обновление GPO конечной точки powershell

В моей среде у нас примерно 20 тыс. конечных точек. Объекты групповой политики продвигаются, но не «управляются», по крайней мере, не проверяются должным образом. Конечная цель состоит в том, чтобы иметь возможность запрашивать одну конечную точку и определять последнее обновление объекта групповой политики, которое она получила и «включила». В конечном счете атрибут типа временной метки был бы оптимальным, потому что мы пытаемся изучить конечные точки, которые являются выбросами и не отвечают на объекты групповой политики с длительным временем действия. Я пытаюсь получить эту функциональность в Powershell, потому что у нас уже есть многопоточный скрипт для наших коллекций атрибутов домена — я просто хочу и это запечь. Я уже просмотрел команды модуля GroupPolicy и не вижу способа получить определенные экземпляры для определенных конечных точек. Я читал о возможности сохранения обновлений GPO в реестре? Любая помощь очень ценится.


module powershell endpoint refresh gpo
person Charles    schedule 25.11.2015    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Я бы сказал, посмотрите журнал событий систем, так как это даст вам отметку времени. Вы правы, вы можете найти его в реестре. Однако мне не удалось увидеть отметку времени, когда применялись эти объекты групповой политики.

Разработка кода может занять некоторое время, так как журналы событий — это немного головная боль для работы в POSH, НО в конце концов это того стоит. Путь к журналам событий в системе: «Журналы приложений и служб -> Microsoft -> Windows -> Групповая политика». Код события, если посмотреть на мою систему, — 5117 для рабочего журнала событий. Это должно стать хорошей отправной точкой для вас.

person POSH Geek    schedule 25.11.2015
comment
Я уже извлек несколько журналов событий и создал сценарий условного синтаксического анализа в powershell - это, безусловно, отличный путь для спуска - у меня есть дополнительный вопрос к вам - так как GP могут быть нажаты, но не включены, это 5117 eID для обновления объекта групповой политики или протоколирования того, что объект групповой политики был установлен? Спасибо за это - я вплету это в тестирование разработчиков первым делом в пятницу! - person Charles; 26.11.2015
comment
Если он есть в реестре, не могу ли я получить время последнего изменения свойства дочернего элемента и вернуться к этому каталогу? Или это слишком "хакерский" :/ - person Charles; 26.11.2015
comment
Зависит от того, какова ваша конечная цель. Если у вас нехватка времени и вам нужно сделать только это, просмотр реестра может быть отличным вариантом (поскольку быстрее выполнить reg-запрос, чем анализировать журнал событий). Однако вам нужно будет проверить, когда эти ключи будут обновлены. Они обновляются каждый раз, когда обновляются расширения на стороне клиента, или они обновляются только тогда, когда есть дельта с номерами версий GPO? Я бы сказал, что вам обязательно нужно еще раз проверить это. - person POSH Geek; 26.11.2015
comment
согласовано. Синтаксический анализ событий такой громоздкий — мощные данные — невероятно медленный. Эти два пути могут быть одним и тем же с точки зрения данных — если подумать об этом, мод reg может вызвать событие клиента. Ваши комментарии помогли! Я ценю ваше отношение к этому, и это дало мне некоторое направление. Я отпишусь здесь после того, как проверю в своей среде. Спасибо еще раз - person Charles; 26.11.2015
comment
Однако, если у вас есть лишнее время для разработки и создания чего-то классного, я бы посоветовал пойти по маршруту журнала событий. Не потому, что может быть проще получить информацию, но это позволит вам открыть параметры на случай, если вам нужно выполнить аналогичное действие, например, синтаксический анализ журналов безопасности или что-то еще. Мне лично нравится идея расширения. Но это сводится к времени/приоритетам босса. - person POSH Geek; 26.11.2015
comment
Что касается вопроса о 5117, просто говорится, что сеанс групповой политики завершен. Значение можно найти здесь. - person POSH Geek; 26.11.2015
comment
Одна вещь, которую вы можете сделать, это заставить конечные клиенты запускать запланированную задачу X раз в день, а затем просто запускать свой скрипт и собирать файл результатов... Единственная проблема в том, что иногда GPP не всегда хорошо очищает, и у вас есть разверните другой GPP, чтобы удалить запланированную задачу, которую вы создаете. Дай мне знать, как у тебя идут дела. - person POSH Geek; 26.11.2015
comment
Истинный. Я делаю это также для журналов безопасности и приложений - только для других IOC. Основное препятствие, которое у меня есть в моей среде, - это старые старые линии T1 к удаленным объектам - если вы начнете много делать на стороне клиента, вы можете насытить соединение этим контроллером - и POOF - непреднамеренная атака DOS. :( спасибо за ответ! ^^^ - person Charles; 26.11.2015