Question Existe-t-il un moyen de consolider plusieurs objets de stratégie de groupe en un seul?


J'ai environ 100 GPO que je voudrais fusionner à 15-20. Est-il possible de les fusionner? J'ai trouvé cet article:

http://blogs.technet.com/b/ashleymcglone/archive/2011/01/19/finally-copy-and-merge-gpos-powershell-saves-the-day.aspx

mais il y a des limites à sa fonctionnalité que je ne peux pas résoudre sans passer en revue chacune d'elles une à une.


7
2018-06-29 21:23


origine


Je ne connais pas la réponse, mais vous obtenez un +1 pour au moins essayer de consolider les GPO. - John Gardeniers


Réponses:


Il n'y a pas de fonctionnalité généralisée pour faire ce que vous cherchez. En raison de la nature modulaire de la stratégie de groupe et des extensions côté client (CSE), il ne peut pas y avoir de solution généralisée en soi. (Quelqu'un pourrait écrire des gestionnaires de "fusion" pour tous les CSE Microsoft par défaut, mais tout CSE tiers aurait son propre problème.)

Sur le plan architectural, la stratégie de groupe peut être étendue pour gérer de nouveaux types de paramètres. Du côté du client, ces CSE sont des DLL qui gèrent l'analyse des données de stratégie pour chaque type de stratégie (stratégie IE, stratégie de sécurité, modèles d'administration / registre, etc.). Du côté du serveur, la console de gestion est extensible pour permettre à des tiers de créer des outils de gestion pour leurs données de stratégie. Il n'y a pas de format normalisé pour le stockage des données CSE dans le GPO. La stratégie de registre utilise un fichier de ruche de registre, la stratégie IE utilise un fichier de modèle IEAK, etc.

Microsoft ne pensait pas obliger les interfaces d'administration CSE de stratégies tierces à disposer d'une fonctionnalité de "fusion", ce qui n'est pas le cas. Appelez cela à courte vue, mais c'est comme ça.

Quels types d'éléments dans vos objets de stratégie de groupe autres que la stratégie de registre doivent être consolidés? Selon ce que vous voulez, vous pourrez peut-être écrire du code (ou payer quelqu'un pour l'écrire) pour faire ce que vous cherchez.


5
2018-06-29 21:31



C'est en fait un peu de tout, les politiques d'audit, les autorisations, les modifications régulières, les fichiers Bat. - BlindingDawn
@BlindingDawn: Ouais, ça va être pénible. Je déteste devoir te dire ça. Si c'est un mélange si éclectique, cependant, il serait peut-être bon de laisser passer un être humain de toute façon. C'est un tas de GPO (et je le dis en tant que gars qui a au moins un client avec plus de 50 GPO dans son réseau 1000 PC). - Evan Anderson
Je vais prendre "Les choses que je ne voulais pas entendre" pour 1 000 $, Evan - BlindingDawn


Vous pouvez commencer avec un outil permettant de comparer les objets de stratégie de groupe pour voir ce qui est commun (le cas échéant) entre tous les objets de stratégie de groupe. Une fois que vous avez obtenu cela, vous pouvez commencer par créer un nouvel objet de stratégie de groupe contenant tous les paramètres courants et travailler à partir de là.

Veillez à éviter la tentation de créer un seul objet de stratégie de groupe monolithique pour tout gérer. 100 sons trop, mais 1 est probablement trop peu.


3
2018-06-30 00:03



Pouvez-vous suggérer un tel outil? - Daniel Goldberg
En voici deux: quest.com/landing/… et sdmsoftware.com/group_policy_compare.php - joeqwerty