Serviços
Plataforma
Suporte
Blog
Criar conta
Servidores
Servidores
Desktop
Remoto
Armazenamento
de Arquivos
Armazenamento
de Objetos
Migrações
Migrações
Disaster
Recovery
Marketplace de
Licenças
Comandos-Powershell-GPOS
V

Comandos de Powershell para deploy e gestão de GPOs (GPO Script)

Picture of Juan Ignacio Oller Aznar

Juan Ignacio Oller Aznar

Partilhar

Descubra connosco os comandos de Powershell para deploy e gestão de GPOs, para assim poder criar o seu próprio script de GPO para a implementação de políticas de grupo.

Há alguns anos que existe uma clara tendência de utilização do PowerShell para a administração do sistema operativo ou aplicações de servidores, bem como para a implementação de serviços e infraestruturas. Esta tendência é promovida tanto pela Microsoft como por muitos administradores, que cada vez mais se afastam do uso da consola gráfica de sempre.

Quem já experimentou a gestão de serviços com o PowerShell deve concordar que, embora seja mais difícil geri-los desta forma, pois a curva de aprendizagem é muito mais acentuada, o poder e a flexibilidade de trabalhar com este modelo baseado em comandos são muito maiores.

Por isso, e depois de vários artigos sobre a implementação de diferentes GPOs através de um ambiente gráfico, achamos conveniente olhar para a forma como poderíamos implementar GPOs através do uso de comandos do PowerShell, combinando os comandos descritos num ficheiro e criando assim o nosso próprio script de GPO para implementação de políticas.

NOTA: Devemos diferenciar entre a implementação de GPOs que executam código do PowerShell e a implementação de GPOs com o PowerShell. No primeiro caso, criamos um GPO que, ao arrancar, inicia a execução de um ficheiro que contém um script do PowerShell. No segundo caso, os comandos do PowerShell são usados ​​para iniciar ou configurar o GPO.

 

Começar a trabalhar com PowerShell e GPOs (GPO Script):

A seguir, vamos rever o que é preciso e o que podemos fazer com o PowerShell em relação às Políticas de Grupo (GPOs), embora não possamos incluir aqui todos os comandos que se podem usar. Serão abordados os mais importantes e os que são necessários para implementar GPOs, configurá-los, atualizá-los, gerar relatórios e excluí-los quando deixarem de ser necessários.

 

Importar o módulo PowerShell para GPOs:

Ao trabalhar com o PowerShell, devemos saber que existem inúmeros comandos e módulos de biblioteca, e que devemos importar alguns destes módulos para poder trabalhar com determinados serviços ou produtos e, além disso, estes têm a sua documentação própria que devemos também conhecer.

A primeira coisa que devemos saber é que instalar o “ActiveDirectory” é um requisito essencial. Pode ser instalado com o seguinte comando:

Import-Module ActiveDirectory

Este módulo instala tudo o que precisamos para gerir as Políticas de Grupo (GPO), mas se isso não acontecesse, poderíamos lançar o seguinte comando para importar tudo:

Import-Module GroupPolicy

 

Operações em GPOs disponíveis com PowerShell:

Para ter uma ideia do que podemos fazer com o PowerShell em termos de Políticas, podemos lançar um comando que nos permite listar todos os comandos contidos no módulo GPO:

Get-Command –Module GroupPolicy

 

Imagem. Lista de comandos do módulo de Políticas de Grupo
Imagem. Lista de comandos do módulo de Políticas de Grupo

 

Mesmo sem saber nada sobre o PowerShell, podemos adivinhar o que se pode fazer com estes comandos, mas vamos analisar brevemente as opções:

  • Consultas sobre os GPOs.
  • Criar, copiar e eliminar GPOs.
  • Vincular e desvincular GPOs.
  • Estabelecer permissões e heranças de GPOs.
  • Fazer backup e recuperar GPOs.

Para obter informações detalhadas sobre o módulo pode visitar o site Microsoft Learn.

