iT邦幫忙

0

GPO細部設定值取得

近期公司內部的電腦需要套用有關電腦資安設定的GPO(類似政府的GCB)

是能夠使用gpresult /R 來確認個人電腦是否有套用該GPO

但是如何能夠確認有正確套用到GPO中所有設定的值呢?

或者是說有什麼方式能夠匯出或是取得整個本機電腦原則的「設定項目」與其「設定的值」

的方法嗎?

0
阿展展展
iT邦好手 1 級 ‧ 2019-11-17 05:10:38

依序前往 [開始] > [執行],然後輸入 gpedit.msc (或在您的終端機上執行 gpedit.msc)。
依序前往 [本機電腦原則] > [電腦設定] > [系統管理範本]。
在 [系統管理範本] 上按一下滑鼠右鍵,然後選取 [新增/移除範本]。
使用此對話方塊新增 chrome.adm 範本。
完成之後,若 [系統管理範本] 下原先沒有「Google」/「Google Chrome」資料夾,此時就會出現。若是在 Windows 7 或 Windows 10 上新增 ADM 範本,該資料夾將會顯示在「傳統系統管理範本」/「Google」/「Google Chrome」之下。

0
jeles51
iT邦研究生 3 級 ‧ 2019-11-18 08:44:06
REM 請用管理員權限值行此 cmd
secedit /export /cfg group-policy.inf /log export.log

.inf 就是設定值

參考自Google.
KEYWORD='gpedit export'

看更多先前的回應...收起先前的回應...

jeles51 謝謝您的回答

上述的指令針對GPO內的部分設定(登錄檔路徑、密碼原則等)做匯出

針對一些沒有對應到登錄檔路徑的設定並不會顯示

可能我問題的部分敘述的不是很完整

我其實是想知道 GPO是針對 本機電腦原則的(1)電腦設定跟(2)使用者設定內的各項設定值做設定之後,派送給網域內的電腦或是使用者,而我的問題其實是:

有沒有相關指令或是方法,能夠匯出這台電腦本機電腦原則中的所有設定呢?

jeles51 iT邦研究生 3 級 ‧ 2019-11-18 14:32:39 檢舉

沒找到大量匯出的方式:
剛試了一下,步驟:

  1. gpedit.msc
  2. 電腦設定(使用者設定)->系統管理範本->所有設定->匯出->123.txt
  3. 打開EXCEL->資料->取得外部->從文字檔->123.txt->分隔符號->TAB鍵->完成
  4. 用"篩選"->狀態->可看出所有已設定的地方在哪邊.

如果是要匯出設定"值", 目前沒找到比較方便的方式.

對阿 這就是我的問題所在,GPO內部的設定有上百個,要如何知道套用GPO的電腦每一項設定值是否正確套用呢?
我看坊間有滿多類似的稽核系統,卻不知道他們是怎麼做的

jeles51 iT邦研究生 3 級 ‧ 2019-11-18 15:23:17 檢舉

自己的作法是,了解該設定值是怎麼設定的,
再透過系統化的方式,去蒐集各項資訊,整合成報表,
我們是透過 Lansweeper 去蒐集指定的值/檔案/登錄檔之類的,
再自己用SQL整合作自己要的報表,當然如果自己會寫系統也可以,
在沒有導入Lansweeper前,我是用 cmd\powershell\python\php\SQL來蒐資料作報表及查詢系統的.

0
zero
iT邦新手 1 級 ‧ 2019-11-18 20:15:44

你真的要買或者找本關於Windows Server的書本來看,

基本的東西你要自己上網找資料或翻書,來這裡一個一個問太慢了

第一種內建的方法

人跑到用戶端的電腦用這個指令,在用戶端那邊產生LOG,然後用瀏覽器打開來看

你第一線電腦維修處理沒辦法看GPO怎麼會知道問題出在哪

gpresult

https://ithelp.ithome.com.tw/upload/images/20191118/200222845xlI6ehKEQ.jpg

https://ithelp.ithome.com.tw/upload/images/20191118/20022284hkXQesfnSo.jpg

第二種內建的方法

直接在AD上面後台查詢或者用內建的模擬,群組原則模擬不用再多說,

原則結果就是連線,直接透過AD連到用戶端電腦查詢再拉回來變成報表

在Windows Server用GPO工具查,有模擬套用的(用戶端電腦不用開機)

