Uma das milhares tarefas de um Administrador de Redes é gerenciar usuários, grupos e computadores da empresa. Então imagine que você trabalhe em uma empresa que tem 1.500 máquinas, e é necessário mudar o Papel de Parede dessas máquinas, seria uma tarefa totalmente exaustiva e trabalhosa passar em todas as máquinas e mudar o papel de uma por uma.

É ai que entra o Group Policy(GPO), que é capaz de gerenciar regras e políticas de uma rede que esteja em um dominio, e gerenciar tudo isso por grupos ou OUs, que tornar essa tarefa mais facíl e rapida, podendo assim configurar uma política de mudança de Papel de Parede, e no próximo login do usuário essa mudança já será aplicada.

O objetivo deste artigo é explicar como criar uma GPO, para execução de scripts de powershell(.ps1)


Configurando a GPO

Imaginando que você já tenha um Servidor que é controlodador de dóminio, abra o Gerenciamento de Política de Grupo ou Executar > gpmc.msc.

Com ele aberto clique com o botão direito sobre a Àvore do seu dóminio, e depois clique em Criar um GPO para esse dóminio e fornecer um link para ele, como mostra na imagem à baixo.

01

Defina um nome para a sua GPO, eu coloquei como Powerinvent, porque estou aproveitando que preciso criar uma política para escrever esse artigo, mas você pode por qualquer outro.

02

Com o nome definido, só é preciso clicar em OK. Feito isso clique com o botão direito do mouse sobre a GPO que você acabou de criar e clique em Editar.

Selecionando o script

Com a janela de edição aberta, siga o seguinte caminho da Àrvore para que você chegue no lugar correto para selecionar o script à ser executado via GPO.

Configurações do Usuário > Configurações do Windows > Script (Logon/Logoff)

03

Porque Usuário e não Computador ?

Definir políticas por usuário é a maneira que eu recomendo não necessáriamente quer dizer que seja a correta, eu sempre coloco por usuário, porque quando você define uma GPO você está mudando os registros da máquina e isso faz com que só mude o registro do usuário e não da máquina, ou seja caso eu defina uma pólica para o grupo de RH, para que ele não acesse as configurações do explorer, e eu que tenho o usuário no grupo de T.I, acessar a mesma máquina com o meu usuário eu vou conseguir acessar, porque eu não pertenço ao grupo de RH, logo a política não se aplica ao meu usuário.

Voltando

Ao seu lado esquerdo selecione se você deseja que o script seja executado no Logon ou no Logoff do usuário, vá até a guia Scripts do Powershell, caso o seu script seja do tipo .batou até mesmo .vbs, não se preocupe você não leu tudo isso à toda, você pode selecionar o script na guia Scripts.

04

Agora clique em adicionar e coloque o caminho de onde está o seu script, lembrando que se caso você tenha a intenção de executar para todos os computadores da sua rede, o script deve está em um compartilhamento que todos tenham acesso de pelo menos execução.

05

Com o script selecionado clique apenas em OK.

Mas quem vai pegar essa política?

Você quem define isso, você pode colocar a política para se aplicada à grupos ou usuários, isso você pode fazer também no Gerenciamento de Política de Grupo, clicando em Adicionar, como mostra a imagem à baixo, no meu caso eu deixei para todo, ou seja quero que todo mundo pegue essa política, sem restrição de grupo.

06

Para ver se a pólitica já foi aplicada ao usuário você precisar ir até a máquina e digitar o comando no CMD/Powershell:

gpresult /r

O resultado deve ser o seguite:

06

Como podem ver na imagem, a política de GPO chamada powerinvent que eu criei já foi aplicada ao usuário que estou usando.

É possível fazer muitas coisas com a GPO, você pode explorar tudo, mas tome cuidado algumas coisas podem ser inreversiveis, sendo necessário que você crie uma política reversa, ou seja se você fez uma para bloquear, será necessário uma para liberar, porque como eu disse isso mexe com os registro da máquina.

\vlw