GPO-Sicherheitsfilterung für Computer-Konten mit PowerShell konfigurieren

    GPO-Sicherheitsfilterung mit PowerShellDie Sicher­heits­filterung erlaubt es, GPOs auf be­stimmte AD-Gruppen, Ben­utzer oder Com­puter anzu­wen­den bzw. diese auszu­schließen. Will man diesen Mecha­nismus für viele Konten konfi­gurieren, dann ist die Gruppen­richtlinien­verwaltung um­ständlich. Power­Shell erweist sich für diese Aufgabe als effi­zienter.

    Eine Sicherheitsfilterung (Security Filtering) bietet sich immer dann an, wenn die Einstellungen eines Gruppen­richtlinien­objekts nicht auf alle Mitglieder einer OU oder Domäne wirken sollen. Standard­mäßig enthält ein verlinktes GPO immer den Security Principal Authentifizierte Benutzer (Authenticated Users), so dass alle User und Computer eines Active Directory davon betroffen sind.

    Die GPMC zeigt unter Scope (Bereich) die Standardeinstellungen für die Sicherheitsfilterung eines GPO

    Computerkonten mit PowerShell hinzufügen

    Oftmals ist es erforderlich, Computerkonten nachträglich dem Security Filtering hinzuzufügen. Gründe können zum Beispiel Pilotierungen von GPO-Einstellungen sein, die fehlende Möglichkeit zur Konfiguration von Gruppen­mitglied­schaften, weil diese nicht unmittelbar angewendet werden (Hinweis: Kerberos-Tickets, TGT) oder Evaluierungen mit beabsichtigten Ausschlüssen.

    Muss man dafür eine größere Zahl von Computerkonten eintragen, dann ist die GPMC dafür umständlich und langwierig in der Handhabung. Dagegen erledigt ein kleines PowerShell-Script diesen Job zügig.

    Set-GPPermissions auf eine vorgegebene Liste von Computerkonten anwenden

    Download-Link: AddDevicesSecurityFiltering.ps1

    Computer-Liste aus Textdatei einlesen

    Zu Beginn weisen wir den Namen des betreffenden GPO und der Domäne jeweils eigenen Variablen zu. Dann importieren wir aus einer Textdatei die Liste der Computernamen, die in die Sicherheits­filterung aufgenommen werden sollen, in das Array $Computers. Diese sieht folgendermaßen aus:

    Textdatei mit den Computern, die in die Sicherheitsfilterung aufgenommen werden sollen.

    Wie man eine derartige Liste erstellt, sei jedem selbst überlassen. Excel mit Datenreihe ausfüllen, kann eine Möglichkeit sein und hilft in meinen Labs. Auch der PowerShell-Export aus dem AD ist ein probates Mittel.

    Ausgangspunkt ist hier eine OU mit Windows-10-PCs, ihr Distinguished Name lautet

    OU=W10,OU=NOTEBOOKS,OU=DUS,OU=GER,DC=kueppers,DC=lab

    OU mit den Computerkonten für den Import

    Die eigentliche Arbeit leistet dann der wiederholte Aufruf von Set-GPPermissions in einer Schleife, die über alle Elemente von $Computers iteriert. Dabei berechtigt der Parameter PermissionLevel mit dem Wert GpoApply das jeweilige Computer-Konto zum Ausführen des GPO.

    Ablauf und Resultat

    Nachdem das kurze Script ausgeführt wurde, sind die Computer-Objekte in das Security Filtering des betreffenden GPO integriert. Die Authenticated User habe ich dort zuvor von Hand entfernt, doch auch hier kann PowerShell helfen.

    Ausgabe des Scripts beim Hinzufügen eines Computers zur Sicherheitsfilterung eines GPO

    Hinweis: Achten Sie beim Entfernen der Authenticated User auf die Meldung, dass man nach dem Löschen auf andere Weise Computerkonten hinzufügen muss, weil das GPO sonst nicht angewendet wird. Hintergrund dafür sind die Änderungen durch den Patch MS16-072 vom 14. Juni 2016. Er bewirkt, dass auch GPOs für User im Sicherheits­kontext des Computerkontos abgerufen werden.

    Die Warnung beim Entfernen von Authentifizierte Benutzer besagt, dass GPOs ohne Berechtigungen für Computer nicht ausgeführt werden.

    Schauen wir nach Anwendung des PowerShell-Cmdlets in die GPMC, dann sieht man unter Scope das Security Filtering, erweitert um die gewünschten Computer-Konten.

    Das Test-GPO enthält unter Scope die via Script zum Security Filtering hinzugefügten Computer.

    Über die Registerkarte Delegation erreicht man dann die ACL und die Leseberechtigung für das verlinkte GPO.

    Computer-Objekte haben Read- und Apply-Permissions

    Öffnet man den Dialog über die Schaltfläche Advanced, zeigt sich auch, dass das GPO auf den entsprechenden Computer angewendet wird.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare