Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppenrichtlinien konsolidieren - Wie am geschicktesten?

Frage Microsoft Windows Server

Mitglied: redder

redder (Level 1) - Jetzt verbinden

11.12.2012 um 14:17 Uhr, 2893 Aufrufe, 3 Kommentare

Hallo alle zusammen,
ich habe aktuell den Auftrag bei einem Kunden die Gruppenrichtlinien zu konsolidieren und hoffe, dass mir hier der eine oder andere Tipps dazu geben kann.

Szenario:
  • Windows Server 2008 R2
  • Ca. 250 GPOs, davon die Hälfte mit spezieller Sicherheitsfilterung (die auch nicht immer sinnvoll ist, da z.B. eine Sicherheitsgruppe mit PCs eine GPO zugewiesen bekommt in der nur Benutzereinstellungen festgelegt sind).
  • Vererbung teilweise deaktiviert
  • Viele unnötige Verlinkungen (Eine GPO ist z.B. auf mehrere OUs verlinkt, obwohl es durch die Vererbung nicht nötig wäre)
  • Teilweise GPOs die von anderen GPOs wieder entkräftet werden
  • Sehr merkwürdige GPOs die effektiv nur bei einem User greifen
  • Keine durchgängige Namenskonvention

Zusammengefasst: Es ist eine gewachsene Struktur^^ und es ist kein allgemeines Konzept erkennbar.

Wenn ich die Struktur von Anfang an aufbauen würde hätte ich keine Probleme; Dazu gibt es ja sehr schöne Best Practice Hinweise (wie z.B. Hier).
Aber so stehe ich bei diesem Chaos etwas auf dem Schlauch...

Mein erstes konkretes Ziel ist es unnötige GPOs (=GPOs die effektiv nie greifen) zu entfernen.

Mein Ansatz:
Um herauszufinden welche GPOs unnötig sind könnte ich via Gruppenrichtlinienmodellierung jeden User in Verbindung mit jedem PC (inkl. jeweils der richtigen Sicherheitsgruppen) einmal testen, dann schauen welche GPOs beim User/PC greifen und dann schauen ob sich die Einstellungen einzelner GPOs gegenseitig aufheben. Falls die Einstellungen einer GPO von einer anderen überschrieben wird (und zwar wirklich bei JEDEM User/PC) könnte die GPO entfernt werden.
Zudem müsste noch eine Liste aller GPOs mit der Liste von GPOs die überhaupt einmal angewendet werden abgeglichen werden.

Bei ca. 3000 Usern und ähnlich vielen PCs erscheint mir das aber sehr viel Arbeitsaufwand bzw. ich glaube selbst wenn ich es schaffen würde ein Script dazu zu schreiben (was schwierig wäre - Es müssen ja z.B. die Inhalte von GPOs verglichen werden) würde das AD bei der Auswertung in die Knie gehen...

Daher meine Frage: Wie würdet ihr vorgehen? Habe ich vielleicht einen Denkfehler und es ist in Wirklichkeit ganz einfach? Kennt ihr Tools die dabei unterstützen können? Oder würdet ihr empfehlen alles Platt zu machen und sauber neu aufzubauen?

Danke für Tipps dazu,
LG redder
Mitglied: Hitman4021
11.12.2012 um 14:23 Uhr
Hallo,

ich würde alles Platt machen und sauber neu aufbauen.
Ist einfacher und geht so wie du es schilderst warscheinlich sogar schneller wie Ordnung ins Chaos zu bringen.

Gruß
Bitte warten ..
Mitglied: Coreknabe
12.12.2012 um 10:55 Uhr
Moin,

das Thema schiebe ich auch schon eine ganze Weile vor mir her, auch wenn die Umgebung nicht so groß ist wie bei Dir...
Wenn noch jemand eine tolle Lösung hat, wäre ich auch interessiert

Gruß
Bitte warten ..
Mitglied: redder
09.01.2013 um 10:49 Uhr
Hallo,
es scheint wirklich keine einfache Lösung zu geben und leider durfte ich nicht alles neu aufbauen.

Der Vollständigkeit halber hier meine Vorgehensweise:
1. Grob schauen welche GPOs keinen Sinn ergeben und nach Absprache mit Kunden löschen
2. Aufnahme aller GPOs mit direkten Verknüpfungen und Sicherheitsfilterung
3. Alle GPOs, die die selben Verknüpfungen und Sicherheitsfilterung haben zusammenfassen (mit dem Tool "Microsoft Security Compliance Manager" können GPOs unter bestimmten Vorrausetzungen zusammengefasst werden)
4. Sonderfälle wie deaktivierte Vererbung in bestimmten OUs beseitigen

Wie auch immer, das Aufräumen war eine Heidenarbeit und trotzdem wird das hier wohl nicht mehr richtig schön werden.
Also denkt bitte dran solche Situationen durch richtige Konzepte von vornerein zu vermeiden :D

LG redder
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Aktuelle Liste der Gruppenrichtlinien (4)

Frage von supertux zum Thema Windows Server ...

Windows Server
gelöst Hintergrundbild per Gruppenrichtlinien wird nicht aktualisiert (5)

Frage von florianza zum Thema Windows Server ...

Windows Netzwerk
gelöst Gruppenrichtlinien Item-Level targeting per Power Shell ändern (9)

Frage von Lukas4580 zum Thema Windows Netzwerk ...

Microsoft Office
Gruppenrichtlinien Office 2016 werden nicht verteilt (2)

Frage von sammy65 zum Thema Microsoft Office ...

Neue Wissensbeiträge
Microsoft

Restrictor: Profi-Schutz für jedes Window

Tipp von AlFalcone zum Thema Microsoft ...

Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
VPN Tunnel aufbauen (16)

Frage von Hajo2006 zum Thema LAN, WAN, Wireless ...

Router & Routing
ASUS RT-N18U mit VPN Client hinter Fritzbox - Portforwarding (15)

Frage von marshall75000 zum Thema Router & Routing ...

Microsoft Office
Saubere HTML aus Word-Dokument (15)

Frage von peterpa zum Thema Microsoft Office ...

E-Mail
gelöst Probleme beim E-Mail Empfang (12)

Frage von TommyB83 zum Thema E-Mail ...