Quickstart: groepsbeleid converteren naar DSC

Van toepassing op: Windows PowerShell 4.0, Windows PowerShell 5.0

U kunt een DSC-configuratie genereren op basis van een groepsbeleid of Azure Security Center basislijn. De module BaselineManagement bevat de volgende opdrachten voor het uitvoeren van deze taak.

• ConvertFrom-GPO - Converteert groepsbeleid, opgeslagen als bestanden. U kunt ook een map opgeven die meerdere beleidsregels bevat die in één configuratie worden gecombineerd.
  • Als u groepsbeleid in uw omgeving wilt exporteren, gebruikt u de cmdlet Backup-GPO of volgt u de instructies in Een groepsbeleidsobject exporteren naar een bestand.
• ConvertFrom-SCM - Converteert beveiligingsnalevingsbeheerbasislijnen, opgeslagen als .xml bestanden.
• ConvertFrom-ASC- Converteert Azure Security Center basislijnen, opgeslagen als .json bestanden.
• Merge-GPOs - Converteert groepsbeleid toegepast op een doelcomputer.

Met de bovenstaande cmdlets wordt een basislijn geconverteerd naar een DSC-bestand .mof . U kunt er ook voor kiezen om een configuratiescript (.ps1) uit te voeren dat u kunt bewerken en opnieuw kunt compileren. De cmdlets detecteren compilatiefouten voor ontbrekende resources of dubbele resourceblokken. Resourceblokken die compilatiefouten veroorzaken, worden weggelaten.

In het volgende voorbeeld wordt een Microsoft-beveiligingsbasislijn geconverteerd naar een DSC-configuratiescript (.ps1) en .mof -bestand.

Install-Module BaselineManagement
Import-Module BaselineManagement
ConvertFrom-GPO -Path '.\Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline\GPOs\' -OutputConfigurationScript

Nadat u de opdrachten hebt uitgevoerd, ziet u twee bestanden in de standaardmap Uitvoer die zijn gemaakt onder uw huidige pad.

Get-ChildItem -Path .\Output

    Directory:  C:\Temp

Mode                LastWriteTime     Length Name
----                -------------     ------ ----
-a----         7/9/2019   9:35 AM   227.37KB DSCFromGPO.ps1
-a----         7/9/2019   9:35 AM   410.03KB localhost.mof

Elk beheerd knooppunt heeft ook de volgende twee modules nodig:

• SecurityPolicyDSC
• AuditPolicyDSC

Notitie

BaselineManagement is een oplossing die is ontwikkeld door de community om DSC beter vindbaar te maken voor ondersteuning voor community-oplossingen die afkomstig zijn van de projectonderhouders en niet van Microsoft. U kunt een nieuw probleem openen voor BaselineManagement op GitHub.

Volgende stappen

• Zie Aan de slag om uw configuratiescript te uploaden naar Azure Automation State Configuration.
• Voeg de modules SecurityPolicyDSC en AuditPolicyDSC toe aan uw Automation-account.
• Zoek DSC-configuraties en -resources in de PowerShell Gallery.