Verificare l’applicazione delle Group Policies
Talvolta nasce l’esigenza di sincerarci che le GPO che abbiamo configurato nel dominio o sulle OU siano state applicate ai computer e/o agli utenti.
Le GPO computer vengono applicate all’avvio del computer, mentre le GPO utente al logon. Inoltre le GPO possono venire riapplicate periodicamente in modo automatico per default ogni 90 minuti, oppure manualmente tramite Gpupdate.exe. Per maggiori informazioni si vedano Applying Group Policy, How to modify the default Group Policy refresh interval e Windows Server 2012: Forzare un aggiornamento remoto di Criteri di gruppo.
Per verificare che le GPO siano state applicate correttamente gli strumenti che si hanno a disposizione sono diversi ed il loro utilizzo dipende dallo scenario in cui intendiamo controllare.
Resultant Set of Policy
Il primo strumento è il Resultant Set of Policy (rsop.msc) un’utility grafica che con la stessa interfaccia grafica di GPEdit.msc mostra le GPO che risultano applicate sia a livello computer che utente. Questo tool risulta comodo quando dobbiamo eseguire la verifica localmente o remotamente su un solo computer.
Va però precisato che come indicato nel tool stesso non tutte le GPO vengono incluse nel rapporto generato.
Per ulteriori informazioni si vedano:
GPResult
Il secondo tool a disposizione è GPResult.exe, un’utility a riga di comando che permette di analizzare le GPO applicate a sia localmente che remotamente e di esportare l’analisi su file di Xml o Html. Tramite GPResult è quindi già possibile gestire un minimo di automazione su un parco macchine per raccogliere i report delle GPO applicate.
GPInventory
Group Policy Inventory (GPInventory.exe) è un tool scaricabile dal Microsoft Download Center che permette di raccogliere informazioni sulle GPO (tramite query RSOP) e informazioni basate su query WMI dai computer nella rete e di esportare poi i dati raccolti su file Xml o testo per successive analisi tramite Excel. Per maggiori informazioni si veda Utilità sotto i riflettori – Inventario dei criteri di gruppo.
GPMonitor
Il Windows Server 2003 Resource Kit Tools metteva a disposizione il tool Group Policy Monitor(Gpmonitor.exe) che permette di raccogliere informazioni circa le GPO e di centralizzare la memorizzazione delle informazioni. A riguardo si veda Core Group Policy Tools and Settings.
WMI
Ovviamente è anche possibile gestire la raccolta dati tramite script che utilizzano WMI a riguardo si veda How to retrieve currently applied GPOs on your local machine using WMI via Windows Scripting Host (WSH).
PowerShell
Grazie ai Group Policy cmdlet introdotti con Windows Server 2008 R2 e Windows 7 è possibile anche utilizzare PowerShell per raccogliere localmente e remotamente le informazioni sulle GPO applicate utilizzano la Get-GPResultantSetofPolicy.
Per ulteriori informazioni si vedano:
- Automating Group Policy Management with Windows PowerShell
- Use PowerShell to Find Group Policy RSoP Data
Conclusioni
La raccolta delle informazionio delle GPO applicate risulta quindi automatizzabile anche su un numero elevato di computer, ovviamente il metodo più consigliabile al momento è quello di utilizzare PowerShell in quanto rappresenta l’ultima tecnologia disponibile in fatto di automazione. Ovviamente occorre posi gestire i dati raccolti e ne caso di gradi volumi conviene utilizzare il formato xml che potra poi essere analizzato tramite Excel o un’applicazione .NET.
Per ulteriori approfondimenti sulle GPO si vedano anche:
- Group Policy Survival Guide
- Getting the Effective Audit Policy in Windows 7 and 2008 R2
- Group Policy Changes: Windows Server 2012, Windows 8 and Window RT (Part 1)
- Group Policy Changes: Windows Server 2012, Windows 8 and Window RT (Part 2)
- Group Policy Changes: Windows Server 2012, Windows 8 and Window RT (Part 3)