Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppenrichtlinien konsolidieren - Wie am geschicktesten?

Frage Microsoft Windows Server

Mitglied: redder

redder (Level 1) - Jetzt verbinden

11.12.2012 um 14:17 Uhr, 2852 Aufrufe, 3 Kommentare

Hallo alle zusammen,
ich habe aktuell den Auftrag bei einem Kunden die Gruppenrichtlinien zu konsolidieren und hoffe, dass mir hier der eine oder andere Tipps dazu geben kann.

Szenario:
  • Windows Server 2008 R2
  • Ca. 250 GPOs, davon die Hälfte mit spezieller Sicherheitsfilterung (die auch nicht immer sinnvoll ist, da z.B. eine Sicherheitsgruppe mit PCs eine GPO zugewiesen bekommt in der nur Benutzereinstellungen festgelegt sind).
  • Vererbung teilweise deaktiviert
  • Viele unnötige Verlinkungen (Eine GPO ist z.B. auf mehrere OUs verlinkt, obwohl es durch die Vererbung nicht nötig wäre)
  • Teilweise GPOs die von anderen GPOs wieder entkräftet werden
  • Sehr merkwürdige GPOs die effektiv nur bei einem User greifen
  • Keine durchgängige Namenskonvention

Zusammengefasst: Es ist eine gewachsene Struktur^^ und es ist kein allgemeines Konzept erkennbar.

Wenn ich die Struktur von Anfang an aufbauen würde hätte ich keine Probleme; Dazu gibt es ja sehr schöne Best Practice Hinweise (wie z.B. Hier).
Aber so stehe ich bei diesem Chaos etwas auf dem Schlauch...

Mein erstes konkretes Ziel ist es unnötige GPOs (=GPOs die effektiv nie greifen) zu entfernen.

Mein Ansatz:
Um herauszufinden welche GPOs unnötig sind könnte ich via Gruppenrichtlinienmodellierung jeden User in Verbindung mit jedem PC (inkl. jeweils der richtigen Sicherheitsgruppen) einmal testen, dann schauen welche GPOs beim User/PC greifen und dann schauen ob sich die Einstellungen einzelner GPOs gegenseitig aufheben. Falls die Einstellungen einer GPO von einer anderen überschrieben wird (und zwar wirklich bei JEDEM User/PC) könnte die GPO entfernt werden.
Zudem müsste noch eine Liste aller GPOs mit der Liste von GPOs die überhaupt einmal angewendet werden abgeglichen werden.

Bei ca. 3000 Usern und ähnlich vielen PCs erscheint mir das aber sehr viel Arbeitsaufwand bzw. ich glaube selbst wenn ich es schaffen würde ein Script dazu zu schreiben (was schwierig wäre - Es müssen ja z.B. die Inhalte von GPOs verglichen werden) würde das AD bei der Auswertung in die Knie gehen...

Daher meine Frage: Wie würdet ihr vorgehen? Habe ich vielleicht einen Denkfehler und es ist in Wirklichkeit ganz einfach? Kennt ihr Tools die dabei unterstützen können? Oder würdet ihr empfehlen alles Platt zu machen und sauber neu aufzubauen?

Danke für Tipps dazu,
LG redder
Mitglied: Hitman4021
11.12.2012 um 14:23 Uhr
Hallo,

ich würde alles Platt machen und sauber neu aufbauen.
Ist einfacher und geht so wie du es schilderst warscheinlich sogar schneller wie Ordnung ins Chaos zu bringen.

Gruß
Bitte warten ..
Mitglied: Coreknabe
12.12.2012 um 10:55 Uhr
Moin,

das Thema schiebe ich auch schon eine ganze Weile vor mir her, auch wenn die Umgebung nicht so groß ist wie bei Dir...
Wenn noch jemand eine tolle Lösung hat, wäre ich auch interessiert

Gruß
Bitte warten ..
Mitglied: redder
09.01.2013 um 10:49 Uhr
Hallo,
es scheint wirklich keine einfache Lösung zu geben und leider durfte ich nicht alles neu aufbauen.

Der Vollständigkeit halber hier meine Vorgehensweise:
1. Grob schauen welche GPOs keinen Sinn ergeben und nach Absprache mit Kunden löschen
2. Aufnahme aller GPOs mit direkten Verknüpfungen und Sicherheitsfilterung
3. Alle GPOs, die die selben Verknüpfungen und Sicherheitsfilterung haben zusammenfassen (mit dem Tool "Microsoft Security Compliance Manager" können GPOs unter bestimmten Vorrausetzungen zusammengefasst werden)
4. Sonderfälle wie deaktivierte Vererbung in bestimmten OUs beseitigen

Wie auch immer, das Aufräumen war eine Heidenarbeit und trotzdem wird das hier wohl nicht mehr richtig schön werden.
Also denkt bitte dran solche Situationen durch richtige Konzepte von vornerein zu vermeiden :D

LG redder
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
Microsoft Office
Gruppenrichtlinien Office 2016 werden nicht verteilt (2)

Frage von sammy65 zum Thema Microsoft Office ...

Windows Tools
Dateiversionsverlauf über Gruppenrichtlinien steuern

Frage von KMUlife zum Thema Windows Tools ...

Microsoft Office
Sind Gruppenrichtlinien bei Migration auf Office 365 Steinzeit? (2)

Frage von Spatze zum Thema Microsoft Office ...

Windows Server
gelöst Gruppenrichtlinien-Vorlage Office 2013 auf einem DC 2003 (5)

Frage von bluepython zum Thema Windows Server ...

Heiß diskutierte Inhalte
Linux Netzwerk
gelöst DHCP vergibt keine Adressen (32)

Frage von Maik82 zum Thema Linux Netzwerk ...

Apache Server
gelöst Lets Encrypt SSL mit Apache2 (20)

Frage von banane31 zum Thema Apache Server ...

CPU, RAM, Mainboards
Kaufberatung für mind. 8 verschiedene HighEnd-Mainboards (20)

Frage von yperiu zum Thema CPU, RAM, Mainboards ...

Hardware
gelöst PCI-Express-Adapterfrage (14)

Frage von DerWoWusste zum Thema Hardware ...