Policy Analyzer: Fehler in GPOs finden, GPO-Versionen vergleichen

    , 27.01.2016
    Tags: ,

    GPO Filter in Policy AnalyzerMicrosoft veröffent­lichte ein kosten­loses Tool, mit dem man GPOs samt ihren Eigen­schaften in einer Tabelle dar­stellen kann. Zu den Features von Policy Analyzer gehört, Kon­flikte in den Ein­stellungen aufzus­püren und ver­schiedene Ver­sionen von GPOs zu ver­gleichen.

    Möchte man herausfinden, welche Einstellungen über GPOs gesetzt werden, dann kann man diese in der Gruppenrichtlinien­verwaltung für jedes einzelne Objekt anzeigen. Für Analysen, die eine größere Zahl von GPOs betrachten, muss man dagegen auf andere Werkzeuge ausweichen.

    Beschränkte Bordmittel für das GPO-Troubleshooting

    So eignet sich etwa PowerShell, um leere sowie nicht verlinkte Gruppenricht­linienobjekte zu ermitteln oder solche, die mit einem WMI-Filter verknüpft sind (siehe dazu: GPOs analysieren mit PowerShell).

    Beim Troubleshooting von Gruppen­richtlinien möchte man aber meist herausfinden, warum bestimmte Einstellungen nicht an den Zielrechnern ankommen oder dort nicht die vorgesehen Werte aufweisen.

    Mit gpresult kann man dann zwar feststellen, welche GPOs auf einem Rechner ausgeführt werden. Liegt jedoch ein Konflikt zwischen GPOs vor, weil sie die gleiche Einstellung konfigurieren, dann gibt dieses Tool für die Kommandozeile darüber keinen Aufschluss.

    Tabellarische Auflistung von GPO-Eigenschaften

    Hier setzt der neue Policy Analyzer an, indem er eine Sammlung von Gruppenricht­linienobjekten einliest und ihre Eigenschaften in einer Tabelle darstellt. Dazu zählen der Registry-Schlüssel, die das Objekt schreibt, der Name der Einstellung und der ihr zugeordnete Wert. Der Policy Analyzer weist auf Konflikte hin, die durch eine redundante Konfiguration entstehen.

    Gelbe Markierungen verweisen auf Konflikte, graue auf Abweichungen der lokalen Registry.

    Aufschlussreich ist zudem die Information, ob eine bestimmte Einstellung in der Registry des lokalen Rechners gesetzt wurde. Wenn das Tool hier eine Abweichung vom Wert der untersuchten GPOs entdeckt, markiert es die entsprechende Zelle grau.

    GPO-Versionen vergleichen

    Eine weitere Aufgabe, die der Policy Analyzer erfüllen soll, besteht im Vergleichen von verschiedenen GPO-Versionen. Wahlweise kann man Unterschiede zwischen neueren und älteren Versionen aufspüren und so Änderungen nachverfolgen. Schließlich lassen sich die GPOs aus der Domäne den lokalen Gruppenrichtlinien gegenüber­stellen.

    Nach dem Import in Policy Rules lassen sich GPOs anzeigen und vergleichen.

    Die genannten Features des Programms schließen zweifellos eine Lücke, die in den RSAT-Programmen klafft. Auch der empfehlenswerte Security Compliance Manager untersucht GPOs nur in Hinblick auf Abweichungen von den Microsoft-Empfehlungen. Hinweise auf Inkonsistenzen innerhalb der eigenen GPOs gibt er hingegen nicht.

    Anspruch und Wirklichkeit

    Dem grundsätzlichen Nutzen des Policy Analyzer stehen eine nicht gerade intuitive Bedienung sowie die fehlende Anpassung auf nicht-englischsprachige Versionen des Betriebssystems gegenüber.

    Im ersten Schritt importiert man die zu untersuchenden GPOs in das Tool. Dazu klickt man nach dem Start von PolicyAnalyzer.exe auf die Schaltfläche Add und öffnet das File-Menü im anschließend angezeigten Dialog des Importers.

    GPOs in eine Policy Rule importieren

    Dort führt man den Befehl Add files from GPO(s) aus und navigiert zum zentralen Speicher der Domäne (der Pfad folgt dem Muster \\contoso.de\SYSVOL\contoso.de\Policies). Alternativ gibt man einen Ordner an, in dem man ein Backup der GPOs hinterlegt hat. Nach dem Einlesen der Liste klickt man auf Import, um sie in einer XML-Datei mit der Endung .PolicyRules zu speichern.

    Englische ADML-Dateien erforderlich

    Als Hürde für den Import erweist sich, dass der Policy Analyzer die Sprachdateien (*.adml) der administrativen Templates im Verzeichnis %SYSTEMROOT%\PolicyDefinitions\en-US benötigt (einen eventuell konfigurierten zentraler Store ignoriert er). Auf einem deutschen Windows ist dieser Ordner aber weitgehend leer, so dass man dort erst die Dateien nachinstallieren muss.

    Man spricht nicht Deutsch: Fehler beim Import einer Audit Policy.

    Die Policy Rules dienen als Grundlage für alle weiteren Operationen. Wählt man mehrere davon aus, dann stellt das Tool ihre Werte in separaten Spalten dar, so dass man sie relativ einfach vergleichen kann. Hakt man zudem die Option Compare local registry an, dann erhält man eine weitere Spalte mit lokal konfigurierten Einstellungen. Der Vergleich mit den lokalen Gruppenrichtlinien erfordert die Anmeldung als Administrator.

    GPO-Liste filtern und durchsuchen

    Bei einer längeren Liste von GPOs, in der mehrere Konflikte oder Abweichungen von den Registry-Werten auftreten, kann man die Ansicht auf die betroffenen Zeilen einschränken, indem man die dafür zuständigen Befehle aus dem Menü View ausführt.

    Dort findet sich auch ein Eintrag namens GPO filter. Damit lässt sich die Zahl der Objekte einzeln eingrenzen, wenn man dies nicht schon vor dem Import getan hat, etwa durch ein selektives Backup der GPOs. Schließlich besitzt der Policy Analyzer im Unterschied zur Gruppenrichtlinien­verwaltung noch eine Volltextsuche, mit der man bestimmte Einstellungen auffinden kann.

    Verfügbarkeit

    Der Policy Analyzer erfordert keine Installation, sondern kann nach dem Entpacken des ZIP-Archivs direkt ausgeführt werden. Zum Lieferumfang gehört eine einfache Anleitung im PDF-Format sowie Muster für Policy Rules. Das Tool kann kostenlos von der Website des Herstellers heruntergeladen werden.

    Keine Kommentare