Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppenrichtlinien konsolidieren - Wie am geschicktesten?

Frage Microsoft Windows Server

Mitglied: redder

redder (Level 1) - Jetzt verbinden

11.12.2012 um 14:17 Uhr, 2941 Aufrufe, 3 Kommentare

Hallo alle zusammen,
ich habe aktuell den Auftrag bei einem Kunden die Gruppenrichtlinien zu konsolidieren und hoffe, dass mir hier der eine oder andere Tipps dazu geben kann.

Szenario:
  • Windows Server 2008 R2
  • Ca. 250 GPOs, davon die Hälfte mit spezieller Sicherheitsfilterung (die auch nicht immer sinnvoll ist, da z.B. eine Sicherheitsgruppe mit PCs eine GPO zugewiesen bekommt in der nur Benutzereinstellungen festgelegt sind).
  • Vererbung teilweise deaktiviert
  • Viele unnötige Verlinkungen (Eine GPO ist z.B. auf mehrere OUs verlinkt, obwohl es durch die Vererbung nicht nötig wäre)
  • Teilweise GPOs die von anderen GPOs wieder entkräftet werden
  • Sehr merkwürdige GPOs die effektiv nur bei einem User greifen
  • Keine durchgängige Namenskonvention

Zusammengefasst: Es ist eine gewachsene Struktur^^ und es ist kein allgemeines Konzept erkennbar.

Wenn ich die Struktur von Anfang an aufbauen würde hätte ich keine Probleme; Dazu gibt es ja sehr schöne Best Practice Hinweise (wie z.B. Hier).
Aber so stehe ich bei diesem Chaos etwas auf dem Schlauch...

Mein erstes konkretes Ziel ist es unnötige GPOs (=GPOs die effektiv nie greifen) zu entfernen.

Mein Ansatz:
Um herauszufinden welche GPOs unnötig sind könnte ich via Gruppenrichtlinienmodellierung jeden User in Verbindung mit jedem PC (inkl. jeweils der richtigen Sicherheitsgruppen) einmal testen, dann schauen welche GPOs beim User/PC greifen und dann schauen ob sich die Einstellungen einzelner GPOs gegenseitig aufheben. Falls die Einstellungen einer GPO von einer anderen überschrieben wird (und zwar wirklich bei JEDEM User/PC) könnte die GPO entfernt werden.
Zudem müsste noch eine Liste aller GPOs mit der Liste von GPOs die überhaupt einmal angewendet werden abgeglichen werden.

Bei ca. 3000 Usern und ähnlich vielen PCs erscheint mir das aber sehr viel Arbeitsaufwand bzw. ich glaube selbst wenn ich es schaffen würde ein Script dazu zu schreiben (was schwierig wäre - Es müssen ja z.B. die Inhalte von GPOs verglichen werden) würde das AD bei der Auswertung in die Knie gehen...

Daher meine Frage: Wie würdet ihr vorgehen? Habe ich vielleicht einen Denkfehler und es ist in Wirklichkeit ganz einfach? Kennt ihr Tools die dabei unterstützen können? Oder würdet ihr empfehlen alles Platt zu machen und sauber neu aufzubauen?

Danke für Tipps dazu,
LG redder
Mitglied: Hitman4021
11.12.2012 um 14:23 Uhr
Hallo,

ich würde alles Platt machen und sauber neu aufbauen.
Ist einfacher und geht so wie du es schilderst warscheinlich sogar schneller wie Ordnung ins Chaos zu bringen.

Gruß
Bitte warten ..
Mitglied: Coreknabe
12.12.2012 um 10:55 Uhr
Moin,

das Thema schiebe ich auch schon eine ganze Weile vor mir her, auch wenn die Umgebung nicht so groß ist wie bei Dir...
Wenn noch jemand eine tolle Lösung hat, wäre ich auch interessiert

Gruß
Bitte warten ..
Mitglied: redder
09.01.2013 um 10:49 Uhr
Hallo,
es scheint wirklich keine einfache Lösung zu geben und leider durfte ich nicht alles neu aufbauen.

Der Vollständigkeit halber hier meine Vorgehensweise:
1. Grob schauen welche GPOs keinen Sinn ergeben und nach Absprache mit Kunden löschen
2. Aufnahme aller GPOs mit direkten Verknüpfungen und Sicherheitsfilterung
3. Alle GPOs, die die selben Verknüpfungen und Sicherheitsfilterung haben zusammenfassen (mit dem Tool "Microsoft Security Compliance Manager" können GPOs unter bestimmten Vorrausetzungen zusammengefasst werden)
4. Sonderfälle wie deaktivierte Vererbung in bestimmten OUs beseitigen

Wie auch immer, das Aufräumen war eine Heidenarbeit und trotzdem wird das hier wohl nicht mehr richtig schön werden.
Also denkt bitte dran solche Situationen durch richtige Konzepte von vornerein zu vermeiden :D

LG redder
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Problem mit Gruppenrichtlinien (3)

Frage von hoeced zum Thema Windows Server ...

Debian
gelöst Apticron report wird mit falscher IP in der Mail geschickt (5)

Frage von BakBone zum Thema Debian ...

LAN, WAN, Wireless
Gruppenrichtlinie wird nicht repliziert (2)

Frage von faebe2017 zum Thema LAN, WAN, Wireless ...

Windows 10
gelöst Gruppenrichtlinien exportieren für anderes System (6)

Frage von LordGurke zum Thema Windows 10 ...

Neue Wissensbeiträge
Entwicklung

Exploit Development

Anleitung von burhanudinn123 zum Thema Entwicklung ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(1)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
Leiten "dumme" Switches VLAN-Tags mit durch? (17)

Frage von coltseavers zum Thema Netzwerkprotokolle ...

Router & Routing
gelöst Linksys wrt1200ac v2 mit dd-wrt: keine vlan-einstellungen im GUI (15)

Frage von Pixi123 zum Thema Router & Routing ...

E-Business
Wo tragt ihr eure privaten Termine ein? (13)

Frage von honeybee zum Thema E-Business ...

Windows Server
Terminalserver starten willkürlich neu (12)

Frage von thaefliger zum Thema Windows Server ...