快速入门：将组策略转换为 DSC

适用于：Windows PowerShell 4.0 和 Windows PowerShell 5.0

可从组策略或 Azure 安全中心基线生成 DSC 配置。 BaselineManagement 模块包含以下用于完成此任务的命令。

• ConvertFrom-GPO - 转换组策略，存储为文件。 还可指定一个目录，它包含多个要合并为一个配置的策略。
  • 要在环境中导出组策略，请使用 Backup-GPO cmdlet，或按照将 GPO 导出到文件中的说明进行操作。
• ConvertFrom-SCM - 转换安全合规性管理器基线，存储为 .xml 文件。
• ConvertFrom-ASC - 转换 Azure 安全中心基线，存储为 .json 文件。
• Merge-GPOs - 转换应用于目标计算机的组策略。

上面列出的 cmdlet 将基线转换为 DSC .mof 文件。 还可选择输出能编辑和重新编译的配置脚本 (.ps1)。 cmdlet 会检测缺少资源或资源块重复的编译错误。 注释掉可能导致编译错误的资源块。

以下示例将 Microsoft 安全基线转换为 DSC 配置脚本 (.ps1) 和 .mof 文件。

Install-Module BaselineManagement
Import-Module BaselineManagement
ConvertFrom-GPO -Path '.\Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline\GPOs\' -OutputConfigurationScript

运行命令后，可发现在当前路径下创建了默认“输出”目录中的两个文件。

Get-ChildItem -Path .\Output

    Directory:  C:\Temp

Mode                LastWriteTime     Length Name
----                -------------     ------ ----
-a----         7/9/2019   9:35 AM   227.37KB DSCFromGPO.ps1
-a----         7/9/2019   9:35 AM   410.03KB localhost.mof

每个托管的节点还需要以下两个模块：

• SecurityPolicyDSC
• AuditPolicyDSC

注意

BaselineManagement 是社区开发的一种解决方案，可使 DSC 更易被发现，用于支持来自项目维护人员的社区解决方案，而不是来自 Microsoft 的解决方案。 可在 GitHub 上提出有关 BaselineManagement 的新问题。

后续步骤

• 要将配置脚本上传到 Azure 自动化状态配置，请参阅入门。
• 将 SecurityPolicyDSC 和 AuditPolicyDSC 模块添加到自动化帐户。
• 在 PowerShell 库中查找 DSC 配置和资源。