Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppenrichtlinien konsolidieren - Wie am geschicktesten?

Frage Microsoft Windows Server

Mitglied: redder

redder (Level 1) - Jetzt verbinden

11.12.2012 um 14:17 Uhr, 2980 Aufrufe, 3 Kommentare

Hallo alle zusammen,
ich habe aktuell den Auftrag bei einem Kunden die Gruppenrichtlinien zu konsolidieren und hoffe, dass mir hier der eine oder andere Tipps dazu geben kann.

Szenario:
  • Windows Server 2008 R2
  • Ca. 250 GPOs, davon die Hälfte mit spezieller Sicherheitsfilterung (die auch nicht immer sinnvoll ist, da z.B. eine Sicherheitsgruppe mit PCs eine GPO zugewiesen bekommt in der nur Benutzereinstellungen festgelegt sind).
  • Vererbung teilweise deaktiviert
  • Viele unnötige Verlinkungen (Eine GPO ist z.B. auf mehrere OUs verlinkt, obwohl es durch die Vererbung nicht nötig wäre)
  • Teilweise GPOs die von anderen GPOs wieder entkräftet werden
  • Sehr merkwürdige GPOs die effektiv nur bei einem User greifen
  • Keine durchgängige Namenskonvention

Zusammengefasst: Es ist eine gewachsene Struktur^^ und es ist kein allgemeines Konzept erkennbar.

Wenn ich die Struktur von Anfang an aufbauen würde hätte ich keine Probleme; Dazu gibt es ja sehr schöne Best Practice Hinweise (wie z.B. Hier).
Aber so stehe ich bei diesem Chaos etwas auf dem Schlauch...

Mein erstes konkretes Ziel ist es unnötige GPOs (=GPOs die effektiv nie greifen) zu entfernen.

Mein Ansatz:
Um herauszufinden welche GPOs unnötig sind könnte ich via Gruppenrichtlinienmodellierung jeden User in Verbindung mit jedem PC (inkl. jeweils der richtigen Sicherheitsgruppen) einmal testen, dann schauen welche GPOs beim User/PC greifen und dann schauen ob sich die Einstellungen einzelner GPOs gegenseitig aufheben. Falls die Einstellungen einer GPO von einer anderen überschrieben wird (und zwar wirklich bei JEDEM User/PC) könnte die GPO entfernt werden.
Zudem müsste noch eine Liste aller GPOs mit der Liste von GPOs die überhaupt einmal angewendet werden abgeglichen werden.

Bei ca. 3000 Usern und ähnlich vielen PCs erscheint mir das aber sehr viel Arbeitsaufwand bzw. ich glaube selbst wenn ich es schaffen würde ein Script dazu zu schreiben (was schwierig wäre - Es müssen ja z.B. die Inhalte von GPOs verglichen werden) würde das AD bei der Auswertung in die Knie gehen...

Daher meine Frage: Wie würdet ihr vorgehen? Habe ich vielleicht einen Denkfehler und es ist in Wirklichkeit ganz einfach? Kennt ihr Tools die dabei unterstützen können? Oder würdet ihr empfehlen alles Platt zu machen und sauber neu aufzubauen?

Danke für Tipps dazu,
LG redder
Mitglied: Hitman4021
11.12.2012 um 14:23 Uhr
Hallo,

ich würde alles Platt machen und sauber neu aufbauen.
Ist einfacher und geht so wie du es schilderst warscheinlich sogar schneller wie Ordnung ins Chaos zu bringen.

Gruß
Bitte warten ..
Mitglied: Coreknabe
12.12.2012 um 10:55 Uhr
Moin,

das Thema schiebe ich auch schon eine ganze Weile vor mir her, auch wenn die Umgebung nicht so groß ist wie bei Dir...
Wenn noch jemand eine tolle Lösung hat, wäre ich auch interessiert

Gruß
Bitte warten ..
Mitglied: redder
09.01.2013 um 10:49 Uhr
Hallo,
es scheint wirklich keine einfache Lösung zu geben und leider durfte ich nicht alles neu aufbauen.

Der Vollständigkeit halber hier meine Vorgehensweise:
1. Grob schauen welche GPOs keinen Sinn ergeben und nach Absprache mit Kunden löschen
2. Aufnahme aller GPOs mit direkten Verknüpfungen und Sicherheitsfilterung
3. Alle GPOs, die die selben Verknüpfungen und Sicherheitsfilterung haben zusammenfassen (mit dem Tool "Microsoft Security Compliance Manager" können GPOs unter bestimmten Vorrausetzungen zusammengefasst werden)
4. Sonderfälle wie deaktivierte Vererbung in bestimmten OUs beseitigen

Wie auch immer, das Aufräumen war eine Heidenarbeit und trotzdem wird das hier wohl nicht mehr richtig schön werden.
Also denkt bitte dran solche Situationen durch richtige Konzepte von vornerein zu vermeiden :D

LG redder
Bitte warten ..
Ähnliche Inhalte
Windows Server
DFS - Freigaben konsolidieren funktioniert nicht
gelöst Frage von SchnuggieWindows Server4 Kommentare

Hallo, ich versuche mehre Freigaben zu bündeln. Als Lösung für diese Anforderung bin ich auf DFS aufmerksam geworden. Ausgangssituation: ...

Windows Server
Viele gpo richtlinien konsolidieren
gelöst Frage von retodellatorreWindows Server5 Kommentare

hallo zusammen wenn ein benutzer sich bei uns anmeldet, durchläuft sein login ca 14 gpo's. ich habe alle gpo's ...

Windows Netzwerk
Reverse-Lookup Zonen konsolidieren
Frage von billythekidWindows Netzwerk3 Kommentare

Hallo, betreibe einen Windows 2008 DNS-Server (Domänenintegriert). Die Reverse-Lookup-Zone meines DNS enthält aus historischen Gründen die Zonen 35.10.in-addr.arpa, 63.10, ...

Exchange Server
Termineinladungen werden immer an alle Benutzer geschickt
Frage von kansiii85Exchange Server2 Kommentare

Moin Moin, ich habe ein besonderes Phänomen bei einem Kunden. System: SBS2011 mit Ex2010 / 7User Sobald ein Benutzer ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser7 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 3 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...