Vamos ver como se podem realizar algumas das ações descritas.

 

Exibir os GPOs que temos no domínio:

Podemos executar uma consulta para mostrar todos os GPOs que temos no domínio. Para isso devemos utilizar o comando “Get-GPO”, fornecendo o nome do domínio como parâmetro. O comando é o seguinte:

Get-GPO -Domain <domínio> -All

Onde:

  • Domain <domínio>: Onde a string <domínio> deve ser substituída pelo nome do domínio com extensão (exemplo: pruebasnacho.int)

Este seria um exemplo:

Get-GPO -Domain pruebasnacho.int -All

 

Imagem. Lista de todos os GPOs do domínio
Imagem. Lista de todos os GPOs do domínio

 

Criar um novo GPO com PowerShell:

Para criar um novo GPO com PowerShell, vamos trabalhar como o faríamos com um GPO através da consola gráfica. A primeira coisa a fazer é criar um novo GPO em branco, com o comando:

New-GPO -Name <Nome> -Comment <Comentário>

Onde:

  • New-GPO: É o comando para criar um novo GPO.
  • -Name <Nome>: É o nome que queremos dar ao GPO. A string <Nome> deve ser substituída pelo nome.
  • -Comment <Comentário>: Fornece um comentário anexado ao GPO que serve como descrição. <Comentário> deve ser substituído pela descrição desejada.

Um exemplo de GPO pode ser:

New-GPO -Name PruebaGPO1 -Comment “Descrição da GPO feita com PowerShell”

 

Imagem. Criar um novo GPO com PowerShell
Imagem. Criar um novo GPO com PowerShell

 

Vincular um GPO a uma UO com PowerShell:

O próximo ponto a configurar geralmente é vincular o GPO a uma Unidade Organizacional (OU), que será a raiz a partir da qual a política será executada.

Neste caso, isto é feito com o comando “New-GPLink” para o qual é direcionado o GPO que foi criado. O comando executado terá este formato:

Get-GPO <Nome> | New-GPLink -Target “ou=zaragoza, dc=pruebasnacho, dc=int”

Onde:

  • Get-GPO <Nome>: Fornece o nome do GPO ao qual queremos vincular. A string <Nome> deve ser substituída pelo nome.
  • Target <Path_OU_Domínio>: O caminho da estrutura da UO à qual o GPO será vinculado. A string <Path_OU_Domain> deve ser substituída pelo caminho da OU num formato como o exemplo abaixo:

Um exemplo, que vincula à estrutura da UO da Delegação de Zaragoza dentro do Domínio TestsNacho.int:

Get-GPO PruebaGPO | New-GPLink -Target “ou=zaragoza,ou=delegaciones,dc=pruebasnacho,dc=int”

 

Imagem. Vincular o GPO a uma OU
Imagem. Vincular o GPO a uma OU

 

Desvincular um GPO de uma OU com PowerShell:

Para desvincular o GPO de uma Unidade Organizacional (OU), deve usar-se o comando “Remove-GPLink” com um formato como o mostrado abaixo:

Remove-GPLink -Name <Nome> -Target <Path_OU_Domínio>

Onde:

  • Name <Nome>: Fornece o nome do GPO que queremos desvincular. A string <Nome> deve ser substituída pelo nome.
  • Target <Path_OU_Domínio>: O caminho da estrutura da UO da qual o GPO será desvinculado. A string <Path_OU_Domain> deve ser substituída pelo caminho da OU num formato como o exemplo abaixo:

No seguinte exemplo podemos ver como se desvincula da estrutura da UO da Delegação de Zaragoza dentro do Domínio TestsNacho.int:

Remove-GPLink -Name PruebaGPO -Target “ou=zaragoza,ou=delegaciones,dc=pruebasnacho,dc=int”

 

Imagem. Desvincular o GPO de uma OU
Imagem. Desvincular o GPO de uma OU

 

Desativar um GPO sem desvinculá-lo da UO com PowerShell:

Outra opção é desativar temporariamente um GPO, sem desvinculá-lo da UO à qual está vinculado. Esta prática é feita geralmente para testes ou durante alterações, por isso dizemos que é temporária, mas também pode ser usada para desativar GPOs indefinidamente. No entanto, se for uma ação indefinida, é melhor desvincular e excluir, para evitar a acumulação de “lixo” .

