- Secedit exporteert lokale beveiliging (gebruikers, opties, ACL's, services), maar geen firewallregels.
- GPResult geeft de werkelijke RSoP weer en maakt HTML-rapporten en externe query's mogelijk.
- Netsh beheert en kloont netwerkinstellingen; de firewall wordt verplaatst met advfirewall export/import.
- Het oplossen van GPO-problemen is gebaseerd op operationele logboeken, activiteits-ID's en gebeurteniscodes.
Wanneer u beveiligings- en netwerkinstellingen moet verplaatsen of documenteren in Windowsis het raadzaam om gedetailleerd te weten wat elk hulpmiddel in het systeem doet. Netsh, GPResult en Secedit Ze bestrijken verschillende scenario's: van het klonen van netwerkinstellingen tot het exporteren van lokale beleidsregels en het controleren welke GPO's daadwerkelijk op een machine zijn toegepast.
In deze praktische maar diepgaande handleiding leert u hoe u elk hulpprogramma in de beste context kunt gebruiken, rapporten kunt genereren voor audits en ondersteuning, en veelvoorkomende valkuilen kunt vermijden. Daarnaast neem ik echte oplossingen op om firewallregels te exporteren, sporen te verzamelen en typische Groepsbeleidfouten te diagnosticeren.
Secedit: Lokale beveiliging en beleid exporteren
Secedit is het klassieke hulpprogramma voor het omgaan met de beveiligingsdatabase en .inf-sjablonenHiermee kunt u lokale beveiligingsinstellingen (bijvoorbeeld gebruikersrechten, beveiligingsopties, register- en bestands-ACL's, services, enz.) back-uppen of overzetten. Uw belangrijkste exportopdracht ondersteunt parameters die de bron-database, sjabloon en gebieden bepalen die u wilt opnemen.
De export-syntaxis is: secedit /export /cfg <archivo.inf> ] Als u /db niet opgeeft, wordt de systeembeveiligingsdatabase overgenomen %windir%\security\database. Voor databanken zonder bijbehorende sjabloon, je moet ook aangeven de parameter /cfg.
De modificator /mergedpolicy Hiermee kunt u lokale en domeinbeleidsregels combineren voordat u ze exporteert. Parameter /areas Filter de scopes die u wilt opnemen: beveiligingsbeleid (accountbeleid, auditing, opties), beheer van beperkte groepen, gebruikersrechten, registersleutels, bestandsbeveiliging en gedefinieerde services. Als u deze optie niet gebruikt, wordt alles in de database geëxporteerd.
Om het proces vast te leggen, kunt u gebruiken: /log en definieer het pad; zonder pad slaat Windows het logboek op in het gebruikersprofiel onder Documenten\Beveiliging\Logboeken. De keuze /quiet onderdrukt de schermuitvoer (het resultaat wordt vervolgens bekeken met de MMC-module 'Beveiligingsconfiguratie en -analyse').
Typisch voorbeeld van een roundtrip: de lokale database in combinatie met het domein exporteren naar een INF en deze vervolgens importeren in een andere database om de configuratie op een andere computer te repliceren. Eerst exporteer je met een commando vergelijkbaar met secedit /export /db C:\Security\FY11\SecDbContoso.sdb /mergedpolicy /cfg SecContoso.inf /log C:\Security\FY11\SecAnalysisContosoFY11.log /quietLater, op een andere machine je importeert die INF naar een nieuwe database met secedit /import /db C:\Security\FY12\SecDbContoso.sdb /cfg SecContoso.inf /log C:\Security\FY11\SecAnalysisContosoFY12.log /quiet.
Erg belangrijk: Secedit exporteert geen firewallregels die u in het lokale beveiligingsbeleid hebt staan. Voor deze regels moet u Netsh (advfirewall) gebruiken of PowerShell, zoals u later zult zien; zie hoe u de Windows Defender Firewall.
GPResult: RSoP, rapporten en externe scenario's
GPResult laat zien welk groepsbeleid daadwerkelijk van invloed was op een gebruiker en/of computer. Dit is de snelste manier om de vraag "Welke GPO's zijn hier toegepast en waarom?" te beantwoorden. Het wordt ondersteund op Windows Server 2012/2012 R2/2016/2019/2022 en clients van Windows 7 verder.
Om hulp en beschikbare parameters te zien, opent u een opdrachtprompt en loop gpresult /?U vindt opties om de resulterende set beleidsregels (RSoP) voor zowel het GEBRUIKERS- als het COMPUTER-bereik te bekijken, met verschillende detailniveaus en exportformaten.
