我需要转储Active Directory中的所有组策略,以便以后离线查看。 有没有一种方法可以轻松地将所有组策略导出为文本或其他一些易于parsing的格式?
编辑:这些工具是否会从不属于域的计算机上运行? 我有域凭据,但我的工作笔记本电脑不一定是我需要审查的域的一部分。
不幸的是,由于组策略扩展处理程序的模块化特性,我不相信你会find比组策略pipe理控制台更好的工具来完成你的工作。
最简单的方法是使用join域的计算机运行GPMC并检查/导出GPO。 当然,如果有GPO的默认权限被修改,那么您可能无法访问他们,以及您的凭据来审计它们。
鉴于在域成员计算机上使用GPMC所要做的事是多么容易,我想说你应该追求这一点。 如果你有问题,我会把它作为一个“政治”/pipe理问题,而不是技术问题。 GPMC是这项工作的正确工具,如果您希望完成这项工作,您需要获得相关信息。 访问您的域凭据可能无法访问的GPO也一样。
如果您绝对无法访问运行GPMC的域成员计算机,那么您的下一个最佳select(但不合需要的select)是让pipe理员备份所有GPO并将备份提供给您。 您可以将该备份导入到您控制的另一个AD域中,并审核其中的GPO。 该战略的问题是,原始域中的所有SID信息在您自己的域中将无法理解(如果您将导入的GPO“映射”到域中的用户/组,则将丢失)。
GPMC是你的工具。 弄清楚如何让“有能力的人”可以让你使用这个工具,而且你可以快速有效地完成工作。
从安装有RSAT的Windows Server 2008 R2或Windows 7开始,可以使用Powershell将所有GPO设置导出为HTML或带有Get-GPOReport XML。
Import-Module GroupPolicy # Export a specific GPO Get-GPOReport -Name MyFooGPO -ReportType Html -Path MyFooGPOReport.htm Get-GPOReport -Name MyFooGPO -ReportType Xml -Path MyFooGPOReport.xml # Export all GPOs Get-GPOReport -All -ReportType Html -Path AllGPOsReport.htm Get-GPOReport -All -ReportType Xml -Path AllGPOsReport.xml
GroupPolicy模块中包含许多其他有用的Cmdlet 。
通过让pipe理员使用GPMC备份所有GPO并让您可以访问该备份文件夹,然后打开GPMC实例并将其指向该备份文件夹并在GPMC的非常直观的界面中读取任何内容。
另一个选项是检查GPMC附带的脚本。 (默认情况下是C:\ Program Files \ GPMC \ Scripts)
GetReportsForAllGPOs.wsf:为给定域中的所有GPO生成XML报告
GetReportsForGPO.wsf:为给定的GPO生成XML和HTML报告
Windows Server 2003资源工具包中的admx.exe将允许您执行此操作。
ADM文件parsing器(AdmX)是一个命令行工具,使pipe理员可以将组策略设置导出到制表符分隔的文本文件。 然后,pipe理员可以使用ADM File Parser(AdmX)生成的文本来查找不同版本的操作系统之间策略设置的更改。
让GPpipe理员打开Microsoftpipe理控制台的组策略pipe理pipe理单元。
当您select一个GPO时,顶部有4个选项卡:范围详细信息设置委派
如果您需要审核,范围将显示您适用的人员和/或内容。
设置将生成一个HTML格式的报告,其中包含所有在GPO中configuration的设置,非常容易阅读。 右键单击“设置”数据区域中的任意位置将允许您以标准HTML格式“保存报告…”。
只需让您的GPpipe理员保存您想要查看的每项政策的“设置”报告:)
为此使用GPMC( 无论如何 ,您应该将其用于所有GPOpipe理)。