近期公司內部的電腦需要套用有關電腦資安設定的GPO(類似政府的GCB)
是能夠使用gpresult /R 來確認個人電腦是否有套用該GPO
但是如何能夠確認有正確套用到GPO中所有設定的值呢?
或者是說有什麼方式能夠匯出或是取得整個本機電腦原則的「設定項目」與其「設定的值」
的方法嗎?
已邀請的邦友 {{ invite_list.length }}/5
依序前往 [開始] > [執行],然後輸入 gpedit.msc (或在您的終端機上執行 gpedit.msc)。
依序前往 [本機電腦原則] > [電腦設定] > [系統管理範本]。
在 [系統管理範本] 上按一下滑鼠右鍵,然後選取 [新增/移除範本]。
使用此對話方塊新增 chrome.adm 範本。
完成之後,若 [系統管理範本] 下原先沒有「Google」/「Google Chrome」資料夾,此時就會出現。若是在 Windows 7 或 Windows 10 上新增 ADM 範本,該資料夾將會顯示在「傳統系統管理範本」/「Google」/「Google Chrome」之下。
REM 請用管理員權限值行此 cmd
secedit /export /cfg group-policy.inf /log export.log
.inf 就是設定值
參考自Google.
KEYWORD='gpedit export'
jeles51 謝謝您的回答
上述的指令針對GPO內的部分設定(登錄檔路徑、密碼原則等)做匯出
針對一些沒有對應到登錄檔路徑的設定並不會顯示
可能我問題的部分敘述的不是很完整
我其實是想知道 GPO是針對 本機電腦原則的(1)電腦設定跟(2)使用者設定內的各項設定值做設定之後,派送給網域內的電腦或是使用者,而我的問題其實是:
有沒有相關指令或是方法,能夠匯出這台電腦本機電腦原則中的所有設定呢?
沒找到大量匯出的方式:
剛試了一下,步驟:
如果是要匯出設定"值", 目前沒找到比較方便的方式.
對阿 這就是我的問題所在,GPO內部的設定有上百個,要如何知道套用GPO的電腦每一項設定值是否正確套用呢?
我看坊間有滿多類似的稽核系統,卻不知道他們是怎麼做的
自己的作法是,了解該設定值是怎麼設定的,
再透過系統化的方式,去蒐集各項資訊,整合成報表,
我們是透過 Lansweeper 去蒐集指定的值/檔案/登錄檔之類的,
再自己用SQL整合作自己要的報表,當然如果自己會寫系統也可以,
在沒有導入Lansweeper前,我是用 cmd\powershell\python\php\SQL來蒐資料作報表及查詢系統的.
你真的要買或者找本關於Windows Server的書本來看,
基本的東西你要自己上網找資料或翻書,來這裡一個一個問太慢了
第一種內建的方法
人跑到用戶端的電腦用這個指令,在用戶端那邊產生LOG,然後用瀏覽器打開來看
你第一線電腦維修處理沒辦法看GPO怎麼會知道問題出在哪
第二種內建的方法
直接在AD上面後台查詢或者用內建的模擬,群組原則模擬不用再多說,
原則結果就是連線,直接透過AD連到用戶端電腦查詢再拉回來變成報表
在Windows Server用GPO工具查,有模擬套用的(用戶端電腦不用開機)
跟實際連線的抓取資料的(用戶端電腦要開機連上網路)
Windwos Server基本內建的東西要弄到60~70%懂,如果你要專職管Windows server
你沒1-3年左右的功夫是不可能的,去念教科書趕快補強吧。
tyudfg1682 大大
可以給個書單嗎
我看過許多AD建置實務的書籍
但是內容都太粗淺了
gpresult 相關指令我也都實驗過
必須要網域內派送的用戶匯出來的資訊才值得參考
(無套用GPO的電腦匯出來的資訊幾乎是空白)
我目前實作可行的方法是套用GPO到該電腦
然後利用cmd指令 gpresult /H 匯出目前的設定檔
再利用字串比對的方式比對是否設定值正確
只是想知道是否有更直覺或是內建功能可以做大量稽核並產生報表
不管是針對網域的用戶或是未加入網域的用戶都是用的方式
當然目前還是先以網域內電腦為主
我看過許多AD建置實務的書籍
但是內容都太粗淺了
那就挑自己還沒看過的部分看就好了,如果整本書你都懂內容了
那就省下來了,但是基本上我不認為書本的基本觀念打通了會無解
因為少數特例無解的情況很少,書要看目錄章節去找
找你要看的目錄章節再去決定要不要買或者租書
必須要網域內派送的用戶匯出來的資訊才值得參考
當你工作排程器搞定,什麼指令都能跑,
只要你會自己寫程式,相信自己的能力,多的是能做的事
只是企業用不用的到,就要打個大問號而已
光單純用工作排程就可以查很多資訊出來
工作排程器+事件檢視器+slack (一個簡單的即時VPN連線通知)
以上這些全部都是用Powershell寫的,要管Windows請必修Powershell
就算是用單機指令,只要能產生LOG,一定都可以集中化
(無套用GPO的電腦匯出來的資訊幾乎是空白)
既然是空白的,代表他不會作用,除非你當初是有套用這個規則
後來才把它拿掉,如果是簡單的YES/NO那就無所謂,
如果是有數值可以設定的,那就會有影響,只能透過登入檔去改
GPO的設定實作都是登入檔,你自己去找GPO對應的登入檔資料
微軟有給自己找,如果是原本脫離網域的單機電腦,重灌,
或者把單機版的GPO關閉
只是想知道是否有更直覺或是內建功能可以做大量稽核並產生報表
花錢解決,微軟或者第三方軟體資訊商都有做,我是自己做練功
微軟論壇你有去找過搜尋過嗎?
不管是針對網域的用戶或是未加入網域的用戶都是用的方式
自己寫程式,用力K微軟文件可以自幹,但是企業不會讓你這樣做
原因很簡單,你走了誰能維護這個你自己弄出來的系統?
打個比方,我這邊有一份全電腦的軟體清單,
每台電腦一個軟體清單LOG,
上層要問公司內的電腦有沒有安裝非法軟體?
公司有沒有買資安監控軟體(沒有),那我有沒有能力查?
有,因為我平常就有留下每台電腦的軟體LOG,
上層要好看的軟體圖形化清單報表,沒有,你又要自幹了?
跟上層說明白,那是監控軟體才會有的圖形報表功能
你有那時間再去研究SQL跟一些LOG圖形化怎麼做的
你要管理Server,不是專職產報表,內建有就用,沒有就別強求
iThome鐵人賽
看影片追技術