跟實際連線的抓取資料的(用戶端電腦要開機連上網路)

https://ithelp.ithome.com.tw/upload/images/20191118/20022284lF03HS4A4f.jpg

Windwos Server基本內建的東西要弄到60~70%懂,如果你要專職管Windows server

你沒1-3年左右的功夫是不可能的,去念教科書趕快補強吧。

tyudfg1682 大大

可以給個書單嗎

我看過許多AD建置實務的書籍

但是內容都太粗淺了

gpresult 相關指令我也都實驗過

必須要網域內派送的用戶匯出來的資訊才值得參考

(無套用GPO的電腦匯出來的資訊幾乎是空白)

我目前實作可行的方法是套用GPO到該電腦

然後利用cmd指令 gpresult /H 匯出目前的設定檔

再利用字串比對的方式比對是否設定值正確

只是想知道是否有更直覺或是內建功能可以做大量稽核並產生報表

不管是針對網域的用戶或是未加入網域的用戶都是用的方式

當然目前還是先以網域內電腦為主

zero iT邦新手 1 級 ‧ 2019-11-19 14:53:01 檢舉

我看過許多AD建置實務的書籍

但是內容都太粗淺了

那就挑自己還沒看過的部分看就好了,如果整本書你都懂內容了

那就省下來了,但是基本上我不認為書本的基本觀念打通了會無解

因為少數特例無解的情況很少,書要看目錄章節去找

找你要看的目錄章節再去決定要不要買或者租書


必須要網域內派送的用戶匯出來的資訊才值得參考

當你工作排程器搞定,什麼指令都能跑,

只要你會自己寫程式,相信自己的能力,多的是能做的事

只是企業用不用的到,就要打個大問號而已

光單純用工作排程就可以查很多資訊出來

https://ithelp.ithome.com.tw/upload/images/20191119/200222842TKdIUFczw.jpg

https://ithelp.ithome.com.tw/upload/images/20191119/20022284E21PCNBQs2.jpg

工作排程器+事件檢視器+slack (一個簡單的即時VPN連線通知)

https://ithelp.ithome.com.tw/upload/images/20191119/2002228486K1R4Mlet.jpg

以上這些全部都是用Powershell寫的,要管Windows請必修Powershell

就算是用單機指令,只要能產生LOG,一定都可以集中化

(無套用GPO的電腦匯出來的資訊幾乎是空白)

既然是空白的,代表他不會作用,除非你當初是有套用這個規則

後來才把它拿掉,如果是簡單的YES/NO那就無所謂,

如果是有數值可以設定的,那就會有影響,只能透過登入檔去改

GPO的設定實作都是登入檔,你自己去找GPO對應的登入檔資料

微軟有給自己找,如果是原本脫離網域的單機電腦,重灌,

或者把單機版的GPO關閉

只是想知道是否有更直覺或是內建功能可以做大量稽核並產生報表

花錢解決,微軟或者第三方軟體資訊商都有做,我是自己做練功

微軟論壇你有去找過搜尋過嗎?

不管是針對網域的用戶或是未加入網域的用戶都是用的方式

自己寫程式,用力K微軟文件可以自幹,但是企業不會讓你這樣做

原因很簡單,你走了誰能維護這個你自己弄出來的系統?

打個比方,我這邊有一份全電腦的軟體清單,

每台電腦一個軟體清單LOG,

上層要問公司內的電腦有沒有安裝非法軟體?

公司有沒有買資安監控軟體(沒有),那我有沒有能力查?

有,因為我平常就有留下每台電腦的軟體LOG,

上層要好看的軟體圖形化清單報表,沒有,你又要自幹了?

跟上層說明白,那是監控軟體才會有的圖形報表功能

你有那時間再去研究SQL跟一些LOG圖形化怎麼做的

你要管理Server,不是專職產報表,內建有就用,沒有就別強求

我要發表回答

立即登入回答