Saturday, November 03, 2012

GUIDs GUIDs GUIDs...

Hallo an alle da draußen ;-)

Was hat es eigentlich mit den ganzen GUIDs auf sich, die bei der GPO-Verarbeitung immer wieder mal auftauchen? Dazu holen wir ein wenig aus:  

Namen sind Schall und Rauch - unter der Haube stecken bei Windows meistens eindeutige Bezeichner. Bei AD-Objekten kennen wir die SIDs (Security Identifier), aber jedes AD-Objekt hat auch eine GUID. Und GUIDs werden auch "sonst überall" verwendet (Globally Unique IDentifiier, laut Microsoft eindeutig in Zeit und Raum): SID vs. GUID

Jedes AD-Objekt hat also eine GUID - so natürlich auch ein GPO. Das hat genauer gesagt sogar 2 GUIDs. Die eine ist das AD-Attribut "objectGUID", das nur AD-intern verwendet wird. Die andere ist das AD-Attribut "name", und das begegnet uns gleich nochmal.

  

Man sieht hier, dass "name" auch den "distinguishedName" festlegt. "name" legt auch den "gPCFileSysPath" fest, das ist der Dateisystemteil des GPO mit den zugehörigen Einstellungen innerhalb der GPO. Und in der GPMC sieht man den Namen als "Eindeutige ID".

Mit einer recht einfachen Abfrage kommt man auch recht schnell vom Namen zur GUID oder umgekehrt:

dsquery * -filter "(|(displayName=xyz)(name={abc}))" -attr name displayname

Hier dann entweder den displayName oder name passend ausfüllen, und schon kommt eine schöne Liste zurück:

dsquery * -filter "(|(displayName=default*)(name={abc}))" -attr name displayname
  name                                      displayname                       
  {6AC1786C-016F-11D2-945F-00C04fB984F9}    Default Domain Controllers Policy 
  {31B2F340-016D-11D2-945F-00C04FB984F9}    Default Domain Policy   
          


Dann gibt's im Attribut-Editor aber noch mehr GUIDs, nämlich in "gPCMachineExtensionNames". Diese definieren den Inhalt der GPO. Hier stehen in eckigen Klammern immer 2 oder mehr GUIDs. Die erste dieser GUIDs gibt die Client Side Extension an, für die in der GPO Einstellungen enthalten sind. Die weiteren GUIDs geben die Snapin Extensions für den Gruppenrichtlinien-Editor an, die für das Bearbeiten dieser Einstellungen zuständig sind.


In der Praxis sieht das dann z.B. so aus:


[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1D-2488-11D1-A28C-00C04FB94F17}{D02B1F72-3407-48AE-BA88-E8213C6761F1}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]

Das ist eine GPO, in der Registry (3537...) und Scripts (42B5...) als CSEs enthalten sind. Zum Bearbeiten der Einstellungen von Registry werden hier gleich zwei Snapins verwendet: Administrative Vorlagen (D02B...) und Firewall mit erweiterter Sicherheit (53D6...). Grund dafür ist, dass die Registry CSE von anderen Snapins "mitverwendet" wird.

Das ganze ist natürlich auch dokumentiert: [MS-GPSO]: Group Policy System Overview

In dieser Doku gibt es dann auch 2 Tabellen, die alle GUIDs für die CSEs und die Snapins auflisten:
3.1.3.1 Group Policy Client-Side Extension List
3.1.3.2 Group Policy Tool Extension List

Die Liste der CSEs taucht ja schon auf einigen anderen Seiten auf, die Liste der Snapins ist noch weitgehend unbekannt. Und da MS eine unvollständige Liste veröffentlicht hat, gibt es hier jetzt die Liste ALLER mir bekannten MMC-Snapins und Snapin Extensions, die Windows "von Haus aus" mitbringt.

