クイック スタート:グループ ポリシーを DSC に変換する

  • [アーティクル]

適用先:Windows PowerShell 4.0、Windows PowerShell 5.0

グループ ポリシーまたは Azure Security Center ベースラインから DSC 構成を生成できます。 BaselineManagement モジュールには、このタスクを達成するために、次のコマンドが含まれます。

  • ConvertFrom-GPO - グループ ポリシーを変換します。ファイルとして保存されます。 1 つの構成に結合される複数のポリシーを含むディレクトリを指定することもできます。
    • ご利用の環境でグループ ポリシーをエクスポートするには、Backup-GPO コマンドレットを使用するか、「Export a GPO to a File」 (GPO をファイルエクスポートする) の手順に従います。
  • ConvertFrom-SCM - セキュリティ コンプライアンス マネージャー ベースラインを変換します。.xml ファイルとして保存されます。
  • ConvertFrom-ASC - Azure Security Center ベースラインを変換します。.json ファイルとして保存されます。
  • Merge-GPOs - ターゲット コンピューターに適用されたグループ ポリシーを変換します。

上述のコマンドレットによって、ベースラインが DSC .mof ファイルに変換されます。 編集して再コンパイルすることができる、構成スクリプト (.ps1) を出力することを選択することもできます。 このコマンドレットでは、不足しているリソースや重複したリソース ブロックに対する複雑なエラーを検出することができます。 複雑なエラーの原因になるリソース ブロックは、コメント アウトされます。

次の例では、Microsoft セキュリティ ベースラインが DSC 構成スクリプト (.ps1) と .mof ファイルに変換されます。

Install-Module BaselineManagement
Import-Module BaselineManagement
ConvertFrom-GPO -Path '.\Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline\GPOs\' -OutputConfigurationScript

コマンドを実行した後、現在のパスの下に作成された既定の "Output" ディレクトリに 2 つのファイルが表示されます。

Get-ChildItem -Path .\Output

    Directory:  C:\Temp

Mode                LastWriteTime     Length Name
----                -------------     ------ ----
-a----         7/9/2019   9:35 AM   227.37KB DSCFromGPO.ps1
-a----         7/9/2019   9:35 AM   410.03KB localhost.mof

管理ノードごとに、次の 2 つのモジュールも必要です。

注意

BaselineManagement は、Microsoft からではなく、プロジェクト保守管理者からのコミュニティ ソリューションに対するサポートを、DSC でより検索しやすくするように、コミュニティによって開発されたソリューションです。 GitHub 上で BaselineManagement に対して新しい問題を作成することができます。

次のステップ

  • 構成スクリプトを Azure Automation State Configuration にアップロードするには、作業の開始に関するページを参照してください。
  • SecurityPolicyDSC モジュールと AuditPolicyDSC モジュールを Automation Account に追加します。
  • PowerShell ギャラリー」で DSC の構成とリソースを検索する。