Para desativar a vinculação de um GPO com uma UO, pode usar o seguinte comando:

Set-GPLink -Name  <Nome> -Target  <Path_OU_Domínio> -linkenabled no

Onde:

  • Name <Nome>: Fornece o nome do GPO que queremos desativar. A string <Nome> deve ser substituída pelo nome.
  • Target <Path_OU_Domínio>: O caminho da estrutura OU à qual o GPO está vinculado. A string <Path_OU_Domain> deve ser substituída pelo caminho da OU num formato como o exemplo abaixo:

Este exemplo é da UO da Delegação Zaragoza dentro do Domínio ProofsNacho.int:

Set-GPLink -Name PruebaGPO1 -Target “ou=zaragoza, dc=pruebasnacho, dc=int” -linkenabled no

 

Imagem. Desativar o GPO numa OU
Imagem. Desativar o GPO numa OU

 

Eliminar um GPO com PowerShell:

Quando precisar de eliminar um GPO porque está a causar problemas, deixou de ser útil ou simplesmente porque quer iniciar uma criação do zero, pode usar o comando “Remove-GPO” para eliminá-lo.

A sintaxe do comando é muito simples:

Remove-GPO -Name <Nome> -Domain <domínio>

Onde:

  • Name <Nome>: Fornece o nome do GPO que queremos excluir. A string <Nome> deve ser substituída pelo nome.
  • Domain <domínio>: É um parâmetro opcional. A string <domínio> deve ser substituída pelo nome do domínio com extensão (exemplo: pruebasnacho.int)

Este é um exemplo:

Remove-GPO -Name PruebaGPO -Domain “PruebasNacho.int”

Existe também a possibilidade de substituir o “Nome” e trabalhar com base no “Guid”, que é uma string alfanumérica que identifica de forma única o GPO no domínio. O comando seria:

Remove-GPO -Guid 0b14-50c-46dd-3e45-afa0-8b4d-331c-12bc -Domain “PruebasNacho.int”

 

Imagem. Eliminar o GPO de uma OU
Imagem. Eliminar o GPO de uma OU

 

Backup de GPOs com PowerShell (Perfeito para criar um GPO Script):

Para começar, é importante saber que fazer backup de um único GPO não é o mesmo que fazer backup de todos os GPOs existentes.

Para fazer uma cópia de segurança de todas as Políticas existentes num Controlador de Domínio, devemos executar o seguinte comando:

Backup-GPO -All -Path <Caminho_Destino>

Onde:

  • Path <Caminho_Destino>: deve conter o caminho absoluto do destino do backup.

Exemplo:

Backup-GPO -All -Path F:\Backups\ADDS\GPO\

Se quiser fazer uma cópia de um único GPO, deverá fazê-lo referindo-se ao nome que foi dado ao GPO:

Backup-GPO -Name <Nome> -Path <Caminho_Destino>

Onde:

  • Name <Nome>: Este é ser o nome do GPO do qual quer fazer backup.
  • Path <Caminho_Destino>: deve conter o caminho absoluto do destino do backup.

Como exemplo, temos:

Backup-GPO -Name PruebaGPO -Path F:\Backups\ADDS\GPO\

Existe a possibilidade de atribuir comentários que ajudarão a conhecer a data do backup, permitindo ordená-los e saber qual é que vamos recuperar.

