我想获得.csv (或任何其他可读的格式)我所有的AD用户和他们需要遵守的策略(每个用户需要的身份validationtypes,他的事件logging属性,甚至允许使用哪种encryption方法BitLocker的)。
Get-ADUser和CSVDE命令不会给我所有的策略。
基本上我需要每个用户的GPO之间的合并…
我find的唯一“解决scheme”是每个用户的GPResults命令,但只有当用户login时才起作用,这不够好。
谢谢,尼尔
组策略:
用户的策略并不完全取决于用户对象 – 它可能受到wmifilter ,外部域组或身份validation机制保证的影响 ,这意味着您的组成员资格会根据您提供凭据的方式而改变。 简而言之 – 唯一的100%准确的方法实际上是login并检查GP结果。
你可以尝试GP的结果“计划” ,这意味着所有的扩展都会被问到“如果这个用户已经login,你会做什么”,但是他们必须支持它 (更不用说安装在你的机器上了),并且不容易作为GP结果“logging”脚本 – 有没有简单的PowerShell命令AFAIK,它必须使用WMI完成。
其他的东西:
请注意,您指定的一些内容根本不是GP扩展名。 例如,密码策略设置在DC级别,即使它是细粒度的 。
你应该做什么:如果我是你,我会列出一些对我来说很重要的事情(你开始这么做 – 比特encryption,密码策略,组策略),并且对待每一个不同的事情(因为他们必须被处理不同)。 你最终将得到关于每个策略的数据,你可以考虑合并(我猜你不会这样做,因为它没有带来任何新的见解)。
编写脚本的重要部分是数据收集(而不是汇总),因为这是需要繁琐工作而不是创造性思维的部分。
您可以使用powershell 组策略commandlet 。
您可以使用Get-ADUser获取用户信息。
然后,您可以通过在用户OU上使用Get-GPInheritance进行跟踪。
之后,您可以在生成的GPO上运行Get-GPOReport 。
我以前没有尝试过,但应该可以使用新的命令行开关。
然而,这将是相当一部分的工作和研究,可能还有一些你正在寻找的答案。
根据你的环境有多大,以及你有多less组策略,跟随Nitz的答案可能会更容易一些。
我同意尼茨,如果你有回环处理用户设置目标计算机,powershell或WMI不能猜测,有点为什么gpresult需要login用户列出实际的政策。