Cómo desplegar un GPO Script con código de PowerShell

Descubre cómo desplegar un GPO Script con código de PowerShell para poder realizar distintas configuraciones en tu infraestructura basada en AD DS Server.

 

Las directivas de grupo, también conocidas como GPO, explicado de manera muy coloquial, son un conjunto de reglas que se establecen dentro de un dominio de Active Directory y que se ejecutan en los distintos sistemas que hacen uso de este servicio, aplicándose sobre usuarios y equipos y determinando que puede hacer un usuario, que software puede instalar o usar, a que recursos puede acceder, etc.

 

¿Cómo desplegar un GPO Script con código de PowerShell?

 

Pre-requisitos y recomendaciones:

 

Para completar de forma satisfactoria este tutorial y poder desplegar un GPO Script con código de PowerShell será necesario:

  • Estar dado de alta en la Plataforma y estar registrado en la misma tras hacer Log-in.
  • Tener una máquina Windows Server con AD DS Server instalado.
  • Una cuenta con permisos de administrador.

 

Paso 1. Preparación del código a ejecutar

En este caso, vamos a ver cómo podemos desplegar una GPO que ejecute un código de PowerShell, haciendo uso de lo que comúnmente se llama GPO Script.

Lo primero que se debe hacer es preparar el código de PowerShell que se quiere ejecutar. Para este artículo y a modo de demostración se va a hacer un script que permita mapear un recurso de red a los usuarios que inicien sesión, pero realmente, este método se puede extrapolar para muchos otros procedimientos como mapear impresoras, desplegar software, crear copias de seguridad, etc.

Para mapear una unidad de red mediante PowerShell, se puede usar el comando “New-PSDrive” cuya sintaxis se puede ver desarrollada en este enlace a Microsoft Learn.

En este caso, se usará una versión simple como se muestra en la siguiente línea:

New-PSDrive –Name “P” –PSProvider FileSystem –Root “\\SW2022NACHO01\Compartido” –Persist

Donde:

  • Name: Indica el nombre de unidad (una letra) por el que podrá identificarse en el sistema.
  • Root: Indica la ruta raíz del recurso mapeado.
  • Persist: Indica que es remanente a reinicios.

Paso 1. Probamos el script para que no haya problemas

Paso 1. Probamos el script para que no haya problemas

Una vez se tenga el comando, comandos o script de PowerShell que se quiere utilizar, se deberá preparar la ejecución, y se deberá hacer de la misma forma en la que se preparaban los ficheros de ejecución por lotes clásicos que tenían extensiones como “.bat”, “.cmd”, “.vbs”, que en el caso de los scripts de PowerShell es la extensión “.ps1”.

 

Paso 2. Preparar la política para su ejecución

En este momento se debe lanzar la consola de administración de políticas de grupo de dominio, también llamada muchas veces “GPMC” por sus siglas en inglés y cuyo ejecutable es “GPMC.msc”. Esta consola deberá lanzarse con privilegios de administrador. Esta consola también se puede lanzar desde la sección de herramientas del Administrador del Servidor.

Paso 2. Lanzamos la consola de GPMC desde el menú de herramientas del administrador del servidor

Paso 2. Lanzamos la consola de GPMC desde el menú de herramientas del administrador del servidor

Una vez arrancada la consola, se debe hacer clic con el botón derecho sobre el nombre de dominio y seleccionar la opción de “Crear una GPO en este dominio y vincularlo aquí”.

Paso 2. Seleccionamos la opción de Crear una GPO en este dominio y vincularlo aquí

Paso 2. Seleccionamos la opción de Crear una GPO en este dominio y vincularlo aquí

En este momento se mostrará una ventana emergente en la que se deberá dar nombre a la nueva GPO.

Paso 2. Proporcionamos un nombre a la nueva GPO

Paso 2. Proporcionamos un nombre a la nueva GPO

En este punto se habrá cambiado al “Administrador de directivas de grupo”. Se debe buscar la GPO que acabamos de crear, hacer clic en el botón derecho sobre la GPO y seleccionar la opción “Editar”.

Paso 2. Editamos la GPO que acabamos de crear

Paso 2. Editamos la GPO que acabamos de crear

Con esto se mostrará el editor de la GPO, pero sin haber elegido ninguna ruta, ya que aterrizará en una zona neutral.

Paso 2. Vista general del editor de GPO

Paso 2. Vista general del editor de GPO

En este momento se debe pensar en qué tipo de implementación de GPO queremos realizar.

