PowerShellスクリプトドメインポリシー管理
大中型企業では、日常的なメンテナンス管理のために多くのグループポリシーが設定されており、廃棄されたポリシーも多数存在し、定期的にグループポリシー情報を整理する必要があります.通常、HTMLレポート方式をエクスポートして、グループポリシー情報の分析を支援します.
#1
まずGroupPolicyモジュールをロードする必要があります.
GPOをHTMLレポートにエクスポートします.
#2
各GPOをエクスポートして独自のHTMLレポートを作成します.
#3
無効になっているGPOポリシーをすべて調べてみましょう.
#4
クエリーがユーザーに適用されていないGpoポリシー
#4
GPO、リンク、およびWMIフィルタを取得するには、次の手順に従います.
#5
クエリにはGPO継承をブロックする組織単位があります.
#1
まずGroupPolicyモジュールをロードする必要があります.
Import-Module GroupPolicyGPOをHTMLレポートにエクスポートします.
Get-GPOReport -All -ReportType html -Path C:\GPOReports\GposReport.html#2
各GPOをエクスポートして独自のHTMLレポートを作成します.
Get-GPO -All | %{
Get-GPOReport -name $_.displayname -ReportType html -path ("c:\GPOReports\"+$_.displayname+".html")
}#3
無効になっているGPOポリシーをすべて調べてみましょう.
$reportFile = "c:\GPOReports\AllSettingsDisabledGpos.csv"
Set-Content -Path $reportFile -Value ("GPO Name,Settings")
Get-GPO -All | where{ $_.GpoStatus -eq "AllSettingsDisabled" } | % {
add-Content -Path $reportFile -Value ($_.displayName+","+$_.gpoStatus)
}#4
クエリーがユーザーに適用されていないGpoポリシー
$reportFile = "c:\GPOReports\GPOApplyToPermissions.csv"
Set-Content -Path $reportFile -Value ("GPO Name,User/Group,Denied")
Get-GPO -All | %{
$gpoName = $_.displayName
[int]$counter = 0
$security = $_.GetSecurityInfo()
$security | where{ $_.Permission -eq "GpoApply" } | %{
add-Content -Path $reportFile -Value ($gpoName + "," + $_.trustee.name+","+$_.denied)
$counter += 1
}
if ($counter -eq 0)
{
add-Content -Path $reportFile -Value ($gpoName + ",NOT APPLIED")
}
}#4
GPO、リンク、およびWMIフィルタを取得するには、次の手順に従います.
$reportFile = "c:\GPOReports\GPOLinksAndWMIFilters.csv"
Set-Content -Path $reportFile -Value ("GPO Name,# Links,Link Path,Enabled,No Override,WMI Filter")
$gpmc = New-Object -ComObject GPMgmt.GPM
$constants = $gpmc.GetConstants()
Get-GPO -All | %{
[int]$counter = 0
[xml]$report = $_.GenerateReport($constants.ReportXML)
try
{
$wmiFilterName = $report.gpo.filtername
}
catch
{
$wmiFilterName = "none"
}
$report.GPO.LinksTo | % {
if ($_.SOMPath -ne $null)
{
$counter += 1
add-Content -Path $reportFile -Value ($report.GPO.Name + "," + $report.GPO.linksto.Count + "," + $_.SOMPath + "," + $_.Enabled + "," + $_.NoOverride + "," + $wmiFilterName)
}
}
if ($counter -eq 0)
{
add-Content -Path $reportFile -Value ($report.GPO.Name + "," + $counter + "," + "NO LINKS" + "," + "NO LINKS" + "," + "NO LINKS")
}
}#5
クエリにはGPO継承をブロックする組織単位があります.
Import-Module ActiveDirectory
$reportFile = "c:\GPOReports\OUsWithBlockInharit.csv"
set-Content -Path $reportFile -Value ("Block Inharitance OU Path")
Get-ADOrganizationalUnit -SearchBase "DC=Your,DC=Domain" -Filter * | Get-GPInheritance | Where-Object { $_.GPOInheritanceBlocked } | %{
add-Content -Path $reportFile -Value ($_.path)
}