Este seria um exemplo com “etiqueta”:

Backup-GPO -Name PruebaGPO -Path F:\Backups\ADDS\GPO\ – Comment “Backup PruebaGPO 20221107”

Nesta parte pode ser especialmente interessante fazer a conversão para script GPO, para programar backups das políticas e poder armazená-los num repositório seguro e assim evitar possíveis desastres.

 

Imagem. Criar uma cópia de segurança dos GPOs do domínio e validar a criação
Imagem. Criar uma cópia de segurança dos GPOs do domínio e validar a criação

 

Recuperar um GPO com PowerShell:

O caso da recuperação é significativamente semelhante ao do backup, o que favorece as operações e, principalmente, a memorização de como se faz.

Caso queiramos recuperar uma cópia de um GPO guardado, devemos executar o seguinte comando:

Restore-GPO -Name <Nome> -Path <Caminho_Destino> – Comment <Comentário>

Onde:

  • Name <Nome>: este é o nome do GPO que queremos recuperar.
  • Path <Caminho_Destino>: deve conter o caminho absoluto do destino do backup.
  • Comment <Comentário>: deve conter o comentário que foi dado ao backup e que se refere a um GPO específico num momento específico.

Um exemplo pode ser:

Restore-GPO -Name PruebaGPO -Path F:\Backups\ADDS\GPO\ – Comment “Backup PruebaGPO 20221107”

 

Atualizar um GPO com PowerShell:

Como qualquer pessoa que já trabalhou com políticas sabe, os GPOs nem sempre funcionam à primeira, ou melhor, nem sempre carregam ou atualizam as alterações na primeira vez. Em muitas ocasiões, é preciso forçar a execução de políticas manualmente. Para isso existe o comando CMD clássico:

Gpupdate /force

No caso do PowerShell, também há um comando que nos permite atualizar as políticas, o “Invoke-GPUpdate”, que geralmente é operado iniciando-o no computador onde se quer atualizar os GPOs:

Invoke-GPUpdate

Se queremos atualizar as políticas num computador remoto, podemos executar o seguinte comando:

Invoke-GPUpdate -Computer <computador>

Onde:

  • <computador>: é o nome do computador onde se quer atualizar as políticas. Será representado da seguinte forma: “domínio\computador” como “pruebasnacho\laptop1”.

Por exemplo:

Invoke-GPUpdate -Computer “pruebasnacho\laptop1”

Normalmente é executado para todos os GPOs, mas é possível decidir atualizar apenas aqueles relacionados com determinados utilizadores ou computadores. Nesse caso, para iniciá-lo apenas para certos usuários, devemos adicionar o modificador:

-Target “User”

E no caso de querer lançá-lo em computadores, o modificador seria:

-Target “Computer”

Por outro lado, é possível lançar a atualização do GPO numa Unidade Organizacional inteira com um pequeno script de uma linha, como:

Get-ADComputer –filter * -Searchbase <Path_OU> | foreach{ Invoke-GPUpdate –computer $_.name -force}

Onde:

  • Searchbase <Path_OU>: É o caminho do domínio onde a UO está localizada.

Para executá-lo na UO da delegação Zaragoza, por exemplo, teríamos:

Get-ADComputer –filter * -Searchbase “ou=zaragoza,ou=delegacoes,dc=pruebasnacho,dc=int” | foreach{ Invoke-GPUpdate –computer $_.name -force}

Se quisermos afetar o domínio inteiro, executamos o Searchbase na raiz do domínio.

Com isto, pode-se criar um GPO Script, que permite lançar atualizações de GPO nos computadores necessários ou até mesmo em todo o domínio.

 

Gerar um relatório de execução de GPO com PowerShell (e GPO Script):

Quando trabalhamos com políticas, pode surgir algum tipo de problema ou a necessidade de auditar o que estamos a fazer, para ver onde há falhas ou a forma como tudo está configurado.

Para poder fazer este tipo de relatórios, usamos o cmdlet “Get-GPOReport”, que gera um relatório cujo output pode ser configurado em formato HTML ou XML e que descreve as propriedades e configurações de políticas para um GPO específico ou para todos os GPOs no domínio.

