# GPO Automation: Richtlinienverwaltung via PowerShell

TL;DR / Management Summary Das Klicken in der GPMC (Group Policy Management Console) ist bei hunderten Richtlinien fehleranfällig. Ein Senior Admin nutzt das GroupPolicy Modul, um GPOs programmgesteuert zu erstellen, zu sichern und ihre Anwendung zu prüfen. Wir automatisieren das Backup der GPOs, führen Compliance-Checks durch und erstellen “Point-in-Time” Snapshots der gesamten Richtlinien-Infrastruktur.

# 1. Einführung & Das GPO-Objektmodell

Was man skripten kann.

In PowerShell betrachten wir GPOs nicht als Dateien im SYSVOL, sondern als Objekte im AD.

GPC (Container): Das AD-Objekt mit der GUID.
GPT (Template): Die Dateien im Netzwerk-Share.

# 2. GPO Management via PowerShell

Skalierbare Richtlinien.

# GPO erstellen und verknüpfen

# 1. Neue GPO anlegen
$NewGPO = New-GPO -Name "C-W11-BlockUSB" -Comment "Härtung für Workstations"

# 2. Mit einer OU verknüpfen
New-GPLink -Name "C-W11-BlockUSB" -Target "OU=Workstations,DC=firma,DC=local"

# Registry-Settings via Script setzen

Eines der nützlichsten Features: Werte direkt in eine GPO schreiben, ohne die GUI zu öffnen.

Set-GPRegistryValue -Name "C-W11-BlockUSB" `
    -Key "HKLM\Software\Policies\Microsoft\Windows\RemovableStorageDevices" `
    -ValueName "Deny_All" -Type DWord -Value 1

# 3. Deep Dive: GPO Backup & Disaster Recovery

Die Lebensversicherung der Admins.

Ein korruptes SYSVOL oder ein versehentlich gelöschter “Default Domain Policy” kann die gesamte Firma lahmlegen.

# Automatisierter Backup-Task

$BackupPath = "D:\Backup\GPO\$(Get-Date -f yyyyMMdd)"
if (-not (Test-Path $BackupPath)) { New-Item -ItemType Directory -Path $BackupPath }

# Sichert alle GPOs der Domäne
Backup-Gpo -All -Path $BackupPath

# Wiederherstellung (Restore)

# Stellt eine spezifische GPO aus dem Backup wieder her
Restore-GPO -Name "C-W11-BlockUSB" -Path "D:\Backup\GPO\20230515"

# 4. Day-2 Operations: GPO Auditing & Compliance

Wer hat was geändert?

# Der GPO-Report (HTML)

Erstellen Sie eine Übersicht über alle Einstellungen, um sie an den IT-Sicherheitsbeauftragten zu schicken:

Get-GPOReport -Name "C-W11-Security" -ReportType Html -Path "C:\Temp\SecurityReport.html"

# Verwaiste GPOs finden

GPOs, die nirgends verlinkt sind, blähen das AD unnötig auf.

Get-GPO -All | ForEach-Object {
    if ((Get-GPOReport -Guid $_.Id -ReportType Xml | Select-String "Links") -eq $null) {
        Write-Host "GPO nicht verlinkt: $($_.DisplayName)" -ForegroundColor Yellow
    }
}

# 5. Troubleshooting & “War Stories”

Wenn das Skript die Richtlinie bricht.

# Top 3 Fehlerbilder

Symptom: New-GPLink schlägt fehl mit “The system cannot find the path specified”.
- Ursache: Die OU existiert nicht oder der Distinguished Name (DN) ist falsch geschrieben.
- Lösung: Nutzen Sie Get-ADOrganizationalUnit, um den Pfad sicher zu validieren.
Symptom: Set-GPRegistryValue zeigt Erfolg, aber am Client kommt nichts an.
- Ursache: Der Registry-Pfad (Key) ist falsch (z.B. Software\Policies vs. Software\Microsoft).
- Lösung: Pfad in einem Referenz-PC manuell prüfen.
Symptom: GPO-Synchronisation zwischen DCs ist ungleich.
- Tool: gpotool.exe (Legacy) oder repadmin.

# “War Story”: Der “Hidden” Override

Ein Admin schrieb ein Skript, das alle GPOs mit dem Wort “Firewall” im Namen löschen sollte. Das Problem: Er hatte eine GPO namens “Firewall-Exceptions-Kritische-Produktion”. Das Skript löschte sie mit. Das Ergebnis: Die Produktion stand für 4 Stunden still, bis das Backup (Artikel 504) wieder eingespielt war. Lehre: Nutzen Sie bei GPO-Automatisierung immer Tags oder Beschreibungen (Comment), um kritische Richtlinien zu markieren, und filtern Sie im Skript explizit dagegen.

# 6. Monitoring & Reporting

Dashboard der Compliance.

# GPO Health Dashboards

Integrieren Sie die GPO-Anwendungszeiten in Ihr Monitoring.

KPI: Group Policy Processing Time. Wenn ein Client > 30s braucht, ist das GPO-Design (Artikel 490) zu komplex.

# 7. Fazit & Empfehlung

GPO Scripting ist der Weg zum “Software-Defined Workplace”.

Empfehlung: Nutzen Sie Zertifikatsbasierte Signierung für Ihre Admin-Skripte, damit niemand unbemerkt Ihre Automatisierung manipulieren kann.
Wahl: Kombinieren Sie GPO-Automatisierung mit DSC (Artikel 474) für Server und Intune Graph API für moderne Clients.

# Anhang: Cheatsheet

Aufgabe	Befehl
Modul laden	`Import-Module GroupPolicy`
GPO kopieren	`Copy-GPO -SourceGroupName "..." -TargetName "..."`
Link-Status	`Get-GPLink -Target "..."`
Registry Check	`Get-GPRegistryValue -Name "..." -Key "..."`