Schnellstart: Konvertieren von Gruppenrichtlinien in DSC

Gilt für: Windows PowerShell 4.0, Windows PowerShell 5.0

Sie können eine DSC-Konfiguration aus einer Gruppenrichtlinie oder Azure Security Center-Baseline generieren. Das Modul BaselineManagement umfasst die folgenden Befehle für diese Aufgabe.

  • ConvertFrom-GPO: Konvertiert Gruppenrichtlinien, als Dateien gespeichert. Sie können auch ein Verzeichnis mit mehreren Richtlinien angeben, die in einer Konfiguration zusammengefasst werden.
  • ConvertFrom-SCM: Konvertiert Security Compliance Manager-Baselines, als .xml-Dateien gespeichert.
  • ConvertFrom-ASC: Konvertiert Azure Security Center-Baselines, als .json-Dateien gespeichert.
  • Merge-GPOs: Konvertiert auf einen Zielcomputer angewendete Gruppenrichtlinien.

Mit den oben aufgeführten Cmdlets wird eine Baseline in eine DSC-.mof-Datei konvertiert. Sie können auch ein Konfigurationsskript ausgeben (.ps1), das bearbeitet und neu kompiliert werden kann. Die Cmdlets erkennen Kompilierungsfehler für fehlende Ressourcen oder doppelte Ressourcenblöcke. Ressourcenblöcke, die Kompilierungsfehler verursachen, werden auskommentiert.

Im folgenden Beispiel wird eine Microsoft Security-Baseline in ein DSC-Konfigurationsskript (.ps1) und eine .mof-Datei konvertiert.

Install-Module BaselineManagement
Import-Module BaselineManagement
ConvertFrom-GPO -Path '.\Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline\GPOs\' -OutputConfigurationScript

Nach dem Ausführen der Befehle sehen Sie zwei Dateien im Standardausgabeverzeichnis, das unter dem aktuellen Pfad erstellt wird.

Get-ChildItem -Path .\Output
    Directory:  C:\Temp

Mode                LastWriteTime     Length Name
----                -------------     ------ ----
-a----         7/9/2019   9:35 AM   227.37KB DSCFromGPO.ps1
-a----         7/9/2019   9:35 AM   410.03KB localhost.mof

Für jeden verwalteten Knoten sind außerdem die folgenden zwei Module erforderlich:

Hinweis

BaselineManagement ist eine von der Community entwickelte Lösung, durch die DSC für den Support leichter analysierbar ist, da Communitylösungen von den Projektverantwortlichen und nicht von Microsoft stammen. Sie können ein neues Problem für BaselineManagement auf GitHub öffnen.

Nächste Schritte

  • Informationen zum Hochladen Ihres Konfigurationsskripts in Azure Automation State Configuration finden Sie unter Erste Schritte.
  • Fügen Sie Ihrem Automation-Konto das SecurityPolicyDSC-Modul und das AuditPolicyDSC-Modul hinzu.
  • DSC-Konfigurationen und -Ressourcen finden Sie unter PowerShell-Katalog.