Podemos optar por una de estas dos opciones, en función de si se va a aplicar sobre el equipo o el usuario:

  • Iniciar y apagar equipo: Para lanzar el script de PowerShell al iniciar o apagar el equipo, se debe ir a “Configuración del equipo > Directivas > Configuración de Windows > Scripts (Inicio o apagado)”.
  • Iniciar y cerrar la sesión: Para lanzar el script de PowerShell al iniciar o cerrar la sesión de usuario, se debe ir a “Configuración de usuario > Directivas > Configuración de Windows > Scripts (inicio y cierre de sesión)”.

En nuestro caso, lo vamos a lanzar durante el inicio de la sesión de usuario por lo que tomaremos la segunda opción, desplegando por ello toda la ruta para a continuación seleccionar la opción “Iniciar sesión”, hacer clic sobre ella con el botón derecho y seleccionar propiedades y a continuación ir a la pestaña “Scripts de PowerShell”.

Paso 2. Accedemos a la ruta de inicio de sesión y seleccionamos scripts de PowerShell

Paso 2. Accedemos a la ruta de inicio de sesión y seleccionamos scripts de PowerShell

Por último, le damos a “Agregar”, buscamos la ruta donde se guarda el script que hemos creado previamente y lo seleccionamos.

Paso 2. Cargamos el script para su ejecución

Paso 2. Cargamos el script para su ejecución

Con esto, el script y la GPO deberían estar en funcionamiento. Para comprobarlo se puede ir al Administrador de directivas de grupo, buscar la GPO que se ha creado al principio, ver su estado y si se puede ver vinculado el script.

Paso 2. Comprobamos que la GPO del script está activo

Paso 2. Comprobamos que la GPO del script está activo

 

Conclusiones

Tal como se puede ver en este tutorial, se pueden preparar políticas de grupo (GPO) que lancen comandos o scripts de PowerShell o de otro tipo de código para desencadenar acciones sobre los objetos de nuestro dominio (Usuarios, grupos, Equipos) de manera sencilla siguiendo la formula descrita más arriba.

Para completar esta información, recomendamos que visites los siguientes enlaces, donde podrás ver información adicional y algunos ejemplos de operativas que se pueden realizar en base a directivas de grupo, como, por ejemplo:

¡Gracias por acompañarnos!

Categorías:Servidores

Rellena el formulario y nuestro equipo de Sales contactará contigo lo antes posible.

growth@jotelulu.com  |  +34 911 333 712  |  jotelulu.com 

Puedes darte de baja de estas comunicaciones en cualquier momento.  Consulta nuestra Política de privacidad.

Precios competitivos para la pyme y mucho más margen para el partner

Disaster Recovery ha sido diseñado, implementado y puesto en producción teniendo en cuenta dos premisas: Debe tener un precio atractivo para la pyme a la vez que deja un buen margen de beneficio a la empresa de IT que lo comercializa y gestiona.

DR_buen_precio_y_mas_margen

De esta manera, Disaster Recovery pretende ser un producto diferencial que permita incrementar la seguridad de todo tipo de empresas de manera asequible e implicando, además, rentabilidad para el distribuidor que lo comercializa.

Protege la infraestructura de tus clientes

Disaster Recovery permite replicar cualquier suscripción de infraestructura (Escritorio Remoto y Servidores) en otra zona de disponibilidad creando un entorno de alta disponibilidad y blindando así el servicio.

Replica en pocos pasos no sólo los discos sino todos los elementos que forman parte de cada suscripción:

  • Servidores: Instancias, discos, reglas de firewall, redes, IPs…
  • Escritorio Remoto: Usuarios, Aplicaciones, Licencias, Personalización…
DR_blinda_la_infraestructura

Tratamos de hacer fácil lo difícil

Las herramientas de Disaster Recovery existentes necesitan de conocimientos avanzados para poder ser gestionadas, implicando, muchas veces, un expertise difícil de alcanzar.

 

Disaster Recovery de Jotelulu busca hacer fácil lo difícil y plantea un despliegue muy sencillo basado en una configuración de tres pasos:

Origin (Primary Site)
Determina la ubicación de origen de la suscripción sobre la que se va a establecer el servicio de Disaster Recovery.

Destino (Recovery Site)
Establece la ubicación de destino (zona de disponibilidad) en la que quieres que se despliegue el Recovery Site.

Características de la réplica
Establece los datos asociados al número de copias que se quieren guardar y la frecuencia con la que se va a llevar a cabo la réplica.