Group Policy Analyzer 3.1: Support für deutsche ADML und Central Store

    GPO Filter in Policy AnalyzerMicrosoft veröffent­lichte Anfang 2016 den kosten­losen Policy Analyzer, mit dem sich Än­der­ungen in Grup­pen­richt­linien nach­ver­folgen und Kon­flikte zwischen GPOs auf­spüren lassen. Die erste Aus­führung zeigte aber noch einige Defi­zite, die nun die Version 3.1 teil­weise ausbügelt.

    Um Konflikte zwischen den Einstellungen von verschiedenen GPOs zu finden, reicht es, die aktuellen GPO-Dateien aus der Domäne einzulesen. Dazu klickt man auf den Button Add und führt im anschließenden Dialog aus dem Menü Files den Befehl Add Files from GPO(s) … aus.

    Im ersten Schritt wählt man das Verzeichnis aus, in dem sich die GPOs befinden

    Dort öffnet man den Ordner

    \\<FQDN>\SYS­VOL\­<FQDN>\Poli­cies

    also zum Beispiel \\con­toso.de\SYS­VOL\con­toso.­de\Poli­cies.

    Alle GPOs in XML-Datei speichern

    Das Tool liest nun alle Einstellungen sämtlicher Objekte in das aktuelle Fenster ein und erwartet, dass man sie über die Schaltfläche Import in einer Datei mit der Endung .PolicyRules ablegt. Anschließend wählt man die eben gespeicherten GPOs im Analyzer aus und öffnet sie durch einen Klick auf die entsprechende Schaltfläche im Viewer. Dieser zeigt unter anderem den Registry-Schlüssel an, die ein Objekt schreibt, den Namen der Einstellung sowie den ihr zugeordneten Wert.

    Bei der Import-Funktion geht es eigentlich darum, die Einstellungen der eingelesenen GPOs zu speichern.

    Das Tool findet Konflikte zwischen GPOs automatisch und hebt diese durch gelbe Markierungen hervor. Aktiviert man zuvor im Viewer die Optionen Compare local registry bzw. Local Policy, dann verweisen die grauen Felder auf Abweichungen zwischen den lokalen Werten und jener aus der Domäne.

    Konflikte in den Einstellungen von GPOs hebt der Policy Analyzer gelb hervor.

    Vergleich mit GPO-Backups

    Eine weitere Aufgabe, die der Policy Analyzer bewältigen kann, besteht im Vergleichen von verschiedenen GPO-Versionen. Auf diese Weise lassen sich Änderungen nachverfolgen. Dies setzt jedoch voraus, dass man schon früher ein Backup der GPOs erstellt hat, das man mit dem aktuellen Zustand vergleichen kann.

    Markiert man eine Einstellung, dann zeigt der Viewer im unteren Bereich die dazugehörende Beschreibung, die auch der GPO-Editor einblendet. Zu diesem Zweck las die erste Version des Tools automatisch die englischen ADMLs aus %SystemRoot%\ PolicyDefinitions ein.

    Der Speicherort für die ADMX- und ADML-Dateien lässt sich nun explizit auswählen.

    Auf einem deutsch­sprachigen Windows sind diese aber nicht vorhanden, so dass die Operation mit einer Fehlermeldung abbrach. In der neuen Ausführung ist der Policy Analyzer nun in der Lage, die übersetzten Beschreibungen anzuzeigen. Damit entfällt die Notwendigkeit, die ADML-Dateien im Verzeichnis en-us nachzuinstallieren.

    Support für Central Store

    Hinzu kommt, dass sich die Software nicht mehr darauf kapriziert, die Sprachdateien vom lokalen Rechner einzulesen. Nutzt man einen Central Store und verwaltet etwa GPOs für Windows 10 auf einem PC unter Windows 7, dann werden die lokalen ADMX-Dateien wahrscheinlich veraltet sein. Für diesen Fall erlaubt der Policy Analyzer nun die explizite Auswahl der ADMLs aus dem Central Store.

    Eine weitere Verbesserung besteht darin, dass sich die über die Importfunktion gespeicherten XML-Dateien über das mitgelieferte PowerShell-Script Split-PolicyRules.ps1 aufspalten lassen, so dass alle GPOs als eigene Dateien vorliegen. Diese lassen sich dann selektiv untersuchen und es entfällt der Zwang, immer sämtliche GPOs zu analysieren.

    Ergänzend dazu fügt Merge-PolicyRules.ps1 ausgewählte GPOs wieder in einer Datei zusammen, so dass man frei definierbare Teilmengen untersuchen kann. In der aktuellen Preview klappt das Aufspalten der PolicyRules-Dateien jedoch nicht, vielmehr landen alle Daten wieder in einer Zieldatei.

    Keine Unterstützung für GPP

    Eine signifikante Einschränkung aus der ersten Version bleibt indes weiter bestehen. Das Tool analysiert nur die herkömmlichen Gruppen­richtlinien, wogegen es die mittlerweile häufig genutzten Group Policy Preferences nicht unterstützt.

    Die Preview von Policy Analyzer 3.1 kann kostenlos von diesem TechNet-Blog heruntergeladen werden. Der Download besteht aus einer ZIP-Datei, deren Inhalt man nur entpacken muss. Eine Installation ist nicht erforderlich.

    Keine Kommentare