Auditer des GPO – Partie 1

Lors d’une migration ou d’un audit, il peut être judicieux d’analyser un peu l’état de nos GPO.
On va commencer dans cette partie 1 par une analyse « rapide ».

Premièrement, vérifier si des GPO sont vides.

Pour ce faire nous utiliserons l’outil Crawler.
Se connecter à l’AD et exécuter Powershell.

Se rendre dans le dossier de l’exécutable (dans mon cas):

Exécuter la commande :
SysvolCrawler.exe -d 127.0.0.1 [repertoire_destination] \127.0.0.1\sysvol[votre_domaine]\policies

L’exécutable possède différentes options:

Le script est plutôt verbeux, ne vous étonnez pas de voir apparaître plusieurs lignes très rapidement.

Sur mon AD tout neuf, voici ce qui est visible:

Se rendre dans le dossier de destination. Ici se présentent plusieurs fichiers.

On va ouvrir le fichier LDAPGPOsFile.csv et se concentrer sur VersionNumber.

Cette variable s’incrémente à chaque modification, ainsi une valeur de 0 indique une règle vide.

Extrait du fichier

Dans notre cas, on constate que la GPO nommée “GPO Vide” est bien vide.

On peut aussi en profiter pour faire un tri avec le nom des GPO pour vérifier la présence de “test-XXX”, des règles historiques qui ne seraient plus appliquées ou encore trois GPO du même nom (du genre des GPO pour IE).

Deuxièmement, vérifier la configuration des GPO

Pour cela on va utiliser GPOCheckMaster.
Les sources fournies permettent de compiler le fichier .exe que l’on va utiliser ici.

Dans notre cas, on obtient :

Le « User part empty but not disabled » se résout en modifiant le champ GPO Status (par défaut sur « Enabled ») en « User configuration settings disabled » dans l’onglet Details de ladite GPO.

Bien entendu il faut faire l’inverse pour « Computer empty but not disabled ».
Je fais les modifications sur mes GPO et relance le check.

L’outil ne permet pas de vérifier que ce paramètre, mais aussi une différence dans les droits des fichiers de chaque GPO.

Je modifie les droits sur le fichier Registry.pol de la GPO « 31B2F340-016D-11D2-945F-00C04FB984F9 » qui correspond à la Default Domain Policy et relance le check.

On voit ici que le dossier « 31 B.. » correspond à la DDP.
Ajout de nouveaux droits.
Résultat du nouveau check.

Liens:
SysvolExplorer: https://github.com/ANSSI-FR/SysvolExplorer.git
GPO-Check: https://github.com/aurel26/gpocheck.git