Bonjour,

Le module GPOZaurr permet d’analyser vos GPO et aussi de corriger les problèmes détectés.

Comme indiqué par l’auteur du module Przemyslaw Klys : “J’ai effectué de nombreuses recherches et déployé beaucoup d’efforts pour que ce module PowerShell fonctionne comme prévu. Cependant, il m’arrive de faire des erreurs.”

Quand un problème est reporté, le rapport fourni une possibilité de correction sous forme d’un lien en fin de section du rapport ou d’une commande powershell (supportant -Whatif)

Pour les modifications et suppression, prenez soin de vous assurer de comprendre l’action que vous allez exécuter

Documentation

https://github.com/EvotecIT/GPOZaurr

https://evotec.xyz/the-only-command-you-will-ever-need-to-understand-and-fix-your-group-policies-gpo/

Une seule commande (Invoke-GPOZaurr) fournit les rapports suivants : - GPOBroken - GPOBrokenLink - GPOOwners - GPOConsistency - GPODuplicates - GPOOrganizationalUnit - GPOList - GPOLinks - GPOPassword - GPOPermissions - GPOPermissionsAdministrative - GPOPermissionsRead - GPOPermissionsRoot - GPOPermissionsUnknown - GPOFiles - GPOBlockedInheritance - GPOAnalysis - GPOUpdates - NetLogonOwners - NetLogonPermissions - SysVolLegacyFiles

Rapports disponibles :

GPOBroken : Ce rapport permet de détecter les GPO qui sont cassées. Par GPO cassées, j’entends celles qui existent dans AD mais qui n’ont pas de contenu SYSVOL ou vice versa - qui ont un contenu SYSVOL, mais pas de métadonnées AD. En outre, il est capable de détecter les objets GPO qui ne sont plus des objets GroupPolicy. - Il propose ensuite un moyen simple de corriger la situation à l’aide d’instructions étape par étape.
GPOBrokenLink : Ce rapport peut détecter les liens qui n’ont pas de GPO correspondante. Par exemple, si une GPO est supprimée, il arrive que les liens vers cette GPO ne soient pas correctement supprimés. Cette commande peut détecter cela et proposer une solution.
GPOOwners : Ce rapport se concentre sur les propriétaires de GPO. Par conception, si un administrateur de domaine crée une GPO, le propriétaire de la GPO est le groupe des administrateurs de domaine. Ce rapport détecte les GPO qui n’appartiennent pas aux Admins de domaine (à la fois dans SYSVOL et AD) et propose une solution pour les corriger.
GPOConsistency : Ce rapport détecte les permissions incohérentes entre Active Directory et SYSVOL, vérifiant que les fichiers/dossiers à l’intérieur de chaque GPO correspondent aux permissions requises. Il vous propose ensuite une option pour y remédier.
GPODuplicates : Ce rapport détecte les GPO qui sont des CNF, autrement dit des objets AD dupliqués, et propose un moyen de les supprimer.
GPOList : Ce rapport résume toutes les stratégies de groupe en se concentrant sur la détection des GPO vides, non liées, désactivées, sans autorisation d’application. Il peut également détecter les GPO qui ne sont pas optimisées ou qui présentent des problèmes potentiels (section désactivée, mais contenant encore des paramètres).
GPOLinks : Ce rapport résume les liens indiquant où la GPO est liée, si elle est liée à un site quelconque, à un autre domaine, ou le statut des liens.
GPOPassword : Ce rapport devrait détecter les mots de passe stockés dans les GPOs.
GPOPermissions : Ce rapport fournit un aperçu complet des permissions pour tous les GPO. Il détecte les GPO qui n’ont pas de droits de lecture pour les utilisateurs authentifiés, les GPO qui n’ont pas de droits d’administrateur de domaine, d’administrateur d’entreprise ou de système. Il détecte également les GPOs qui ont des permissions inconnues disponibles. Enfin, il vous permet de fixer les permissions pour tous ces GPOs facilement. Il s’agit en fait d’un guichet unique pour tous les besoins en matière de permissions.
GPOPermissionsAdministrative : Ce rapport se concentre uniquement sur la détection des autorisations manquantes pour les administrateurs de domaine et les administrateurs d’entreprise et vous permet de les corriger en un rien de temps.
GPOPermissionsRead : Similaire à un rapport administratif, mais celui-ci se concentre sur les utilisateurs authentifiés qui n’ont pas leurs permissions.
GPOPermissionsRoot : Ce rapport montre toutes les permissions attribuées à la racine du conteneur de stratégie de groupe. Il vous permet de vérifier rapidement qui peut gérer toutes les GPO.
GPOPermissionsUnknown : Ce rapport se concentre sur la détection des permissions inconnues (utilisateurs supprimés) et vous permet de les supprimer sans douleur.
GPOFiles : Ce rapport répertorie tous les fichiers du dossier SYSVOL (y compris les fichiers cachés) et tente de déterminer si l’emplacement du fichier basé sur l’extension/le type est logique ou nécessite une vérification supplémentaire. Il a été écrit pour trouver des logiciels malveillants potentiels ou des fichiers anciens qui peuvent être supprimés en toute sécurité.
GPOBlockedInheritance : Ce rapport recherche toutes les unités organisationnelles dont l’héritage est bloqué et vérifie le nombre d’utilisateurs ou d’ordinateurs affectés.
GPOAnalysis : Ce rapport lit tout le contenu des stratégies de groupe et les classe dans plus de 70 catégories. Il peut montrer des choses comme les GPOs qui font du Drive Mapping, Bitlocker, Laps, Imprimantes, etc. Il est pratique pour trouver les paramètres morts, les hôtes morts ou les paramètres qui n’ont plus de sens.
NetLogonOwners : Ce rapport se concentre sur la détection des propriétaires de NetLogon et sur la manière de les remettre aux valeurs par défaut et sécurisées.
NetLogonPermissions : Ce rapport fournit un aperçu et une évaluation de toutes les autorisations sur le partage NetLogon.
SysVolLegacyFiles : Ce rapport détecte les fichiers SYSVOL Legacy Files (.adm).

# Installation du module
Install-Module -Name GPOZaurr -AllowClobber -Force

# Prérequis d'utilisation sur un poste client
Add-WindowsCapability -Online -Name 'Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0'
Add-WindowsCapability -Online -Name 'Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0'

# Mise à jour du module
Update-Module -Name GPOZaurr

# Génération du rapport
Invoke-GPOZaurr