Het is erg praktisch om een volledig HTML-rapport te genereren met deze opdracht: gpresult /h C:\ruta\gp.htmlHet resulterende bestand bevat alle toegepaste GPO's, hun oorsprong en status. Als u de voorkeur geeft aan snelle consoletekst, gpresult /r toont u een samenvatting.
Voor externe computers ondersteunt GPResult query's via het netwerk: gpresult /S NOMBREPCAls u expliciete referenties en meer details nodig hebt: gpresult /S hostremoto /U dominio\usuario /P contraseña /SCOPE USER /V. Houd er rekening mee dat de afstandsbediening zich in hetzelfde domein moet bevinden en dat u over de vereiste vergunningen moet beschikken om hem te mogen ondervragen.
Er zijn parameters die niet met elkaar compatibel zijn: bijvoorbeeld, je kunt niet combineren /u y /p met /x o /h (exporteert naar XML/HTML), iets waarvoor GPResult u een foutmelding zal geven als u dit probeert.
Als u met PowerShell werkt, is de cmdlet Get-GPResultantSetOfPolicy Het biedt een alternatief om dezelfde RSoP-informatie te verzamelen, ideaal voor het automatiseren en kruisverwijzen van gegevens met andere scripts.
Netsh: netwerkconfiguratie opvragen, configureren en klonen
Netsh is een uiterst veelzijdige consoletool waarmee u netwerkconfiguraties kunt opvragen, diagnosticeren en wijzigen. Bovendien kan scripts genereren met de huidige configuratie om het eenvoudig op andere computers te kunnen kopiëren.
Om de IP-configuratie per interface te bekijken, gebruikt u netsh interface ip show configDe output is meer synthetisch dan ipconfig /all, maar geeft de belangrijkste waarden van elke adapter weer voor een snel overzicht.
Wanneer je nodig hebt IP-, ARP- of TCP-verbindingsstatistieken, je hebt opties zoals netsh interface ip show ipstats, netsh interface ip show ipnet (ARP-tabel per interface) en netsh interface ip show tcpconn om actieve TCP-sessies te bekijken.
Om het IP-adres van een adapter statisch te maken, kunt u het volgende doen: netsh interface ip set address name="Ethernet" source=static addr=192.168.1.10 mask=255.255.255.0 gateway=192.168.1.1Als u terug wilt naar DHCP, is het voldoende om netsh interface ip set address name="Ethernet" source=dhcp.
U kunt ook DNS-servers aanpassen: netsh interface ip set dnsserver "Ethernet" static 8.8.8.8 primary om het te repareren, of netsh interface ip set dnsserver "Ethernet" dhcp beheerd worden door de DHCP-server.
Om de configuratie vast te leggen als script uitvoerbaar op een andere computer, kunt u vertrouwen op de Netsh context dump: netsh interface ip dump (en andere contexten) om de benodigde opdrachten te verkrijgen die de huidige configuratie op een andere machine reproduceren.
Firewallregels exporteren en importeren wanneer Secedit deze niet bevat
Als het uw doel is om de Windows Firewall-regels te verplaatsen (Windows Defender Firewall) van de ene machine naar de andere, Secedit is niet het gereedschap omdat de regels geen deel uitmaken van de export. In niet-GUI-omgevingen (Server Core, Hyper-V Server) is Netsh de meest directe route.
Om bij de bron te exporteren, opent u een cmd met privileges en voert uit: netsh advfirewall export "C:\Temp\Firewall.wfw"Dit genereert een .wfw-bestand met alle regels en profielen. Importeer het op de doelcomputer met netsh advfirewall import "C:\Temp\Firewall.wfw" en dezelfde regels worden bij u toegepast.
Een andere optie is om PowerShell (NetSecurity module) te gebruiken om regels op een gedetailleerde manier te beheren, bijvoorbeeld door ze op te sommen met Get-NetFirewallRule en exporteren naar XML/CLIXML, hoewel voor één-op-één klonen het Netsh .wfw-formaat eenvoudiger en robuuster is.
Genereer een HTML-rapport met GPResult
Om in één oogopslag te kunnen controleren welke GPO's een machine beïnvloeden, kunt u een HTML-code genereren met gpresult /h C:\Informes\GPO.htmlHet wordt ondersteund op Windows Server 2012 R2, 2016, 2019, 2022 en clients zoals Windows 7, 10 en 11. Dit rapport is vooral handig voor geweigerde GPO's en overervingen detecteren die een configuratie kunnen blokkeren.
