Est-il possible d’utiliser ConfigMgr pour surveiller la conformité des paramètres de stratégie de groupe ? La réponse est bien entendu oui, mais c’est loin d’être facile. Pour cela vous devriez identifier manuellement toutes les clés registre associées à un objet de stratégie de groupe et créer les règles de CI individuellement, ce processus pourrait prendre des heures, voir des jours.
C’est pourquoi, Sam Roberts (MSFT) a créé un script qui simplifie le processus et crée les CI en quelques secondes. Ce script automatise entièrement le processus.
Ce script doit être exécuté à partir d’un système qui a accès aux modules PowerShell GroupPolicy et ConfigurationManager. Pour rappel, le module GroupPolicy est installé avec les outils d’administration à distance et le module ConfigurationManager est installé avec la console d’administration ConfigMgr.
Le script utilise les paramètres suivant :
- GroupPolicy [Optionnel] : Permet de sélectionner une seule stratégie de groupes
- GpoTarget [Requis à moins que ResultantSetOfPolicy soit utilisée] : Nom de la stratégie de groupe
- ResultantSetOfPolicy [Optionnel] – Utilise un résultat de stratégie de groupe
- ComputerName [Requis avec ResultantSetOfPolicy] : Nom du système utilisé pour exécuter le RSOP.
- DomainTarget [Requis] – Nom domaine pleinement qualifié (FQDN)
- SiteCode [Requis] – ConfigMgr site code
- Remediate [Optionnel] – Active la remédiation sur les objets de configuration.
- Severity [Optionnel] – Configure la sévérité des objets de configuration. (None, Informational, Warning or Critical)
- ExportOnly [Optionnel] – Export les objets de configuration dans un CAB pour les importer manuellement.
Télécharger le script : Convert-GPOtoCI_1.2.1.zip
Lire l’annonce de Sam Robert : ICI