Donnerstag, 24. Januar 2013

PowerShell - Leere Benutzer- und Computerkonfigurationen deaktivieren

Microsoft's Best Practice schlägt vor, ungenutzte Benutzer- bzw.
Computerkonfigurationen zu deaktivieren.

Mehr Informationen dazu hier:

http://technet.microsoft.com/en-us/magazine/dd673616.aspx

http://support.microsoft.com/kb/315418/en-us


Deaktivierung per GPMC:

Die Deaktivierung kann in der GPMC erfolgen:


Das Hauptproblem liegt darin, leere GPOs aufzufinden.
Bei einer großen Anzahl von GPOs ist die manuelle Methode unbrauchbar.


Deaktivierung per PowerShell:

Für die automatische Deaktivierung per PowerShell habe ich ein Skript geschrieben:


# You will use this script at your own risk.
#
# Matthias Wolf - MVP Group Policy
# http://matthiaswolf.blogspot.com
#

import-module GroupPolicy

$gpos = get-gpo -All

foreach ($item in $gpos)

{

      # Checking if Computer Configuration is empty
      if ($item.Computer.DSVersion -eq 0)

     {

             write-host $item.DisplayName Computer Config is empty
             write-host Disabling Computer Config
             $item.Computer.Enabled=$false

      }
     
      # Checking if User Configuration is empty
            if ($item.User.DSVersion -eq 0)

     {

             write-host $item.DisplayName User Config is empty
             write-host Disabling User Config
             $item.User.Enabled=$false

      }

}


Das Skript könnt ihr hier herunterladen.
Download


Zu beachten:

Zwei Dinge sind zu beachten.

1. Das Skript verwendet die Versionsnummer der Konfiguration


Wird die Policy bearbeitet erhöht sich die Versionsnummer.
Werden die Einstellungen wieder aus der Policy entfernt, erhöht sich ebenfalls die Versionsnummer!

Bereits verwendete Policies (auch wenn diese mittlerweile leer sind) werden also nicht deaktiviert.

2. Deaktivierte Einstellungen bleiben deaktiviert

Deaktiviert man einen Policy-Anteil, so bleibt dieser so lange deaktiviert bis man dies wieder rückgängig macht.

Wird z.B. die Benutzerkonfiguration deaktiviert und ein Admin setzt danach Einstellungen in der Benutzerkonfiguration, so muss diese erst wieder manuell aktiviert werden. 

Performancegewinn?:

In der Theorie werden die Richtlinien schneller abgearbeitet.
Der eigentliche Gewinn ist jedoch nur schwer messbar.


Group Policy MVP Darren Mar-Elia berichtet unter anderem in seinem Artikel "Optimizing Group Policy Performance" darüber.

Der größte Vorteil besteht meiner Meinung nach in der Übersichtlichkeit der Richtlinien. In der GPMC ist direkt ersichtlich welche Richtlinen Computer- bzw. Benutzerkonfigurationen enthalten:



 

Keine Kommentare:

Kommentar veröffentlichen