Problemen met groepsbeleid oplossen: logboeken en methode
Voordat u iets anders doet, is het een goed idee om de groepsbeleidgebeurtenissen in de systeemlogboeken te bekijken. Waarschuwingen begeleiden u over situaties waar u op moet letten en fouten die de waarschijnlijke oorzaak beschrijven. Gebruik de link 'Meer informatie' van de gebeurtenis en het tabblad 'Details' voor foutcodes en beschrijvingen.
Het operationele logboek “Microsoft-Windows-GroupPolicy/Operational” is essentieel voor foutopsporing. Verdeel de verwerking mentaal Identificeer in drie fasen (pre-processing, processing en post-processing) de ActivityID van het betreffende exemplaar, zodat u het pad van begin tot eind kunt volgen.
De aanbevolen techniek is om een aangepaste weergave te maken die wordt gefilterd op ActivityID. Zoek eerst de ActivityID in een fout-/waarschuwingsgebeurtenis (tabblad Details, Systeemknooppunt) en kopieer deze zonder accolades. Maak vervolgens de weergave met de XML-query in aansluiting op:
<QueryList><Query Path="Application"><Select Path="Microsoft-Windows-GroupPolicy/Operational">*</Select></Query></QueryList>
Zodra de gebeurtenissen geïsoleerd zijn, correleert elke start van de activiteit met het bijbehorende uiteinde en onderzoekt alle waarschuwingen/fouten. Vervolgens start het gpupdate (o gpupdate /force (indien nodig) om de cyclus te herhalen en te controleren of uw correctie effectief is.
Veel voorkomende gebeurtenissen en typische oorzaken
Identiteit 1129 Geeft aan dat de GPO niet kon worden toegepast vanwege een gebrek aan connectiviteit met een domeincontroller. In de praktijk komt dit meestal doordat LDAP-poort 389 geblokkeerd is. Met GPUpdate krijg je foutmeldingen en in het gpsvc-logboek zie je iets als "failed". GetLdapHandle met code 81.
Het recept is een netwerktracering vastleggen en controleer: LDAP-query op siteniveau, welke DC's worden geretourneerd, succesvolle DNS-resolutie voor alle DC's, LDAP-bindpoging en TCP-handshake-fout vanwege geblokkeerde poort 389. Als de DC niet reageert op 389, is het tijd om het probleem te escaleren naar het netwerkteam met duidelijk bewijs.
Identiteit 1002 Het waarschuwt voor een storing als gevolg van een gebrek aan systeembronnen (geheugen of schijf). Dit treedt meestal op wanneer de computer de status met lage bronnen verlaat; schijfruimte vrijmaken, controleer het geheugen en overweeg om het apparaat opnieuw op te starten als het apparaat langere tijd aan staat.
Identiteit 1006 Geeft aan dat de authenticatie bij AD mislukt is (LDAP-binding). Controleer de foutcode op het tabblad Details: met 5 (Toegang geweigerd), de gebruiker heeft mogelijk geen rechten; met 49 (Ongeldige inloggegevens), meestal is het een verlopen wachtwoord: wachtwoord wijzigen, vergrendelen/ontgrendelen de sessie en valideert services die dat account gebruiken. Met 258 (Time-out), controleer DNS: nslookup moet oplossen _ldap._tcp. naar de juiste DC's.
Identiteit 1030 Dit duidt op problemen bij het ophalen van nieuwe GPO's. Controleer of de LDAP-poorten open zijn. op de firewall en op de DC zoals op de client. Vergeet niet om de DNS-instellingen en naamomzetting als uitgangspunt te controleren.
Om poortblokken te isoleren, valideert u de naamomzettingsstack van de client. Controleer of u een hostnaam oplost en niet NetBIOS als de app dat toestaat; veel apps Ze ondersteunen verschillende methoden en worden soms geconfigureerd voor NetBIOS in plaats van TCP/IP-sockets.
Als u vermoedt dat de machtigingen op de GPO-container niet correct zijn, voer dan de DC-run uit Get-GPPermission -Name "TestGPO" -All om het toegangsniveau van elke beveiligingsentiteit op dat beleidsobject te weten.
