTime -Descending | Where {$_.ModificationTime -ge (Get-Date).AddDays(-30)} | Select Displayname,ModificationTime,Description ... | Export-CSV R:\GPOModReport.csv

अतिरिक्त कमांड के उदाहरण

 #      PS C:\>get-gpo -all | Sort CreationTime,Modificationtime | Select Displayname,*Time

 #    ,    30  PS C:\>get-gpo -all | Where {$_.ModificationTime -ge (Get-Date).AddDays(-30)}

 #       (Defaul Domain Policy) PS C:\>Get-GPOReport -name "Default Domain Policy" -ReportType HTML -Path "c:\work\ddp.htm" invoke-item "c:\work\ddp.htm"

 #       PS C:\>Get-GPOReport -All -ReportType HTML -Path "c:\work\allgpo.htm" invoke-item "c:\work\allgpo.htm"

 #        #   _   GPO PS C:\>Get-GPO -all | foreach { $f="{0}.htm" -f ($_.Displayname).Replace(" ","_") $htmfile=Join-Path -Path "C:\work" -ChildPath $f Get-GPOReport -Name $_.Displayname -ReportType HTML -Path $htmfile Get-Item $htmfile }

समस्या संख्या 2। बहुत सारे जीपीओ जो उपयोग नहीं किए जाते हैं।

कार्य: खाली GPO खोजें

बिना सेटिंग के ग्रुप पॉलिसी ऑब्जेक्ट को परिभाषित करें
XML ExtensionData के लिए खोज रहे हैं

 PS C:\> Import-Module GroupPolicy PS C:\> [xml]$r = Get-GPOReport -Name MyGPO -ReportType XML PS C:\> if ((-Not $r.gpo.user.extensiondata) -AND (-not $r.gpo.computer.extensiondata)) { "GPO is empty" }

अतिरिक्त टीमें

 #requires -version 2.0 #find empty gpos in the domain Function Get-EmptyGPO { Param ( [Parameter(Position=0,ValueFromPipeline=$True, ValueFromPipelinebyPropertyName=$True)] [string]$DisplayName ) Begin { #import the GroupPolicy Module Import-Module GroupPolicy } Process { #create an XML report [xml]$report=Get-GPOReport -Name $displayname -ReportType XML #totally empty if ((-Not $report.gpo.user.extensiondata) -AND (-not $report.gpo.computer.extensiondata)) { #no extension data so write Get-GPO -Name $Displayname } } #process End {} } #function Function Test-EmptyGPO { Param ( [Parameter(Position=0,ValueFromPipeline=$True, ValueFromPipelinebyPropertyName=$True)] [string]$DisplayName ) Begin { #import the GroupPolicy Module Import-Module GroupPolicy } Process { #set default values $User=$False $Computer=$False #create an XML report [xml]$report=Get-GPOReport -Name $displayname -ReportType XML if ($report.gpo.user.extensiondata) { $User=$True } If ( $report.gpo.computer.extensiondata) { $Computer=$True } #write a custom object to the pipeline New-Object -TypeName PSObject -Property @{ Displayname=$report.gpo.name UserData=$User ComputerData=$Computer } } #Process End {} } #function #Get-GPO -All | Get-EmptyGPO #Get-GPO -All | Test-EmptyGPO

समस्या संख्या 3।
GPO का उपयोग किसने किया?
क्या ऐसी कोई GPO हैं जिनमें आधी पॉलिसी निष्क्रिय हो गई है ("क्या कोई GPOs 'आधी' पॉलिसी अक्षम है?)
क्या कोई GPO है जिसमें सभी नीतियाँ निष्क्रिय हैं ("क्या कोई GPOs 'सभी' नीति के साथ हैं?")

हम GPO (GPOStatus) की स्थिति के अनुसार फ़िल्टर लागू करते हैं। ऊपर दिए गए तीन प्रश्नों में से प्रत्येक तीन टीमों से मेल खाता है:

 PS C:\> get-gpo -all | Sort GPOStatus | format-table -GroupBy GPOStatus Displayname,*Time PS C:\> get-gpo -all | where {$_.GPOStatus -match "disabled"} | Select GPOStatus,Displayname PS C:\> get-gpo -all | where {$_.GPOStatus -match "AllSettingsDisabled"}

