Uma das milhares tarefas de um Administrador de Redes é gerenciar usuários, grupos e computadores da empresa. Então imagine que você trabalhe em uma empresa que tem 1.500 máquinas, e é necessário mudar o Papel de Parede dessas máquinas, seria uma tarefa totalmente exaustiva e trabalhosa passar em todas as máquinas e mudar o papel de uma por uma.

É ai que entra o Group Policy(GPO), que é capaz de gerenciar regras e políticas de uma rede que esteja em um domínio, e gerenciar tudo isso por grupos ou OUs, que torna essa tarefa mais facíl e rápida, podendo assim configurar uma política de mudança de Papel de Parede, e no próximo login do usuário essa mudança já será aplicada.

O objetivo deste artigo é explicar como criar uma GPO, para execução de scripts de powershell(.ps1)


Configurando a GPO

Imaginando que você já tenha um Servidor que é controlodador de domínio, abra o Gerenciamento de Política de Grupo ou Executar > gpmc.msc.

Com ele aberto clique com o botão direito sobre a Àvore do seu domínio, e clique em Criar um GPO para esse domínio e fornecer um link para ele, como mostra na imagem à baixo.

01

Defina um nome para a sua GPO, eu coloquei como Powerinvent, porque estou aproveitando que preciso criar uma política para escrever esse artigo, mas você pode por qualquer outro.

02

Com o nome definido, só é preciso clicar em OK. Feito isso clique com o botão direito do mouse sobre a GPO que você acabou de criar e clique em Editar.

Selecionando o script

Com a janela de edição aberta, siga o seguinte caminho da árvore para que você chegue no lugar correto e selecionar o script à ser executado via GPO.

Configurações do Usuário > Configurações do Windows > Script (Logon/Logoff)

03

Porque Usuário e não Computador ?

Definir políticas por usuário é a maneira que eu recomendo não necessáriamente quer dizer que seja a correta, eu sempre coloco por usuário, porque quando é definida uma GPO, você está mudando os registros da máquina e isso faz com que só mude o registro do usuário e não da máquina, ou seja caso eu defina uma política ao grupo de RH, para que ele não acesse as configurações do explorer, e eu que tenho o usuário no grupo de T.I, ao acessar a mesma máquina com o meu usuário eu vou conseguir ter acesso as configurações do explorer, porque eu não pertenço ao grupo de RH, logo a política não se aplica ao meu usuário.

Voltando

Ao seu lado esquerdo selecione se você deseja que o script seja executado no Logon ou no Logoff do usuário, vá até a guia Scripts do Powershell, caso o script seja do tipo .batou até mesmo .vbs, não se preocupe você não leu tudo isso à toa, você pode selecionar ele na guia Scripts.

04

Agora clique em adicionar e coloque o caminho onde está o seu script, lembrando que caso você tenha a intenção de executar para todos os computadores da sua rede, o script deve estar em um compartilhamento que todos possam ter acesso de pelo menos execução e leitura.

05

Com o script selecionado clique apenas em OK.

Mas quem vai pegar essa política?

Você quem define isso, podendo colocar a política para se aplicada à grupos ou usuários, também podendo fazer no Gerenciamento de Política de Grupo, clicando em Adicionar, como mostra a imagem à baixo, no meu caso eu deixei para todos, ou seja quero que todo mundo pegue essa política, sem restrição de grupos ou usuários.

06

Para ver se a pólitica já foi aplicada ao usuário será necessário ir até a máquina e digitar o comando no CMD/Powershell:

gpresult /r

O resultado deve ser o seguite:

06

Como podem ver na imagem, a política de GPO chamada powerinvent que eu criei já foi aplicada ao usuário que estou usando.

É possível fazer muitas coisas com GPO, você pode explorar tudo, mas tome cuidado algumas coisas podem ser inreversiveis, sendo necessário que você crie uma política reversa.

\abraço