Automatizando o gerenciamento de GPOs


Aproveitando o assunto automação, tema do meu último post, decidi abordar novamente um recurso que mesmo já bem conhecido nas versões anteriores do Windows Server, constitue numa ferramenta fundamental para o processo de automação da infra de TI.

Os profissionais de TI de organizações médias e grandes normalmente precisam criar muitas GPOs para definir as configurações do computador, que variam da área de trabalho ao tempo limite da proteção de tela. A Microsoft oferece as ferramentas Editor de Objeto de Diretiva de Grupo e GPMC (Group Policy Management Console - Console de Gerenciamento de Diretiva de Grupo) para que os administradores possam criar e atualizar os GPOs. No entanto, como há milhares de configurações possíveis, a atualização de múltiplos GPOs pode ser demorada, repetitiva e sujeita a erros.

Antes do Windows 7, a automação de GPOs se limitava ao seu gerenciamento. Por exemplo, os profissionais de TI podiam criar ou conectar um GPO, mas não podiam alterar as configurações dentro deles. O acesso às APIs (application programming interfaces – interfaces de programação de aplicações) do GPMC também exigia as habilidades de um desenvolvedor.

Depois de instalar a RSAT (Remote Server Administration Tools - Ferramentas de Administração de Servidor Remoto) do Windows Server 2008 R2, um download do microsoft.com que inclui o GPMC para Windows 7, você pode usar o PowerShell para automatizar tanto o gerenciamento de GPOs como a elaboração de configurações baseadas em registro (disponíveis através dos modelos administrativos ADM ou ADMX). Essa funcionalidade permite aos profissionais de TI assumir total controle dos GPOs, usando estes cmdlets:

Backup-GPO

Block-GPInheritance

Copy-GPO

Get-GPO

Get-GPOReport

Get-GPPermissions

Get-GPPrefRegistryValue

Get-GPRegistryValue

Get-GPResultantSetOfPolicy

Get-GPStarterGPO

Import-GPO

New-GPLink

New-GPO

New-GPStarterGPO

Remove-GPLink

Remove-GPO

Remove-GPPrefRegistryValue

Remove-GPRegistryValue

Rename-GPO

Restore-GPO

Set-GPLink

Set-GPPermissions

Set-GPPrefRegistryValue

Set-GPRegistryValue

Get-GPInheritance

Talvez sua organização precise criar GPOs diferentes para múltiplas unidades de negócios, e cada GPO varia de acordo com duas configurações: o tempo de espera até o início da proteção de tela, e a exigência ou não de uma senha para desbloqueá-la. Em uma organização com seis unidades de negócios, cada uma com requisitos diferentes, os administradores normalmente têm que criar os GPOs manualmente e definir as configurações para cada um, dentro da interface de usuário, o que pode ser muito demorado. Com o Windows 7 e o PowerShell, o administrador pode escrever um script que use uma matriz contendo os nomes das unidades de negócios e configurações de GPO exclusivas. O script pode então iterar através da matriz e criar cada GPO em questão de segundos.

Um abraço,

Rodrigo Dias (Twitter: https://twitter.com/rodrigodias73)


Comments (2)
  1. Godoi says:

    Existe alguma forma de gerar um relatório de uma GPO aplicada para o grupo “domain users” de um domínio, cuja função é alterar a pagina inicial de Internet Explorer, Ou seja, gerar uma lista de todos os computadores de domínio que receberam, os que não receberam e os que tiverem erro na aplicabilidade dessa GPO?

  2. Godoi says:

    Contato: rfdgodoi@ig.com.br

    Obrigado!

Comments are closed.

Skip to main content