Have Fun ;-))

 
GUID Name
{011BE22D-E453-11D1-945A-00C04FB984F9} SCA - Sicherheitskonfiguration und -analyse
{03f1f940-a0f2-11d0-bb77-00aa00a1eab7} SMTPProtocol - SMTP-Protokoll
{06993B16-A5C7-47EB-B61C-B1CB7EE600AC} WiredNetworkPolicy - Richtlinien für verkabelte Netzwerke (IEEE 802.3) - GPEdit
{0DA274B5-EB93-47A7-AAFB-65BA532D3FE6} GPO_Applications - Einstellungserweiterung "Anwendungen"
{0E752416-F29E-4195-A9DD-7F0D4D5A9D71} WindowsFirewall_GP - Windows-Firewall mit erweiterter Sicherheit - GPEdit
{0F3621F1-23C6-11D1-AD97-00AA00B88E5A} SysProp - Systemeigenschaften
{0F6B957D-509E-11D1-A7CC-0000F87571E3} ADMComputers_1 - Administrative Vorlagen (Computer) - GPEdit
{0F6B957E-509E-11D1-A7CC-0000F87571E3} ADMUsers_1 - Administrative Vorlagen (Benutzer) - GPEdit
{127537A8-C1ED-40BC-9AE5-C5891DF6B2D4} GPO_UserControl - Verwendung der Systemsteuerungseinstellungen zulassen (Benutzer)
{1612b55c-243c-48dd-a449-ffc097b19776} GPO_DataSources - Einstellungserweiterung "Datenquellen"
{17C6249E-BA57-4F69-AE93-4FB3D25CD9D7} GPO_CompControl - Systemsteuerungseinstellungen (Computer)
{18BA7139-D98B-43c2-94DA-2604E34E175D} Net_Framework - .Net Framework-Konfiguration
{18ea3f92-d6aa-41d9-a205-2023400c8fbb} ServerManager - Server-Manager
{1AA7F839-C7F5-11D0-A376-00C04FC9DA04} RRA - Routing und RAS
{1AA7F83C-C7F5-11D0-A376-00C04FC9DA04} AppleTalkRouting - AppleTalk-Routing
{1b767e9a-7be4-4d35-85c1-2e174a7ba951} GPO_Devices - Einstellungserweiterung "Geräte"
{1BC972D6-555C-4FF7-BE2C-C584021A0A6A} SoftwareInstallationUsers_2 - Softwareinstallation (Benutzer) - RSoP
{1C5DACFA-16BA-11D2-81D0-0000F87A7AA3} ADSI - ADSI-Bearbeitung
{1F5EEC01-1214-4D94-80C5-4BDCD2014DDD} AuthMan - Autorisierungs-Manager
{23DC5869-BD9F-46fd-AADD-1F869BA64FC3} WirelessMon - Drahtlosmonitor
{243E20B0-48ED-11D2-97DA-00A024D77700} RemStore - Wechselmedien
{2DA6AA7F-8C88-4194-A558-0D36E7FD3E64} WirelessNetworkPolicy - Richtlinien für Drahtlosnetzwerke (IEEE 802.11) - GPEdit
{2E19B602-48EB-11d2-83CA-00104BCA42CF} IASLogging - IAS-Protokollierung
{2EA1A81B-48E5-45E9-8BB7-A6E3AC170006} GPO_Drives - Einstellungserweiterung "Laufwerkzuordnungen"
{3060E8CE-7020-11D2-842D-00C04FA372D4} RIS - Remoteinstallationsdienste - GPEdit
{317cdc35-c09e-486f-ab09-90dd2e3fdd7d} StorageManagerForSANSSnapIn - Speicher-Manager für SANs
{317cdc37-c09e-486f-ab09-90dd2e3fdd7d} StorageManagerForSANSSnapInExtension - Speicher-Manager für SANs-Erweiterung
