Das primäre Device zum Verwalten von Gruppenrichtlinienobjekten (GPOs) in einer Energetic Listing-Domäne ist die grafische Gruppenrichtlinien-Verwaltungskonsole (GPMC.msc). Um die Leistung einiger GPO-Verwaltungsaufgaben in Energetic Listing zu automatisieren und zu verbessern, können Sie PowerShell verwenden, das mehrere GPO-Verwaltungsfunktionen bereitstellt.

Wie installiere ich das PowerShell-Modul für die Gruppenrichtlinienverwaltung?

Um Domänen-GPO zu verwalten, muss die Gruppenrichtlinie Modul muss auf Ihrem Laptop installiert sein. Dieses Modul ist auf Home windows Server verfügbar, nachdem die Gruppenrichtlinienverwaltungsfunktion installiert wurde. Sie können diese Funktion über die Server-Supervisor-Konsole oder mit PowerShell ausführen:

Set up-WindowsFeature GPMC -IncludeManagementTools

Installieren Sie das Powershell-Modul für die Gruppenrichtlinienverwaltung auf dem Windows-Server

Wenn Sie GPOs von einer Workstation aus verwalten möchten, auf der eine Home windows 10- oder 11-Desktop-Version ausgeführt wird, installieren Sie das Gruppenrichtlinienmodul über RSAT:

Upload-WindowsCapability -On-line -Title Rsat.GroupPolicy.Control.Equipment~~~~0.0.1.0

Sie können eine vollständige Liste der PowerShell-Cmdlets im GroupPolicy-Modul mit dem folgenden Befehl anzeigen:

Get-Command –Module GroupPolicy

Gruppenrichtlinien-Powershell-Cmdlets

Mit dem GroupPolicy PowerShell-Modul können Sie:

  • GPO erstellen und entfernen;
  • GPO mit/von einer OU verknüpfen/entkoppeln;
  • GPO sichern und wiederherstellen;
  • Legen Sie GPO-Berechtigungen fest oder konfigurieren Sie die Vererbung.

Erstellen und Verwalten von GPOs mit PowerShell

Sehen wir uns einige typische Verwaltungsaufgaben an, bei denen Sie PowerShell zum Verwalten von Gruppenrichtlinien verwenden können.

Um ein neues leeres Gruppenrichtlinienobjekt zu erstellen, verwenden Sie diesen Befehl:

New-GPO -Title munTestGPO -Remark "My First GPO with PowerShell"

Wenn Starter-GPOs in Ihrer Domäne erstellt werden, können Sie eine neue Gruppenrichtlinie erstellen, indem Sie eine der Vorlagen verwenden (z. B. die bestimmten Sicherheitsbaseline-Einstellungen):

New-GPO -Title munTestGPO2 -StarterGPOName "Home windows 10 Safety Baseline"

Verwenden Sie die Neu-GPLink Cmdlet, um ein Gruppenrichtlinienobjekt mit einer OU zu verknüpfen:

Get-GPO munTestGPO | New-GPLink -Goal "ou=take a look at,ou=munich,dc=woshub,dc=com"

Erstellen Sie eine neue GPO mit Powershell

So trennen Sie ein GPO von einer OU:

Take away-GPLink -Title munTestGPO -Goal "ou=take a look at,ou=munich,dc=woshub,dc=com"

Wenn Sie GPO deaktivieren möchten, ohne einen Hyperlink zu entfernen, verwenden Sie die Set-GPLink cmdlet:

Set-GPLink -name munTestGPO -Goal "ou=take a look at,ou=munich,dc=woshub,dc=com" -linkenabled no

Das GPO gilt nicht mehr für die OU, bleibt aber verknüpft.

Wenn Sie die Anwendung eines Gruppenrichtlinienobjekts erzwingen möchten, fügen Sie die hinzu -Erzwungen Ja Möglichkeit.

