组策略PowerShell分析

您是否曾经遇到过需要了解 GPO 概览的情况？

就像是：

• 查找具有驱动器映射的所有 GPO
• 查找所有具有软件发布功能的 GPO
• 查找所有具有用户权限配置的 GPO

组策略管理控制台 (GPMC) 工具对于此类事情不是很有用。如果您有数十或数百个 GPO，那几乎是不可能的。

查看所有 GPO 设置的最有效方法是使用 PowerShell。这篇文章将教你如何做。

10 分钟内您将成为 GPO 分析脚本的专家 - 我向您保证 ?

如何安装 GPO PowerShell 模块

首先要开始使用组策略 PowerShell 模块。

不要犯在域控制器上工作的错误 - 这是一个坏（而且懒）的习惯。

要在工作站上启动并运行，请安装 RSAT 组策略管理工具。这在 Windows 10 版本 1809 及更高版本上非常简单：

Get-WindowsCapability -Name "RSAT.GroupPolicy.Management.Tools*" -Online | Add-WindowsCapability -Online

在 Windows 10 1709 或更早版本上，请查看本文。

在 Windows 8.1 上，请访问此处了解更多信息。

如果您使用的是跳转主机 (Windows Server)，请通过添加“组策略管理”功能来安装组策略 PowerShell 模块（有关向服务器添加功能的详细分步指南，请查看本文）。

获取GPO

基本上，您只需了解 GroupPolicy 模块中的两个命令即可生成组策略对象的复杂分析。

第一个是Get-GPO。

只需将 GPO 的名称提供给此命令即可获取 GPO 对象。输出将类似于以下内容：

PS C:\> Get-GPO "Default Domain Policy"


DisplayName      : Default Domain Policy
DomainName       : easy365manager.local
Owner            : E365M\Domain Admins
Id               : 24c1692a-6fd1-4a85-b2e4-343968fe78e0
GpoStatus        : AllSettingsEnabled
Description      :
CreationTime     : 26-11-2004 13:22:37
ModificationTime : 03-12-2020 14:38:46
UserVersion      : AD Version: 69, SysVol Version: 69
ComputerVersion  : AD Version: 51, SysVol Version: 51
WmiFilter        :

我们已经有了一些可能在报告或其他方面有用的基本信息：

• GPO 的 Guid（在 Id 属性中）
• 主人
• 创作时间
• 最后修改时间
• Wmi过滤器

要深入了解 GPO 的更多属性和实际设置，需要另一个命令：

获取 GPOReport

Get-GPOReport 命令提取组策略的所有设置。它可以使用不同的数据格式，但为了便于分析，首选 XML。

要获取数据，您需要通过指定 GPO 的名称或 GUID，或者通过将 GPO 通过管道传输到命令来确定要查看的 GPO。

当您使用 -ReportType 开关指定 XML 作为数据格式时，输出是大量 XML 文档。将其放入变量中，以便我们可以更轻松地访问它：

$GPOSettings = Get-GPO "Default Domain Policy" | Get-GPOReport -ReportType XML

为了让 PowerShell 知道我们已经掌握了 XML 数据，请在变量前面添加 [xml]：

PS C:\> [xml]$GPOSettings

xml                             GPO
---                             ---
version="1.0" encoding="utf-16" GPO

如您所见，顶部元素名为“GPO”。将此元素放入一个新变量中，这样我们就不必在每次调用时都显式转换为 XML：

PS C:\> $GPO = ([xml]$GPOSettings).GPO
PS C:\> $GPO


xsd                 : http://www.w3.org/2001/XMLSchema
xsi                 : http://www.w3.org/2001/XMLSchema-instance
xmlns               : http://www.microsoft.com/GroupPolicy/Settings
Identifier          : Identifier
Name                : Default Domain Policy
IncludeComments     : true
CreatedTime         : 2004-11-26T12:22:37
ModifiedTime        : 2020-12-03T12:38:46
ReadTime            : 2021-05-12T19:42:24.1554915Z
SecurityDescriptor  : SecurityDescriptor
FilterDataAvailable : true
Computer            : Computer
User                : User
LinksTo             : {LinksTo}

输出与我们之前使用 Get-GPO 命令检索的对象具有或多或少相同的信息。

但要特别注意计算机和用户属性 - 这就是乐趣开始的地方！

GPO 扩展数据

如果在 GPO 的计算机或用户部分中配置了任何内容，则相应的属性将有一个名为 ExtensionData 的子元素：

PS C:\> $GPO.Computer

VersionDirectory VersionSysvol Enabled ExtensionData
---------------- ------------- ------- -------------
51               51            true    {Security, Public Key, Name Resolution Policy, Registry}