Este relatório contém:

  • Informação do GPO.
  • Os seus vínculos.
  • Os filtros de segurança.
  • Filtros WMI.
  • A delegação.
  • A configuração de utilizadores e computadores.

Para obter este relatório, podemos usar o seguinte comando:

Get-GPOReport -name <Nome> -ReportType <HTML/XML> -Path <Caminho_Output>

Onde:

  • Name <Nome>: Nome do GPO do qual queremos o relatório.
  • ReportType <HTML/XML>: Especificação do formato: HTML ou XML.
  • Path <Caminho_Output>: O caminho absoluto onde o relatório gerado será guardado, incluindo o nome do ficheiro de destino. Por exemplo: “F:\Reports\ADDS\GPO\report.html”.

Assim seria um exemplo:

Get-GPOReport -name PruebaGPO -ReportType HTML -Path “F:\Informes\ADDS\GPO\report.html”

Se quiser gerar o relatório de todas as políticas, deve substituir o parâmetro “-name <Nome>” por “-all”.

 

Imagem. Gerar o relatório e comprovação do conteúdo.
Imagem. Gerar o relatório e comprovação do conteúdo.

 

Conclusão e próximos passos com PowerShell e GPO Script:

As Políticas de Grupo ou GPOs são uma das principais ferramentas para podermos manter a nossa infraestrutura bem gerida, de forma rápida e eficiente, principalmente quando esta possui um grande número de hosts.

Através desta ferramenta, é possível instalar software de forma automática ou fornecer configurações padrão a conjuntos de hosts que podemos definir com base na sua localização dentro da estrutura de AD DS, ou seja, de acordo com a Unidade Organizacional (OU) a que pertence.

Como tudo o que acontece no mundo da Microsoft, os GPOs podem ser geridos com comandos de PowerShell, e a maioria das tarefas relacionadas com GPOs pode ser realizada com um conjunto relativamente pequeno de cmdlets. Na verdade, com o conteúdo deste artigo, vai poder aprender como fazer deploy do seu próprio script de GPO para automatizar a implementação de políticas no seu AD DS Server.

Esperamos que este artigo tenha sido interessante. Se tiver alguma dúvida, recomendamos que leia o artigo “O que são GPOs e para que servem?“, que dá uma pequena ideia do que são GPOs e como são executados.

Para completar a informação, recomendamos que visite os seguintes links, onde poderá consultar informação adicional e ver alguns exemplos de operações que podem ser realizadas com base em políticas de grupo, como:

Obrigado por estar connosco!

Categorias:Cloud e sistemas

Outros artigos que podem interessar-lhe

+

Novas distribuições em Servidores: OpenSUSE e CentOS disponíveis

13 de Novembro de 2024
Temos novas distribuições em Servidores! Em resposta aos múltiplos pedidos de vários dos nossos parceiros, foi ativada a opção
Picture of Manuel Pérez Gómez-Miranda
+

Nova secção de Marketplace na configuração de servidores (Pandora FMS e 3CX)

13 de Novembro de 2024
Já é possível configurar modelos de diferentes softwares através do assistente de configuração de servidores. Inauguramos esta funcionalidade do
Picture of Manuel Pérez Gómez-Miranda
+

Armazenamento de Objetos: Integração com QNAP

13 de Novembro de 2024
Integração com QNAP! Agora é possível criar cópias sincronizadas entre dispositivos de armazenamento local QNAP e o nosso serviço
Picture of Manuel Pérez Gómez-Miranda
Linkedin-in Blog Twitter
Empresa
Serviços
Centro de Suporte
Contacto

Comercial

Servidores
Desktop Remoto
Armazenamento de Arquivos
Armazenamento de Objetos
Migrações
Disaster Recovery
Marketplace de Licenças
Español
Français
English
Vendas
Plataforma
Blog
Tutoriais
Suporte
Entrar
Registe-se