Riesige GPOs kopieren ?

[tesla1337]

Hallo zusammen,
ich habe aktuell folgende Situation:

Ich versuche gerade alte, über die Jahre gewachsene AD "mit zu betreuen".
Ist als weder mein Kunde, noch hatte ich vorher Einfluss darauf, deshalb bitte kein Hate/Flame

• die AD ist aktuell Stand 2016, die GPOs selbst sind wie gesagt allerdings über die Jahre gewachsen und nur sehr Stiefmütterlich behandelt worden
• die GPOs sind immer "auf Zuruf" entstanden oder "Ist jetzt nur übergangsweise ein Test" und wurden dann nie groß getestet und später irgendwann scharf geschaltet
• die AD beinhaltet nicht viele GPOs, diese sind allerdings extreeeeeem vollgepackt
• Die ganzen GPOs von Hand nachzubauen würde viel zu lange dauern
• Es geht erstmal nur daraum die paar riesigen GPOs aufzusplitten auf mehrere (mehr Themenbezogenen) GPO, so dass die Übersichtlichkeit besser ist

Gibt es jetzt eine Möglichkeit, GPOs zu kopieren, damit ich die Kopie dann als Grundlage für eine neue GPO nutzen kann ?

Ich denke mit das so:

• GPO1 ist vorhanden und total überladen mit Einstellungen
• GPO1 wird kopiert (Kopie-GPO2,3,4,...)
• Kopie-GPO1 wird umbenannt und Einstellungen gelöscht bis ich sowie zufrieden bin (sagen wir mal ich lösche alles raus bis auf die Laufwerkszuordnungen)
• Kopie-GPO2 das gleiche, nur hier werden sagen wir mal die Telemetrie Einstellungen stehen gelasen.
• Kopie-GPO3 usw usw usw
• Später dann die "Grund GPO1" löschen, zuordnungen auf den neuen einstellen und fertig.

Ich habe schon probiert über Rechtsklick -> Kopie / Einfügen, allerdings Kopiert er mir die GPO nicht so wie ne Datei, das ich 2x das gleiche habe.

Hat jemand eine Idee ?
Danke schonmal und schönen Samstag euch.

 

[Rickmer]

Naja, du könntest die Export- und Import-Funktion nutzen?

edit: Die Sicherungs-Optionen ermöglichen auf zweiten Blick keine zusätzlichen Kopien anzulegen. Jedoch

Ich habe schon probiert über Rechtsklick -> Kopie / Einfügen, allerdings Kopiert er mir die GPO nicht so wie ne Datei, das ich 2x das gleiche habe.

Doch, genau das macht das bei mir. Was funktioniert denn bei dir nicht?

Ergänzung (22. Oktober 2022)

Nachtrag: Import hatte ich doch richtig im Kopf.

Sicherung einer GPO machen, neue GPO erstellen, Einstellungen aus der Sicherung importieren.

 

[Iqra]

Schwierig.
Es gibt die Möglichkeit, über Powershell Elemente aus den Administrativen Vorlagen aus der GPO zu holen und dort auch neue anzulegen. Wenn ich mich recht entsinne gab es in der PSGallery irgendwo ein oder zwei Scripts, womit man das mehr oder weniger automatisiert übernehmen konnte.

ABER!

Ein sehr großer Teil der GPO-Funktioninalität ist halt nicht auf die Admin Templates beschränkt. Da gibts stellenweise Zugriff (zB die Firewall-Policies) aber definitiv nicht alle und erst recht nicht an einem Fleck.

Mein Vorschlag: Wenn die Dinger soo alt sind wie beschrieben und es eh kein Konzept gibt ("nur Zuruf") dann schmeiß die Gülle weg, besorg Dir Anforderungen und bau von Grund auf neu. Das ist weniger anstrengend.
Ansonsten müßtest Du ja noch prüfen welche Policies überhaupt noch Relevanz haben ("nur für XP") oder wo diese Angabe am Ende nicht stimmt ("nur Vista" steht da, gilt aber für alles nach XP) welche SW es gibt (brauchen wir die Trident Edge oder die MSIE Policies? Eher nicht) und so weiter und so fort.


=> Der Aufwand ist es üblicherweise nicht wert.
Dinge wie Firewall-Policies und Präferenzen oder sogar Applocker (falls implementiert) kann man jeweils aus der bewußten GPO exportieren und woanders wieder importieren.
Dann hat man zumindest die wichtigsten Dinge.

 

[catch 22]

Wenn ihr eure bestehende GPOs neu strukturieren wollt, dann ist es mit einem "einfachen aufsplitten / nacheditieren" der bestehenden GPOs nicht (so leicht) getan.
Erfasst was ihr habt, was ihr braucht, was ihr wollt, geht ans Reißbrett und baut das gesamte Konstrukt von Grund an neu auf. Ob ihr dabei auf die Methode setzt für jede Kleinigkeit eine eigene GPO zu erstellen, oder viele verschiedene Punkte innerhalb einiger "größerer GPO" zu sammeln, hat jeweils Vor-, wie auch Nachteile. Im Interesse das ganze Konstrukt im Endeffekt im Problemfall zu Warten, generell zu Erweitern und es neuen Mitarbeitern zu erleichtern sich in die gegebenen GPO Strukturen einzuarbeiten (ein Punkt der gerne unterschätzt wird), ist es imho sinnvoller, viele einzelne GPOs aufzubauen.

So oder so, nutzt den Prozess das ganze von der ersten Sekunde an ordentlich zu dokumentieren.
GPOs sind nichts, was man einmal erstellt und erst wieder in ein paar Jahren, wenn überhaupt, anfasst. Da gehört eine laufende Anpassung und Wartung zu, wie ihr ja selber Anhand der "Zuruf Anforderungen" erfahren habt. GPOs können der geile Scheiß sein, oder eine echt üble zeitraubende Nemesis, wenn man es falsch anpackt und unzureichend dokumentiert.

 

[XN04113]

• die AD beinhaltet nicht viele GPOs, diese sind allerdings extreeeeeem vollgepackt
• Die ganzen GPOs von Hand nachzubauen würde viel zu lange dauern
• Es geht erstmal nur daraum die paar riesigen GPOs aufzusplitten auf mehrere (mehr Themenbezogenen) GPO, so dass die Übersichtlichkeit besser ist

Wenn Du jetzt nicht aufräumst wann dann?
Was soll ein Aufsplitten bringen, der Inhalt bleibt doch gleich nur über mehr GPOs verteilt?
Nutze die Chance ein gescheites Konzept (auch z.B. für die GPO Namen) zu entwickeln (für den späteren Betrieb, Thema Anpassungen) auch wenn es jetzt mehr Aufwand bedeutet.