Экспорт Active Directory пользователь GPO
Я хотел бы войти .csv (или любой другой читаемый формат) все мои AD пользователи и политики, что они должны соответствовать (тип аутентификации каждый пользователь потребности, его свойства регистрации событий и даже какое шифрование ему разрешают использовать в BitLocker).
Get-ADUser и CSVDE команды не дают мне все политики.
В основном мне нужен вид слияния между GPO на пользователя...
Единственным "решением", которое я нашел, является команда GPResults для каждого пользователя, но это только работает, если пользователи зарегистрированы, который не достаточно хорош.
Спасибо, Nir
Групповая политика:
Политика пользователя зависит не только от объекта пользователя - на нее могут влиять фильтры wmi , группы чужих доменов или Обеспечение механизма аутентификации , что означает, что членство в вашей группе изменяется в соответствии с тем, как вы предоставили свои учетные данные. Короче говоря, единственный 100% точный способ - это войти в систему и проверить результаты GP.
Вы можете попробовать результат GP «планирование» , что означает, что у всех расширений спрашивается «что бы вы сделали, если бы этот пользователь вошел в систему», но они должны его поддерживать (не говоря уже о том, что он установлен на вашем компьютере), и это не так легко, как скрипт, так как GP приводит к "ведению журнала" - для него нет простой команды PowerShell, AFAIK, и это нужно делать с помощью WMI.
Другое:
Обратите внимание, что некоторые из указанных вами вещей вообще не являются расширениями GP. Например, политика паролей устанавливается на уровне DC, даже если она мелкозернистая .
Что вам следует делать: На вашем месте я бы составил список вещей, которые для меня важны (вы начали это делать - шифрование битлокерами, политика паролей, групповая политика), и относился бы к каждому по-разному (поскольку к ним нужно относиться по-разному).В итоге вы получите набор данных о каждой политике, которые вы можете рассмотреть для слияния (я предполагаю, что вы этого не сделаете, поскольку это не принесет никакой новой информации). Важной частью сценария является сбор данных (а не обобщение), поскольку это часть, которая требует утомительной работы, а не творческого мышления.
Вы можете использовать командлет групповой политики powershell s.
Вы можете получить информацию о пользователях с помощью Get-ADUser.
Затем вы можете следить за этим, используя Get-GPInheritance в пользовательском OU.
После этого вы можете запустить Get-GPOReport для результирующих GPO.
Я не пробовал это раньше, но это должно быть возможно с новыми командлетами.
Однако это будет довольно много работы и исследований, чтобы начать работу, и, возможно, немного много для ответов, которые вы ищете.
В зависимости от того, насколько велика ваша среда и сколько у вас групповых политик, возможно, будет проще следовать ответу Нитца.
Я согласен с Nitz, и если у вас есть закольцованная обработка для пользовательских настроек, то целевой компьютер, PowerShell или Wi-Fi не могут это угадать, немного почему gpresult требует, чтобы пользователь вошел в систему, чтобы просмотреть фактическую политику.