Verknüpfen Sie ein GPO mit einer OU mit dem Powershell-Cmdlet set-gplink

Der folgende PowerShell-Einzeiler erstellt ein neues GPO, um einen Registrierungsparameter zu ändern (deaktiviert die automatische Treiberaktualisierung), beschränkt die Richtlinie auf die bestimmte Sicherheitsgruppe und verknüpft sie mit der Organisationseinheit:

$key = 'HKLMSOFTWAREMicrosoftWindowsCurrentVersionDriverSearching'
New-GPO 'munDisableDriverUpdate' | Set-GPRegistryValue -Key $key `
-ValueName 'SearchOrderConfig' -Sort DWORD -Price 0 | Set-GPPermissions -Substitute `
-PermissionLevel None -TargetName 'Authenticated Customers' -TargetType staff | `
Set-GPPermissions -PermissionLevel gpoapply -TargetName 'mun_admins' `
-TargetType staff | New-GPLink -Goal "ou=take a look at,ou=munich,dc=woshub,dc=com" –Order 1

Mit dem PowerShell-Modul können Sie den Wert der GPO-Optionen aus den administrativen GPO-Vorlagen (ADMX) nicht ändern. Sie können nur die Registrierungseinstellungen bearbeiten, die über die Gruppenrichtlinieneinstellungen bereitgestellt werden.

Du kannst den … benutzen Get-GPO Cmdlet, um Informationen zu einem bestimmten Gruppenrichtlinienobjekt oder allen Richtlinien in Ihrer Domäne anzuzeigen. Das Cmdlet gibt eine Richtlinien-GUID (diese wird häufig benötigt, um die Anwendung von GPO zu diagnostizieren oder GPO-Replikationsprobleme beim Überprüfen der Energetic Listing-Integrität zu beheben), die GPO-Erstellungs-/Änderungszeit und die angewendeten GPO-WMI-Clear out zurück.

Get-GPO -Area woshub.com -All

Get-GPO-Liste in der Active Directory-Domäne

Sie können die Einstellungen eines mit einem GPO verknüpften WMI-Filters anzeigen (aber Sie können die Filtereinstellungen nicht ändern):

(Get-GPO munWin10Settings).WmiFilter

Um Gruppenrichtlinieneinstellungen auf Remotecomputern zu aktualisieren, muss die Invoke-GPUpdate Cmdlets verwendet. Sie können GPO auf einem bestimmten Laptop aktualisieren:

Invoke-GPUpdate -Laptop "corpwks-mn0223" -Goal "Consumer"

Oder auf allen Computern in einer OU:

Get-ADComputer –clear out * -Searchbase "ou=Computes,OU=MUNICH,dc=woshub,dc=com" | foreach{ Invoke-GPUpdate –laptop $_.call -force}

Die Get-GPOReport Cmdlet wird verwendet, um den HTML/XML-Bericht mit Richtlinieneinstellungen abzurufen:

Get-GPOReport -name mun-BitlockerEncryption -ReportType HTML -Trail "C:psbitlocker_policy.html"

In diesem Fall haben wir alle Einstellungen der Richtlinie zum automatischen Speichern von BitLocker-Schlüsseln in AD angezeigt.

get-gpreport

Mit dem Cmdlet Get-GPResultantSetofPolicy können Sie einen Ergebnisbericht (RSoP – Resultant Set of Coverage) zu den angewendeten Gruppenrichtlinien für den angegebenen Benutzer und/oder Laptop erstellen. Dieser Bericht sieht aus wie ein HTML-Bericht, der mit dem gpresult-Device (GPResult /h c:psgp-report.html /f). Das Cmdlet ermöglicht es, einen resultierenden GPO-Bericht von einem Faraway-Laptop zu erhalten:
Get-GPResultantSetOfPolicy -user m.muller -computer corpwks-mn0223 -reporttype html -path c:psgp_rsop_report.html

Wie kann guy GPOs mit PowerShell sichern und wiederherstellen?

Mit PowerShell können Sie GPOs in Ihrer Energetic Listing-Domäne sichern und wiederherstellen.

Um alle Gruppenrichtlinienobjekte im angegebenen Ordner zu sichern:

Backup-GPO -All -Trail C:BackupGPOs

Oder nur ein Gruppenrichtlinienobjekt:
Backup-GPO -Title munWin10Settings -Trail C:BackupGPOs -Remark "Backup GPO with PowerShell 2022/28/03"

Um ein GPO wiederherzustellen, wird der folgende Befehl verwendet:

Repair-GPO -Title munWin10Settings -Trail C:BackupGPOs

Sie können einige GPO-Sicherungsversionen in einem einzigen Ordner aufbewahren. Um eine bestimmte GPO-Model wiederherzustellen, müssen Sie ihre Sicherungs-ID (32-Bit-Kennung) angeben:

Repair-GPO -Trail ″C:GPO Backups″ -BackupID 7654321-4321-4321-CCC-1234567890


https://aspiringsysadmin.com/