GPOs Microsofts Group Policies sind eine feine Sache. Tausende Computer- und Benutzereinstellungen, die von zentraler Stelle aus fr alle Clients konfiguriert werden knnen. Nachdem im Regelfall nicht alle Computer bzw. Benutzer die gleichen Einstellungen bekommen sollen, mssen unterschiedliche Stze von Einstellungen in jeweils ein Group Policy Objekt gepackt werden. Die GPOs werden dann auf unterschiedliche OUs verlinkt. Oft haben wir es nicht mit der grnen Wiese zu tun, d.h. die Policies werden nicht komplett neu erstellt sondern mssen im Wesentlichen neu strukturiert und konsolidiert werden. Dazu mssen bereits vorhandene GPOs u.a. zusammengefasst werden. Was geht Mit Windows Bordmitteln kommt man bei der bernahme von Einstellungen zwischen verschiedenen Group Policy-Objekten nicht weit. Immerhin knnen Preferences, zu Deutsch Einstellungen, leicht kopiert werden. Dazu ffnet man Quell- und Ziel-GPO per GPO Editor, kopiert die gewnschte Preference und fgt sie an gleicher Stelle im der Zielobjekt ein. Genauso funktioniert das auch per Drag and Drop. Dabei werden im Hintergrund Eintrge in XML-Dateien im Sysvol kopiert. Damit steht eine einfache Methode fr die bernahme zur Verfgung, die dem Administrator im brigen den Vorteil bietet, relativ genau whlen zu knnen, welche Einstellungen bernommen werden sollen und welche nicht. // Was nicht geht Was nicht geht ist schnell zusammengefasst alles andere. Klassische Richtlinien, seien es Einstellungen unter Windows Settings (Windows-Einstellungen) oder die sehr groe Zahl von Einstellungen unter Administrative Templates (Administrative Vorlagen), knnen nicht mit Standard-Bordmitteln bernommen werden. Standardmig bleibt da nur die manuelle bertragung ber die Tastatur. Bei den klassischen Policies zugrundeliegenden Dateien im Sysvol handelt es sich um INF-Dateien, vor allem aber um die Registry.pol. Von der Registry.pol gibt es jeweils eine eigene Version fr den Computer- und den Benutzerteil der GPO. // Was nicht geht wird gngig gemacht Zumindest ein Teil, nmlich die Einstellungen unter Administrative Templates bzw. in den Registry.pol-Dateien kann per Script bernommen werden. Dazu habe ich auf Basis eines von Ashley McGlone hier verffentlichten Scripts ein Powershell Script erstellt, das die Registry-basierenden Einstellungen aus GPOs in ein anderes Policy Objekt bernimmt. Die Quell-GPOs knnen ber ihren Namen oder die OU, auf die sie verlinkt sind, selektiert werden. Auerdem kann eingestellt werden, ob der Benutzer- und oder Computerteil bernommen werden soll. Als Ziel kann eine neue GPO erstellt werden oder die Einstellungen aus den Quell-GPOs knnen einer bestehenden GPO hinzugefgt werden. Das Powershell Script Merge-Policies kann unten heruntergeladen werden. Die ntige Dokumentation (Parameter etc.) befindet sich im Quelltext. Die Benutzung erfolgt auf eigene Gefahr, es empfiehlt sich das Script zunchst in einer Testumgebung auszuprobieren. Wenn die gleiche Policy ber mehrere Quell-GPOs definiert wird, dann gewinnt brigens grundstzlich die letzte. Welche GPOs in welcher Reihenfolge behandelt werden und welche Einstellungen bernommen werden, wird als Text ausgegeben. Die Ausgabe kann per > oder | tee-object in eine Datei umgeleitet werden. // Was will man mehr? Eine ganze Menge bliebe noch zu wnschen. So wre es schn, wenn man genau mitgeben knnte, welche Einstellungen aus den Quell-GPOs bernommen werden sollen - die Einschrnkung auf Benutzer- bzw. Computerteil ist doch recht grob. Auch ber das Entfernen von Einstellungen knnte man nachdenken und vor allem ein einfacher Vergleich von mehreren GPOs wre schn um zu finden, ob es berschneidungen bzw. fehlende Einstellungen gibt. Und ein grafisches Userinterface, und, und, und, Merge-Policies Das Powershell-Script erlaubt die Zusammenfassung von Policies aus unterschiedlichen GPOs. merge-policies.zip Komprimiertes Archiv im ZIP Format 3.1 KB Download //
Mark Russinovich erklrt in seinen "the case of the..."-Blogposts unter anderem die IT-Probleme seiner Mutter, ich erklre meine bzw. die Probleme meiner Kunden rund um Windows und Ivanti DSM (ehemals HEAT DSM, Frontrange DSM, enteo, NetInstall).
zum Artikel gehen