{34AB8E82-C27E-11D1-A6C0-00C04FB94F17} PublicKey - Richtlinien Öffentlicher Schlüssel
{35141B6B-498A-4cc7-AD59-CEF93D89B2CE} GPO_Environment - Einstellungserweiterung "Umgebung"
{394C052E-B830-11D0-9A86-00C04FD8DBF7} EventViewer_1 - Ereignisanzeige
{3BAE7E51-E3F4-41D0-853D-9BB9FD47605F} GPO_Files - Einstellungserweiterung "Dateien"
{3BFAE46A-7F3A-467B-8CEA-6AA34DC71F53} GPO_FolderOptions - Einstellungserweiterung "Ordneroptionen"
{3CB6973D-3E6F-11D0-95DB-00A024D77700} RSM - Wechselmedienverwaltung
{3D5D035E-7721-4B83-A645-6C07A3D403B7} RemoteDesktop - Remotedesktops
{3EC4E9D3-714D-471F-88DC-4DD4471AAB47} GPO_Folders - Einstellungserweiterung "Ordner"
{3F276EB4-70EE-11D1-8A0F-00C04FB93753} CertAuthPolSet - Zertifizierungsstellen-Richtlinieneinstellungen
{40B6664F-4972-11D1-A7CA-0000F87571E3} ScriptsMachine_1 - Skripts (Start/Herunterfahren) - GPEdit
{40B66650-4972-11D1-A7CA-0000F87571E3} ScriptsUser_1 - Skripts (Anmelden/Abmelden)- GPEdit
{40B66660-4972-11d1-A7CA-0000F87571E3} ScriptsMachine_2 - Skripts (Start/Herunterfahren) - RSoP
{40B66661-4972-11d1-A7CA-0000F87571E3} ScriptsUser_2 - Skripts (Anmelden/Abmelden) - RSoP
{43668E21-2636-11D1-A1CE-0080C88593A5} DiskDefrag - Defragmentierung
{45ac8c63-23e2-11d1-a696-00c04fd58bc3} SysInfo - Systeminformationen
{45B01F1C-5AC2-458c-9457-42A81B34A26D} GPO_ViewExtensionPro - Registerkarte "Einstellungen"
{516FC620-5D34-4B08-8165-6A06B623EDEB} GPO_IniFiles - Einstellungserweiterung "INI-Dateien"
{53D6AB1D-2488-11D1-A28C-00C04FB94F17} Certs - Zertifikate
{57C596D0-9370-40C0-BA0D-AB491B63255D} IpSecMonitor - IP-Sicherheitsmonitor
{58221C65-EA27-11CF-ADCF-00AA00A80033} SharedFolders - Freigegebene Ordner
{58221C66-EA27-11CF-ADCF-00AA00A80033} Services - Dienste
{58221C67-EA27-11CF-ADCF-00AA00A80033} ComputerManagement - Computerverwaltung
{58221C69-EA27-11CF-ADCF-00AA00A80033} SharedFolders_Ext - Erweiterung für freigegebene Ordner
{5880CD5C-8EC0-11d1-9570-0060B0576642} RemoteAccess - RAS
{5ADF5BF6-E452-11D1-945A-00C04FB984F9} SecurityTemplates - Sicherheitsvorlagen
{5C659257-E236-11D2-8899-00104B2AFB46} WMI - WMI-Steuerung
{5C935941-A954-4F7C-B507-885941ECE5C4} GPO_Internet - Einstellungserweiterung "Interneteinstellungen"
{5D6179C8-17EC-11D1-9AA9-00C04FD8FE93} LocalUsersGroups - Lokale Benutzer und Gruppen
{634BDE40-E5E1-49A1-B2CD-140FFFC830F9} EnterprisePKI - Unternehmens-PKI
{6630f2d7-bd52-4072-bfa7-863f3d0c5da0} NPSUI - Netzwerkrichtlinienserver (NPS)
{671ee405-c969-4af9-ad1b-65e96b3b9a10} DFSSnapIn - DFS-Verwaltung