ExtensionData 将具有一个或多个扩展值，具体取决于 GPO 中配置的设置类型：

PS C:\> $GPO.Computer.ExtensionData

Extension Name
--------- ----
Extension Security
Extension Public Key
Extension Name Resolution Policy
Extension Registry

各种扩展属性将具有针对扩展类型自定义的数据。您可以构建一个通用例程来迭代 GPO 报告的扩展元素，但是当涉及到不同类型扩展数据的实际设置时，您需要为每种类型构建一个自定义例程。

这很好。在进行 GPO 分析时，我们经常寻找特定信息，例如识别具有映射驱动器的所有 GPO 或具有软件分发的所有 GPO。

分析 GPO 设置

为了举例说明，我们尝试创建一个脚本来查找所有配置了启动脚本的 GPO。

此处应用的方法可用于您要分析的任何类型的 GPO 设置。

第一步：通过查看配置了用户登录脚本的组策略之一来查找扩展名：

PS C:\> $Report = Get-GPO "Accounting_Scripts" | Get-GPOReport -ReportType xml
PS C:\> $GPO = ([xml]$Report).GPO
PS C:\> $GPO.User.ExtensionData

Extension Name
--------- ----
Extension Scripts

正如所见，扩展的名称是“Scripts”。因此，要查找所有带有脚本的 GPO，我们需要迭代所有名为“Scripts”的 GPO 的所有 ExtensionData 值：

$Reports = Get-GPO -All | Get-GPOReport -ReportType Xml
ForEach ($Report In $Reports) {
  $GPO = ([xml]$Report).GPO
  ForEach ($ExtensionData In $GPO.User.ExtensionData) {
    If ($ExtensionData.Name -eq "Scripts") {
      # Do something ...
      }
    }
  }
}

现在，让我们通过查看数据结构来检查脚本可以使用哪些信息。由于在我们的示例 GPO 中只存在一个扩展名，我们可以像这样访问它：

PS C:\> $GPO.User.ExtensionData.Extension

q2                                                    type       Script
--                                                    ----       ------
http://www.microsoft.com/GroupPolicy/Settings/Scripts q2:Scripts {q2:Script, q2:Script}


PS C:\> $GPO.User.ExtensionData.Extension.Script


Command    : ConfigureAcct.bat
Parameters : /SkipErrors
Type       : Logon
Order      : 0
RunOrder   : PSNotConfigured

Command  : CreateAcctShortcuts.bat
Type     : Logon
Order    : 1
RunOrder : PSNotConfigured

对于每个脚本，我们都有一些有价值的信息：

• 命令
• 参数
• 类型

为了获取所有 GPO 的信息，我们现在可以编写以下代码：

$Reports = Get-GPO -All | Get-GPOReport -ReportType Xml
$UserScripts = @()
ForEach ($Report In $Reports) {
  $GPO = ([xml]$Report).GPO
  ForEach ($ExtensionData In $GPO.User.ExtensionData) {
    If ($ExtensionData.Name -eq "Scripts") {
      $Scripts = $ExtensionData.Extension.Script
      ForEach ($Script In $Scripts){
        $ScriptInfo = New-Object PSObject -Property @{
          GPO        = $GPO.Name
          Command    = $Script.Command
          Parameters = $Script.Parameters
          Type       = $Script.Type
        }
        $UserScripts += $ScriptInfo
      }
    }
  }
}
Write-Output $UserScripts | ft GPO,Command,Parameters,Type

在我的小型测试设置中，这会生成以下输出：

GPO                Command                 Parameters  Type
---                -------                 ----------  ----
Accounting_Scripts ConfigureAcct.bat       /SkipErrors Logon
Accounting_Scripts CreateAcctShortcuts.bat             Logon
Drive Mapping      Logon.bat                           Logon
Drive Mapping      SecondaryScript.bat     /Reset      Logon

概括

就是这样。我希望您现在清楚地掌握如何创建自己的组策略分析脚本。

通过上述方法，您现在可以开始收集所有 GPO 中的任何类型的信息。如果您想要清理 GPO、正在进行域迁移或重组文件服务器，这非常有用。

有关使用此方法的更多示例，请查看这两篇文章：

• 如何查找 GPO 驱动器映射
• 如何查找 GPO 软件安装文件夹