Não. Em todos os aspectos, realmente.
Um grande e bem conhecido multi-nacional onde eu moro, por exemplo, tem mais de 25.000 GPOs. Portanto, embora você possa pensar que possui muitos GPOs e muita complexidade (e talvez você também), isso não é um problema realmente solucionável. Organizações grandes e complexas com relacionamentos complexos têm diretórios grandes e complexos. Não há maneira de contornar isso.
A única solução real é o design, a aplicação e a administração adequados da sua estrutura de AD ... o que também não é uma tarefa fácil, ou algo que pode ser resolvido com "algumas ferramentas". E, novamente, mesmo com as políticas e políticas adequadas, você terminará com um AD relativamente grande e complicado. É apenas a natureza deste tipo de dados - há muito disso, e ele rastreia muitos relacionamentos e dependências, então é complexo. Natureza da besta.
Seu primeiro objetivo é decidir como você deseja organizar / projetar sua estrutura e hierarquias do AD, o que é um projeto por si só.
Depois de resolver isso, você deve passar para o relatório em seu ambiente atual, o que também não é uma tarefa trivial. Existem inúmeras ferramentas para isso, incluindo scripts antigos simples para consultar e buscar dados em LDAP, bem como ferramentas de terceiros. O Windows da Quest e as Ferramentas de Relatórios do Active Directory provavelmente seriam seu "padrão do setor" sobre o qual você pergunta, mas eles são caros, e não uma bala de prata por qualquer trecho. Por exemplo, uma reformulação da AD que fiz para uma empresa de aproximadamente 1.000 funcionários, o relatório de permissões de arquivos em seus servidores de arquivos gerou planilhas do Excel com mais de um quarto de milhão de linhas.
Depois de descobrir onde você quer estar e onde está agora, é preciso planejar um jeito de chegar lá. E, claro, isso tem que ser feito enquanto o ambiente está em execução, porque você não pode muito bem deixar o AD off-line por alguns meses enquanto você resolve as coisas. É importante notar que isso geralmente resulta na percepção de que é mais fácil e melhor defender um novo domínio ou floresta para o qual você "migra" o ambiente existente.
Finalmente, depois de ter feito tudo isso, é imperativo aplicar políticas e procedimentos e aplicados para proteger a estrutura e a organização do novo e / ou AD limpo, caso contrário você estará de volta na mesma bagunça que você começou, em nenhum momento.
Muito trabalho.
Dependendo do tamanho e do grau de desorganização do seu ambiente de AD, é melhor você apenas documentar seu ambiente de AD, abordar o assunto mais simples e implementar políticas ao limpar uma determinada área. Por exemplo, limpar membros do grupo removendo ex-funcionários e grupos em branco e implementar um procedimento em torno de separações de funcionários, como "execute o script a seguir para determinar associações a grupos e remover o antigo funcionário de todos os grupos".
mas de qualquer forma você chega lá, não há nenhuma ferramenta para fazer isso para você, e isso vai exigir um pouco de esforço para realizar.