Quickstart: Groepsbeleid converteren naar DSC

  • Artikel
  • 2 minuten om te lezen

Van toepassing op: Windows PowerShell 4.0, Windows PowerShell 5.0

U kunt een DSC-configuratie genereren op basis van een groepsbeleid of Azure Security Center basislijn. De module BaselineManagement bevat de volgende opdrachten voor het uitvoeren van deze taak.

  • ConvertFrom-GPO - Groepsbeleid converteren, opgeslagen als bestanden. U kunt ook een map met meerdere beleidsregels opgeven die worden gecombineerd in één configuratie.
    • Als u groepsbeleidsregels in uw omgeving wilt exporteren, gebruikt u de cmdlet Backup-GPO of volgt u de instructies in Een groepsbeleidsgroep exporteren naar een bestand.
  • ConvertFrom-SCM -Converteert Security Compliance Manager-basislijnen, opgeslagen als .xml bestanden.
  • ConvertFrom-ASC -Converteert Azure Security Center basislijnen, opgeslagen als .json bestanden.
  • Merge-GPOs - Groepsbeleid wordt geconverteerd dat is toegepast op een doelcomputer.

De hierboven vermelde cmdlets converteren een basislijn naar een .mof DSC-bestand. U kunt er ook voor kiezen om een configuratiescript ( ) uit te voeren .ps1 dat u kunt bewerken en opnieuw kuntcompileren. De cmdlets detecteren compilatiefouten voor ontbrekende resources of dubbele resourceblokken. Resourceblokken die compilatiefouten zouden veroorzaken, worden als commentaar verwijderd.

In het volgende voorbeeld wordt een Microsoft-beveiligingsbasislijn ge converteert naar een DSC-configuratiescript ( .ps1 ) en .mof -bestand.

Install-Module BaselineManagement
Import-Module BaselineManagement
ConvertFrom-GPO -Path '.\Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline\GPOs\' -OutputConfigurationScript

Nadat u de opdrachten hebt uitgevoerd, ziet u twee bestanden in de standaardmap Uitvoer die is gemaakt onder uw huidige pad.

Get-ChildItem -Path .\Output

    Directory:  C:\Temp

Mode                LastWriteTime     Length Name
----                -------------     ------ ----
-a----         7/9/2019   9:35 AM   227.37KB DSCFromGPO.ps1
-a----         7/9/2019   9:35 AM   410.03KB localhost.mof

Voor elk beheerd knooppunt zijn ook de volgende twee modules nodig:

Notitie

BaselineManagement is een oplossing die is ontwikkeld door de community om DSC beter vindbaar te maken voor ondersteuning voor community-oplossingen die afkomstig zijn van de projectontwikkelaars en niet van Microsoft. U kunt een nieuw probleem voor BaselineManagement openen op GitHub.

Volgende stappen

  • Als u uw configuratiescript wilt uploaden naar Azure Automation State Configuration, zie Aan de slag.
  • Voeg de modules SecurityPolicyDSC en AuditPolicyDSC toe aan uw Automation-account.
  • Zoek DSC-configuraties en -resources in PowerShell Gallery.