GPO finden, welches meine Einstellungen bestimmt

[Aehrfoordt 11]

Hallo,

 

Ich habe einen DC mit Windows Server 2012. Dieser hat eine undokumentierte und recht Komplexe Struktur an OUs und Gruppenrichtlinien.

Ein Terminalserver unter Windows Server 2008 erhält Firewalleinstellungen. Das kann ich allein an dem entsprechenden Hinweis in der Windows Firewall erkennen.

Ein Gruppenrichtlinienobjekt mit einem Aussagekräftigen Namen gibt es nicht, also muß die Einstellung in einem der zahlreichen GPOs stecken.

 

Auf welche Weise kann ich schnell und übersichtlich ermittelm, wo die Gruppenrichtlinien diesbezüglich eingestellt sind? Diese Einstellung würde ich vorübergehend entfernen wollen.

 

ich möchte zu Fehlerauschlußzwecken erreichen, daß die Firewall am TS NUR von mir und nicht durch eine Gruppenrichtlinie beeinflusst wird.

 

Besten Dank

 

mfg Aehrtfoordt

[testperson 1.761]

Hi,

gpresult /h gpo.html

auf dem Terminal-Server sollte dich im entsprechenden gpo.html etwas finden lassen.

 

Gruß

Jan

 

P.S.: So langsam wäre es aber Zeit den 2008 Server in Rente zu schicken.

[Aehrfoordt 11]

vor 31 Minuten schrieb testperson:

P.S.: So langsam wäre es aber Zeit den 2008 Server in Rente zu schicken. 

herzlichsten Dank, ja der neue steht schon daneben, aber ein bißchen muss er noch, wegen Abhängigkeiten, die zum richtigen Zeitpunkt erst lösbar sind ich mache auch 3 Kreuze, wenn die gute alte Technik in REnte geht :)

[daabm 1.391]

wf.msc hilft da auch weiter - Du kannst da eine Spalte "Regelquelle" einblenden, da steht dann notfalls die ausschlaggebende GPO drin. Könnte einfacher sein als der HTML-Report

Und wenn Du meinst, Deine OU- und GPO-Struktur wäre undokumentiert und komplex: Nein, ist sie nicht. Egal wie sie aussieht, ich hab hier eine, die gewinnt da auf jeden Fall Über 15.000 GPOs... (Nein, kein Tippfehler, das ist eine 15 mit 3 Nullen.)

 

[BOfH_666 585]

vor 3 Stunden schrieb daabm:

... Egal wie sie aussieht, ich hab hier eine, die gewinnt da auf jeden Fall Über 15.000 GPOs... (Nein, kein Tippfehler, das ist eine 15 mit 3 Nullen.) 

Jetzt weiß ich auch, warum Du immer so gut mit GPOs unterwegs bist ... Du hast gar keine andere Wahl ... DU MUSST EINFACH ...    

[daabm 1.391]

vor 21 Stunden schrieb BOfH_666:

Jetzt weiß ich auch, warum Du immer so gut mit GPOs unterwegs bist ... Du hast gar keine andere Wahl ... DU MUSST EINFACH ...    

[OT]Manchmal muß ich nicht nur, sondern will sogar Neuester Streich: Bevölkere die lokale Hyper-V Administratoren Gruppe mit Usern/Gruppen aus  der Domäne. Problem: Gruppenname ist sprachabhängig und in den GPP "Local Users and Groups" nicht als vordefinierte Gruppe enthalten. Lösung: Item Level Targeting mit WMI-Abfrage auf die SID und LocalAccount="True", Property "Name" in Variable speichern und die als Gruppenname verwenden.[/OT]

 

@Aehrfoordt bist du mit dem GPResult weitergekommen?

[NilsK 2.982]

Moin,

 

Zitat

 WMI-Abfrage auf die SID und LocalAccount="True"

genau diese Sorte Abfrage war früher (als ich in anderem Zusammenhang damit arbeitete) immer sehr langsam bzw. hat eine Verzögerung im zweistelligen Sekundenbereich verursacht. Ist das jetzt besser bzw. tritt das in dem Anwendungsfall nicht auf?

 

Gruß, Nils

 

[daabm 1.391]

Ich habs gemessen. Und ok, ich hab noch Domain=%Computername% mit drin, aber das läuft in 0,5 bis 5 Millisekunden durch. Sobald Du aus Versehen in der Domäne landest, bist Du natürlich bei den zweistelligen Sekundenzahlen.

Edit: Seit ich https://evilgpo.blogspot.com/2014/11/wmi-filter-performance-in-group-policy.html geschrieben habe, messe ich JEDE neue WMI-Abfrage, die ich irgendwo in GPOs verwende, erst mal mit Measure-Command nach. Gerne mehrfach, gerne auf unterschiedlichen Rechnern.

bearbeitet 2. April 2020 von daabm