Identiteit 1058 verschijnt wanneer een GPO-bestand niet kan worden gelezen (bijvoorbeeld gpt.ini) van een DC. Controleer de foutcode: met 3 (Pad niet gevonden)identificeer de DC van het evenement en bouw de volledige route \\<dcName>\SYSVOL\<domain>\Policies\<guid>\gpt.ini; valideert dat je het kunt lezen van de klant.
met 5 (Toegang geweigerd), de gebruiker of computer heeft geen leesrechten op dat pad; beveilig ze op de DC en probeer het daarna opnieuw. opnieuw opstarten en opnieuw inloggen. Met 53 (Netwerkpad niet gevonden), het is meestal een probleem met de naamomzetting; probeer toegang te krijgen \\<dcName>\netlogon om de connectiviteit te bevestigen.
Identiteit 1053 geeft aan dat de gebruikersnaam niet kon worden omgezet. Veelvoorkomende fouten: 5 (Toegang geweigerd) omdat het wachtwoord verlopen is terwijl u nog ingelogd bent; 14 (Onvoldoende opslagruimte) vanwege een gebrek aan geheugen; 525 (Gebruiker bestaat niet) vanwege onvoldoende leesrechten op de OU; 1355 (Domein bestaat niet) door DNS; en 1727 (RPC mislukt) via een firewall. DNS valideren via nslookup, AD-replicatie en firewallregels (inclusief regels van derden).
Identiteit 1097 geeft aan dat het team zijn account niet kon bepalen om team-GPO's toe te passen. De hoofdoorzaak is de tijd niet synchroon met de DC. Zorgt voor tijd- en zonesynchronisatie en loop w32tm /resyncStart uw computer opnieuw op als het probleem zich blijft voordoen.
ID's. 4016 en 5016 Ze rapporteren het begin en einde van de verwerking van een CSE (client-side extension). Als u een dergelijke retour ziet in de 5016 2147483658 (0x8000000a) E_PENDING, duikt in het operationele logboek Beveiliging-Audit-Configuratie-Client/Operationeel om de stroom van de Audit CSE (Auditcse.dll) te traceren en gedetailleerde fouten te lokaliseren.
Gedetailleerde logging (GPSvc) inschakelen en bewijs verzamelen
Bij lastige problemen is het inschakelen van GPSvc-logging een goede optie. Voeg op de betreffende client de sleutel en waarde toe aan het register voor debugniveau inschakelen en vervolgens een beleidsvernieuwing forceren om het probleem op te sporen.
Je kunt dit als volgt doen (als beheerder): maak de sleutel HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics, voeg de DWORD toe GPSvcDebugLevel met moed 0x00030002 (hex) en uitvoeren gpupdate /forceHet logboek wordt opgeslagen in %windir%\debug\usermode\gpsvc.log.
Het verzamelt ook een standaarddataset: RSoP HTML- en TXT-rapport met gpresult /h %Temp%\GPResult.htm y gpresult /r > %Temp%\GPResult.txt; exporteer de GPExtensions-branch met reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg.
Vergeet niet de relevante gebeurtenislogboeken te extraheren: Toepassing, systeem en groepsbeleid/operationeel met wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true, wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true y wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true.
Na voltooiing van de vangst, GPSvc-logging uitschakelen Om prestatie-impact te voorkomen: reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d 0x00000000 /fZorg dat u de volgende bestanden bij de hand hebt: Application.evtx, System.evtx, GroupPolicy.evtx, GPExtensions.reg, GPResult.txt, GPResult.html en gpsvc.log.
Back-up en importeer GPO's met GPMC
Wanneer u volledige GPO's wilt verplaatsen tussen domeincontrollers, is het het handigst om de console te gebruiken. Groepsbeleidbeheer (GPMC)Maak een back-up van het beleidsobject (klik met de rechtermuisknop > Back-up maken), kies de doelmap en u ontvangt een set bestanden met de instellingen.
Maak in het bestemmingsdomein een nieuw GPO en selecteer Configuratie importerenSelecteer de map met de eerder geëxporteerde kopie en laat de wizard de verwijzingen naar beveiligings-principals en UNC-paden onderzoeken. U kunt deze converteren als ze veranderen. groepen, gebruikers of routes tussen domeinen, waarbij SID's of verweesde routes worden vermeden.
Gepassioneerd schrijver over de wereld van bytes en technologie in het algemeen. Ik deel mijn kennis graag door te schrijven, en dat is wat ik in deze blog ga doen: je de meest interessante dingen laten zien over gadgets, software, hardware, technologische trends en meer. Mijn doel is om u te helpen op een eenvoudige en onderhoudende manier door de digitale wereld te navigeren.