Suche Tool um GPO Reporting durchzuführen

[phatair 39]

Hallo zusammen,

 

ich bin auf der Suche nach einem Tool, welches mir ermöglicht eine Übersicht zu erstellen, welche GPOs auf welchen Endgeräten aktiv sind bzw. ob sie angewendet wurden.

 

Im Moment erstellen wir GPOs, testen diese und setzen sie dann produktiv. Danach prüfen wir stichprobenartig ein paar PCs/User und schauen ob die GPOs aktiv sind. Nun haben wir aber die Anforderung, dass wir dies reporten sollen. Gibt es sowas überhaupt und wenn ja kann jemand so ein Tool empfehlen?

 

Gruß

[lefg 276]

Hallo,

 

gpresult

[phatair 39]

Hi lefg,

 

mir ist klar das ich mit gpresult -r oder gpresult -h einen Report bekomme. Das machen wir ja auch stichprobenartig so.

Aber das hilft mir nicht, wenn wir wissen wollen ob GPO XYZ auf allen Workstations angewendet wurde. Ich kann ja schlecht auf allen PCs gpresult ausführen und dann die Infos manuell zusammentragen.

Natürlich kann ich sagen, das GPO ist auf die OU angewendet und alle PCs, User haben diese erhalten da sie in der Sicherheitsgruppe enthalten sind oder weil es auf alle angewendet wird. Aber wenn jemand dies schwarz auf weiß sehen möchte tue ich mich schwer. Deshalb die Frage nach einem Tool.

[Dukel 451]

Gibt es bei euch solche Probleme das GPO's nicht angewandt werden?

[Cybquest 36]

Kannst gpresult ja auch mit Parameter /S und /USER aufrufen und das entspr. System sowie den User angeben.

Ggf. per Script in ner Schleife, vorher noch den jeweils angemeldeten Benutzer ermitteln...

[NilsK 2.930]

Moin,

 

naja - am Ende wirst du die Clients fragen müssen, weil die die Policies ja anwenden. Da das im laufenden Betrieb sowie beim Systemstart und der Anmeldung erfolgt, kann jeder Report immer nur eine Momentaufnahme sein. Auch wenn es nicht fuktionieren sollte, wird es die wichtigsten Hinweise auf dem Client geben.

 

Daher wäre gpresult durchaus ein adäquates Mittel, beispielsweise im Anmeldeskript und mit einer anschließenden Kopie des Reports auf eine zentrale Freigabe.

 

Ein kommerzielles Tool, das das macht, ist mir zumindest nicht bekannt. Heißt aber nicht, dass es keins gibt.

 

Gruß, Nils

[phatair 39]

Gibt es bei euch solche Probleme das GPO's nicht angewandt werden?

Nein haben wir nicht aber was hat das mit meiner Frage zu tun?

 

Es geht einfach nur darum, ob man das irgendwie reporten kann. Wenn es nicht geht oder kein tool bekannt ist, ist das ja auch ok.

Hintergrund ist einfach nur, dass es Anfragen gibt "Wie stellen Sie sicher das Ihre GPOs wirklich angewendet wurden" z.B. vom BSI

 

Werde mal weiterschauen, ansonsten geht das halt nicht bzw. nur umständlich über Scripte - Danke schon mal dafür!

bearbeitet 20. August 2014 von phatair

[lefg 276]

http://www.manageengine.com/products/active-directory-audit/gpo-settings-changes-audit.html

 

http://www.netwrix.com/gpo_reporting_tool_scalability.html

bearbeitet 20. August 2014 von lefg

[phatair 39]

Hi lefg,

 

vielen Dank für deine Mühe. Das tool hatte ich auch schon gefunden. Klingt sehr interessant aber leider nicht ganz für den Zweck wie wir ihn benötigen würden.

HIer kann ich "nur" die Änderungen usw. an den GPOs reporten lassen - wer hat wann was und wo geändert. Aber das bezieht sich leider nicht auf die Endgeräte.

 

Aber trotzdem vielen Dank. Ich denke das solch ein Tool wirklich schwierig zu bekommen ist. Gerade auch mit dem Hintergrund, dass die GPOs an sich sehr stabil laufen und man selten für alle Endgeräte einen Report benötigt.

[lefg 276]

Ich würde wohl mal Dameware v11 schauen, eventuell einen Distributor anrufen oder mailen. Ob man (oder ich) allerdings solch einen Komplex nut wegen GPOReporting anschaffte? Ich würde das wohl gpresult per GPO auf den Clients als Stichprobe laufen lassen. Oder mal schauen, was es im PS schon gibt.

 

http://technet.microsoft.com/en-us/library/ee461057.aspx

 

https://www.youtube.com/watch?v=PmoFN2P0Y24

bearbeitet 20. August 2014 von lefg

[Sunny61 806]

GPRESULT in einem Script, das Script dann in der Aufgabenplanung ca. 10 Minuten nach dem Start oder nach der Anmeldung laufen lassen. Den Inhalt in eine Textdatei auf einem Share schreiben lassen. Dateiname kann eine Kombination aus Datum, Uhrzeit, Computer- und Usernamen sein.

[phatair 39]

Ja, da stimme ich dir zu lefg. Hätte es ein Tool gegeben welches diese Aufgabe leicht und locker bewältigt, hätte ich mir dieses genauer angeschaut. Wir werden aber sicherlich kein komplexes Tool einführen nur um diesen Fall abzudecken. Dafür läuft es zu stabil und in der Praxis nicht notwendig. Wenn dann würde ich mir das mit den Script noch mal anschauen.

 

Vielen Dank für eure Hilfe.

[lefg 276]

Gerne geschehen

[daabm 1.348]

www.sdmsoftware.com --> GPAA.

[lefg 276]

www.sdmsoftware.com --> GPAA.

 

http://www.sdmsoftware.com

 

Das ist ja interessant, danke :)

bearbeitet 23. August 2014 von lefg