{677A2D94-28D9-11D1-A95B-008048918FB1} DFS - Verteiltes Dateisystem (DFS)
{6A712058-33C6-4046-BCF9-0EA3A8808EDC} PrefApplications - Snap-Ins für die Einstellungserweiterung "Anwendungen"
{6d8880af-e518-43a8-986c-1ad21c4c976e} OCSP - Online-Responder
{6DC3804B-7212-458D-ADB0-9A07E2AE1FA2} ResultantSetOfPolicySnapIn - Richtlinienergebnissatz-Snap-In
{6E8E0081-19CD-11D1-AD91-00AA00B8E05A} LogicalMappedDrives - Logische und zugeordnete Laufwerke
{74246bfc-4c96-11d0-abef-0020af6b0b7a} DeviceManager_2 - Geräte-Manager
{7478EF61-8C46-11d1-8D99-00A0C913CAD4} PerfLogsAlerts - Leistungsprotokolle und Warnungen
{753EDB4D-2E1B-11D1-9064-00A0C90AB504} FAXService - Faxdienst
{79F92669-4224-476c-9C5C-6EFB4D87DF4A} GPO_LocalUsersAndGroups - Einstellungserweiterung "Lokale Benutzer und Gruppen"
{7AF60DD3-4979-11D1-8A6C-00C04FC33566} SNMP - SNMP
{7d3830aa-e69e-4e17-8bd1-1b87b97099da} TPMManagement - TPM-Verwaltung
{7E45546F-6D52-4D10-B702-9C2E67232E62} SoftwareInstalationComputers_2 - Softwareinstallation (Computer) - RSoP
{803E14A0-B4FB-11D0-A0D0-00A0C90F574B} SecuritySettings_1 - Sicherheitseinstellungen - GPEdit
{813C1B01-6624-4922-9C6C-03C315646584} ShareandStorageManagementSnapIn - Freigabe- und Speicherverwaltung
{88E729D6-BDC1-11D1-BD2A-00C04FB9603F} FolderRedirection_1 - Ordnerumleitung - GPEdit
{89cc9588-7628-4d29-8e4a-6550d0087059} HRA - Integritätsregistrierungsstelle (HRA)
{8EAD3A12-B2C1-11d0-83AA-00A0C92C9D5D} DiskMgmt - Datenträgerverwaltung
{8F8F8DC0-5713-11D1-9551-0060B0576642} IAS - Internetauthentifizierungsdienst (IAS)
{8FC0B734-A0E1-11D1-A7D3-0000F87571E3} GroupPolicySnapIn - Gruppenrichtlinienobjekt-Editor
{90087284-d6d6-11d0-8353-00a0c90640bf} DeviceManager_1 - Geräte-Manager
{90810500-38F1-11D1-9345-00C04FC9DA04} IPXRouting - IPX-Routing
{90810502-38F1-11D1-9345-00C04FC9DA04} IPXRIPRouting - IPX RIP-Routing
{90810504-38F1-11D1-9345-00C04FC9DA04} IPXSAPRouting - IPX SAP-Routing
{942A8E4F-A261-11D1-A760-00C04FB9603F} SoftwareInstalationComputers_1 - Softwareinstallation (Computer) - GPEdit
{949FB894-E883-42C6-88C1-29169720E8CA} GPO_NetworkOptions - Einstellungserweiterung "Netzwerkoptionen"
{95AD72F0-44CE-11D0-AE29-00AA004B9986} IndexingService - Indexdienst
{975797FC-4E2A-11D0-B702-00C04FD8DBF7} EventViewer_3 - Ereignisanzeige
{9AD2BAFE-63B4-4883-A08C-C3C6196BCAFD} GPO_PowerOptions - Einstellungserweiterung "Energieoptionen"
{9EC88934-C774-11d1-87F4-00C04FC2C17B} DCOMCFG - DCOM-Konfigurationserweiterung
