Group Policy Analyzer 3.1: Support für deutsche ADML und Central Store

Dort öffnet man den Ordner

\\<FQDN>\SYS­VOL\­<FQDN>\Poli­cies

also zum Beispiel \\con­toso.de\SYS­VOL\con­toso.­de\Poli­cies.

Alle GPOs in XML-Datei speichern

Das Tool liest nun alle Einstellungen sämtlicher Objekte in das aktuelle Fenster ein und erwartet, dass man sie über die Schaltfläche Import in einer Datei mit der Endung .PolicyRules ablegt. Anschließend wählt man die eben gespeicherten GPOs im Analyzer aus und öffnet sie durch einen Klick auf die entsprechende Schaltfläche im Viewer. Dieser zeigt unter anderem den Registry-Schlüssel an, die ein Objekt schreibt, den Namen der Einstellung sowie den ihr zugeordneten Wert.

Das Tool findet Konflikte zwischen GPOs automatisch und hebt diese durch gelbe Markierungen hervor. Aktiviert man zuvor im Viewer die Optionen Compare local registry bzw. Local Policy, dann verweisen die grauen Felder auf Abweichungen zwischen den lokalen Werten und jener aus der Domäne.

Vergleich mit GPO-Backups

Eine weitere Aufgabe, die der Policy Analyzer bewältigen kann, besteht im Vergleichen von verschiedenen GPO-Versionen. Auf diese Weise lassen sich Änderungen nachverfolgen. Dies setzt jedoch voraus, dass man schon früher ein Backup der GPOs erstellt hat, das man mit dem aktuellen Zustand vergleichen kann.

Markiert man eine Einstellung, dann zeigt der Viewer im unteren Bereich die dazugehörende Beschreibung, die auch der GPO-Editor einblendet. Zu diesem Zweck las die erste Version des Tools automatisch die englischen ADMLs aus %SystemRoot%\ PolicyDefinitions ein.

Auf einem deutsch­sprachigen Windows sind diese aber nicht vorhanden, so dass die Operation mit einer Fehlermeldung abbrach. In der neuen Ausführung ist der Policy Analyzer nun in der Lage, die übersetzten Beschreibungen anzuzeigen. Damit entfällt die Notwendigkeit, die ADML-Dateien im Verzeichnis en-us nachzuinstallieren.

Support für Central Store

Hinzu kommt, dass sich die Software nicht mehr darauf kapriziert, die Sprachdateien vom lokalen Rechner einzulesen. Nutzt man einen Central Store und verwaltet etwa GPOs für Windows 10 auf einem PC unter Windows 7, dann werden die lokalen ADMX-Dateien wahrscheinlich veraltet sein. Für diesen Fall erlaubt der Policy Analyzer nun die explizite Auswahl der ADMLs aus dem Central Store.

Eine weitere Verbesserung besteht darin, dass sich die über die Importfunktion gespeicherten XML-Dateien über das mitgelieferte PowerShell-Script Split-PolicyRules.ps1 aufspalten lassen, so dass alle GPOs als eigene Dateien vorliegen. Diese lassen sich dann selektiv untersuchen und es entfällt der Zwang, immer sämtliche GPOs zu analysieren.

Ergänzend dazu fügt Merge-PolicyRules.ps1 ausgewählte GPOs wieder in einer Datei zusammen, so dass man frei definierbare Teilmengen untersuchen kann. In der aktuellen Preview klappt das Aufspalten der PolicyRules-Dateien jedoch nicht, vielmehr landen alle Daten wieder in einer Zieldatei.

Keine Unterstützung für GPP

Eine signifikante Einschränkung aus der ersten Version bleibt indes weiter bestehen. Das Tool analysiert nur die herkömmlichen Gruppen­richtlinien, wogegen es die mittlerweile häufig genutzten Group Policy Preferences nicht unterstützt.

Der Policy Analyzer 3.1 ist mittlerweile Bestandteil des Microsoft Security Compliance Toolkit, kann aber als separate Komponente ausgewählt und heruntergeladen werden. Der Download besteht aus einer ZIP-Datei, deren Inhalt man nur entpacken muss. Eine Installation ist nicht erforderlich.