समूह नीति वस्तुओं का विश्लेषण

समस्या संख्या 4। लिंक के बिना जीपीओ की खोज

 PS C:\> Import-Module ActiveDirectory Get-ADOrganizationalUnit -filter * | select-object -ExpandProperty DistinguishedName | get-adobject -prop gplink | where {$_.gplink} | Select-object -expand gplink | foreach-object { foreach ($item in ($_.Split("]["))) { $links+=$regex.match($item).Value } } Get-GPO -All | Where {$links -notcontains $_.id}

अतिरिक्त टीमें

 #requires -version 2.0 <# Find unlinked GPOs. This requires the Active Directory Module This version does not query for site links #> Import-Module ActiveDirectory,GroupPolicy #GUID regular expression pattern [Regex]$RegEx = "(([0-9a-fA-F]){8}-([0-9a-fA-F]){4}-([0-9a-fA-F]){4}-([0-9a-fA-F]){4}-([0-9a-fA-F]){12})" #create an array of distinguishednames $dn=@() $dn+=Get-ADDomain | select -ExpandProperty DistinguishedName $dn+=Get-ADOrganizationalUnit -filter * | select -ExpandProperty DistinguishedName $links=@() #get domain and OU links foreach ($container in $dn) { #pull the GUID and add it to the array of links get-adobject -identity $container -prop gplink | where {$_.gplink} | Select -expand gplink | foreach { #there might be multiple GPO links so split foreach ($item in ($_.Split("]["))) { $links+=$regex.match($item).Value } #foreach item } #foreach } #foreach container #$links <# get all gpos where the ID doesn't belong to the array write the GPO to the pipeline #> Get-GPO -All | Where {$links -notcontains $_.id}

समस्या 5. रजिस्ट्री में अतिरिक्त सेटिंग्स के साथ समूह नीति ऑब्जेक्ट ("अतिरिक्त रजिस्ट्री सेटिंग्स")

रजिस्ट्री में अत्यधिक सेटिंग्स का पता लगाएं

 #Use Xpath with the XML report data PS C:\> [xml]$report = Get-GPOReport -Name MyGPO -ReportType XML PS C:\> $ns = @{q3 = "http://www.microsoft.com/GroupPolicy/Settings/Registry"} PS C:\> $nodes = Select-Xml -Xml $report -Namespace $ns -XPath "//q3:RegistrySetting" | select -expand Node | Where {$_.AdmSetting -eq 'false'}

अतिरिक्त टीमें

 #requires -version 2.0 #find GPOs with extra registry, ie non-ADM settings Function Test-GPOExtraRegistry { Param ( [Parameter(Position=0,ValueFromPipeline=$True, ValueFromPipelinebyPropertyName=$True)] [string]$DisplayName ) Begin { #import the GroupPolicy Module Import-Module GroupPolicy } Process { #create an XML report [xml]$report=Get-GPOReport -Name $displayname -ReportType XML #define the XML namespace $ns=@{q3="http://www.microsoft.com/GroupPolicy/Settings/Registry"} $nodes=Select-Xml -Xml $report -Namespace $ns -XPath "//q3:RegistrySetting" | select -expand Node | Where {$_.AdmSetting -eq 'false'} if ($nodes) { #extra settings were found so get the GPO and write it to the pipeline Get-GPO -Name $Displayname } } End {} } #function #Import-Module GroupPolicy #Get-GPO -all | Test-GPOExtraRegistry

एक बार फिर, हम इंगित करते हैं कि पोस्ट में हमने केवल रिपोर्ट में प्रदर्शित किए गए सूखे अवशेषों को प्रस्तुत किया था। रिपोर्ट को यहां देखा जा सकता है ।

बोनस:

स्क्रिप्ट लिंक
स्लाइड शो
रिपोर्ट के लेखकों में से एक से ग्रुप पॉलिसी + पॉवरशेल पर मुफ्त पुस्तक [ENG] (आपको फॉर्म भरना होगा)

समूह नीति रिपोर्ट तैयार करने के लिए आप हमारे नेटवर्क्स ग्रुप पॉलिसी चेंज रिपोर्टर प्रोग्राम का भी उपयोग कर सकते हैं।

रिपोर्ट बनाएँ और PowerShell का उपयोग करके समूह नीतियों का विश्लेषण करें

हम समूह नीतियों के साथ संयोजन में PowerShell का उपयोग करते हैं: इसके लिए क्या आवश्यक है?

समूह नीति रिपोर्ट बनाएँ

समूह नीति वस्तुओं का विश्लेषण

More articles: