GPOs analysieren mit PowerShell: Nicht verlinkte und leere Objekte, WMI-Filter

Die in der Ergebnisliste enthaltenen Objekte lassen sich wie gewohnt anhand ihrer Eigenschaften analysieren und filtern. So könnte man mit dem Aufruf

Get-GPO -All | Where WmiFilter -ne $null

alle GPOs anzeigen, die mit einem WMI-Filter verknüpft sind. Ähnliches ließe sich mit dem Domänennamen (DomainName) oder dem GPO-Status vollführen. Damit sind jedoch die offensichtlichen Möglichkeiten zur Nutzung der GPO-Eigenschaften ausgeschöpft.

Leere GPOs ermitteln

Wie sich später anhand von XML-Reports herausstellen wird, lassen die Eigenschaften ComputerVersion und UserVersion Rückschlüsse darauf zu, ob ein GPO überhaupt Einstellungen enthält. Haben nämlich beide den Wert 0, dann ist es ein sicheres Indiz dafür, dass leere GPOs vorliegen. Diese kann man sich so anzeigen lassen:

$AllGPOs = Get-GPO -all
foreach($GP in $AllGPOs){if($GP.User.DSVersion -eq 0 -and $GP.Computer.DSVersion -eq 0)
{Write-Host "Leere GPOs:" $GP.DisplayName}}

Der erste Befehl liest alle GPOs in die Variable $AllGPOs ein, der zweite iteriert in einer foreach-Schleife über die einzelnen GPO-Objekte und prüft, ob die Eigenschaft DSVersion sowohl unter Computer als auch unter User gleich null ist.

Reports analysieren

Die relativ wenigen Eigenschaften der Objekte, die Get-GPO zurückgibt, erlauben kaum zusätzliche Abfragen. Diesen Mangel kann man einigermaßen ausgleichen, indem man Reports generiert. Sie enthalten praktisch alle Informationen zu den GPOs und lassen sich dank der XML-Funktionen von PowerShell gut auswerten.

Hinderlich dabei ist jedoch die Eigenheit von Get-GPOReport, dass es wohlgeformte XML-Dokumente nur für einzelne Berichte erzeugt. Ruft man es dagegen in der Form

Get-GPOReport -All -ReportType XML

auf, um Reports zu allen GPOs zu erzeugen, dann fügt es einfach alle Einzelberichte in einer Ausgabe zusammen. Dabei bleibt jede einzelne XML-Deklaration erhalten, so dass sich das Ergebnis nicht mit XML-Mitteln, sondern nur mit Methoden zur Textauswertung (etwa RegEx) untersuchen lässt. Daher iterieren die folgenden Beispiele in einer Schleife über die Einzelreports.

Verwaiste GPOs finden

Eine wichtige Information, die man bei der Analyse von GPOs wahrscheinlich erhalten will, sind ihre Verknüpfungen zu Domänen oder OUs. Bei dieser Gelegenheit lässt sich gleich herausfinden, welche GPOs gar nicht zugeordnet und daher nutzlos sind. Diese Daten kann man so ermitteln:

Get-GPO -All | %{[XML]$GPOs = Get-GPOReport -Name $_.DisplayName -ReportType XML; $GPOs.GPO.Name + ";" + $GPOs.GPO.LinksTo.SOMName}

Der erste Befehl liest alle GPOs aus und übergibt sie über eine Pipe an eine foreach-Schleife (% als Alias für Foreach-Object). Diese erzeugt in jedem Durchlauf einen Bericht für ein GPO im XML-Format und speichert diesen in der Variable $GPOs. Letztere wird über den Cast [XML] in ein XML-Objekt konvertiert. Anschließend wird nur noch der Inhalt der Elemente /GPO/Name und /GPO/LinksTo/SOMName ausgegeben.

Das Element LinksTo hat neben SOMName noch weitere Kindknoten, darunter Enabled. Sein Wert sagt aus, ob die Verknüpfung aktiviert oder deaktiviert wurde. Alle Werte der Knoten unter Enabled lassen sich auf diese Weise ermitteln:

Get-GPO -All | %{[XML]$GPOs = Get-GPOReport -Name $_.DisplayName -ReportType XML; $GPOs.GPO.Name, $GPOs.GPO.LinksTo | fl}

Die Ausgabe erfolgt im übersichtlicheren Listenformat, wobei den Daten aus dem Report jeweils der GPO-Name vorangestellt wird.