{9FE24B92-C23D-451c-8045-73038D99E620} StarterGPOEditorSnapIn - Gruppenrichtlinien-Editor für Anfangsrichtlinien
{a1bc4eca-66b2-44e8-9915-be02e84438ba} NapSnap - NAP-Clientkonfiguration
{a1bc4ecb-66b2-44e8-9915-be02e84438ba} NapSnap_GP - NAP-Clientkonfiguration - GPEdit
{A841B6C2-7577-11D0-BB1F-00A0C922E79C} IIS - Internetinformationsdienste
{A8C42CEA-CDB8-4388-97F4-5831F933DA84} GPO_Printers - Einstellungserweiterung "Drucker"
{A994E107-6854-4F3D-917C-E6F01670F6D3} CertsTemplate - Zertifikatvorlagen
{b05566ac-fe9c-4368-be02-7a4cbb7cbe11} WindowsFirewall - Windows-Firewall mit erweiterter Sicherheit
{b05566ad-fe9c-4363-be05-7a4cbb7cb510} EventViewer_4 - Ereignisanzeige (Windows Vista)
{b05566ae-fe9c-4363-be05-7a4cbb7cb510} EventViewer_2 - Ereignisanzeige (Windows Vista)
{B1AFF7D0-0C49-11D1-BB12-00C04FC9A3A3} SendConsoleMessage - Konsolenmeldung senden
{B52C1E50-1DD2-11D1-BC43-00C04FC31FD3} RAS_DialinUser - RAS-Einwahl - Benutzerknoten
{B6F9C8AE-EF3A-41C8-A911-37370C331DD4} ADMComputers_2 - Administrative Vorlagen (Computer) - RSoP
{B6F9C8AF-EF3A-41C8-A911-37370C331DD4} ADMUsers_2 - Administrative Vorlagen (Benutzer) - RSoP
{B91B6008-32D2-11D2-9888-00A0C925F917} TerminalServices - Remotedesktopdienste-Konfiguration
{B9CCA4DE-E2B9-4CBD-BF7D-11B6EBFBDDF7} GPO_RegionalOptions - Einstellungserweiterung "Regionale Einstellungen"
{BACF5C8A-A3C7-11D1-A760-00C04FB9603F} SoftwareInstallationUsers_1 - Softwareinstallation (Benutzer) - GPEdit
{BD95BA60-2E26-AAD1-AD99-00AA00B8E05A} ServiceDependencies - Dienstabhängigkeiten
{BEE07A6A-EC9F-4659-B8C9-0B1937907C83} GPO_Registry - Einstellungserweiterung "Registrierung"
{BFCBBEB0-9DF4-4c0c-A728-434EA66A0373} GPO_NetworkShares - Einstellungserweiterung "Netzwerkfreigaben"
{C11D2F3B-E2F4-4e5b-824B-84A87AB0F666} DomainGPOEditorSnapIn - Gruppenrichtlinienverwaltungs-Editor
{C2FE4500-D6C2-11D0-A37B-00C04FC9DA04} IPRouting - IP-Routing
{C2FE4502-D6C2-11D0-A37B-00C04FC9DA04} DHCPRelayMgmt - DHCP-Relayverwaltung
{C2FE4504-D6C2-11D0-A37B-00C04FC9DA04} RIPRouting - RIP-Routing
{C2FE4506-D6C2-11D0-A37B-00C04FC9DA04} OSPFRouting - OSPF-Routing
{C2FE4508-D6C2-11D0-A37B-00C04FC9DA04} IGMPRouting - IGMP-Routing
{C2FE450B-D6C2-11D0-A37B-00C04FC9DA04} ConnectionSharingNAT - Gemeinsame Verbindungsnutzung (NAT)
{c40d66a0-e90c-46c6-aa3b-473e38c72bf2} FolderRedirection_2 - Ordnerumleitung - RSoP
{C9BC92DF-5B9A-11D1-8F00-00C04FC2C17B} ComponentServices - Komponentendienste
{CAB54552-DEEA-4691-817E-ED4A4D1AFC72} GPO_ScheduledTasks - Einstellungserweiterung "Geplante Aufgaben"
{CC5746A9-9B74-4be5-AE2E-64379C86E0E4} GPO_Services - Einstellungserweiterung "Dienste"
{CEFFA6E2-E3BD-421B-852C-6F6A79A59BC1} GPO_Shortcuts - Einstellungserweiterung "Verknüpfungen"
{CF848D48-888D-4F45-B530-6A201E62A605} GPO_StartMenu - Einstellungserweiterung "Startmenü"
{D2779945-405B-4ACE-8618-508F3E3054AC} FailoverClusters - Failovercluster-Manager
{d524927d-6c08-46bf-86af-391534d779d3} IEMaintenance_2 - Internet Explorer-Wartung - RSoP
{D70A2BEA-A63E-11D1-A7D4-0000F87571E3} GroupPolicyTab - Registerkarte "Gruppenrichtlinien" für Active Directory-Programme
{D967F824-9968-11D0-B936-00C04FD8D5B0} ActiveDirSitesServices - Active Directory-Standorte und -Dienste
{DAB1A262-4FD7-11D1-842C-00C04FB6C218} Routing - Routing
{dbfca500-8c31-11d0-aa2c-00a0c92749a3} DiskManagementSnapInExtension - Datenträgerverwaltungserweiterung
{de751566-4cc6-11d1-8ca0-00c04fc297eb} CertAuth - Zertifizierungsstelle
{DEA8AFA0-CC85-11d0-9CE2-0080C7221EBD} IPSecManage_GP - IP-Sicherheitsrichtlinienverwaltung - GPEdit
{DEA8AFA2-CC85-11d0-9CE2-0080C7221EBD} IpSecManage - IP-Sicherheitsrichtlinienverwaltung
{E12BBB5D-D59D-4E61-947A-301D25AE8C23} GroupPolicyManagementSnapIn - Gruppenrichtlinienverwaltung
{E26D02A0-4C1F-11D1-9AA1-00C04FC3357A} Telephony - Telefonie
{E355E538-1C2E-11D0-8C37-00C04FD8FE93} ActiveDirUsersComp - Active Directory-Benutzer und -Computer
{EBC53A38-A23F-11D0-B09B-00C04FD8DCA6} ActiveDirDomTrusts - Active Directory-Domänen und -Vertrauensstellungen
{f78fbadd-c21a-4e0a-b53d-c879a9c8f002} DFSSnapInExtension - DFS-Verwaltungserweiterung
{f8abd46c-1297-4474-9cdf-831ebb245f49} FileServerResourceManagerSnapIn - Ressourcen-Manager für Dateiserver
{f8abd46e-1297-4474-9cdf-831ebb245f49} FileServerResourceManagerSnapInExtension - Ressourcen-Managererweiterung für Dateiserver
{f9f63d92-6225-410b-bb02-26239b8f1f59} ShareandStorageManagementSnapInExtension - Freigabe- und Speicherverwaltungserweiterung
{FC715823-C5FB-11D1-9EEF-00A0C90347FF} IEMaintenance_1 - Internet Explorer-Wartung - GPEdit
{FD57D297-4FD9-11D1-854E-00C04FC31FD3} QoSAdmission - QoS-Zugangssteuerung
{fe883157-cebd-4570-b7a2-e4fe06abe626} SecuritySettings_2 - Sicherheitseinstellungen - RSoP
{FF5903A8-78D6-11D1-92F6-006097B01056} FrontPageExt - FrontPage-Servererweiterungen

Anmerkung: Nicht alle diese Snapins sind für GPOs relevant...

No comments:

Post a Comment