Gruppenrichtlinien verwalten mit der PowerShell

Gruppendynamik

Das PowerShell-Modul "GroupPolicy" bietet Cmdlets, die den Funktionen der Gruppenrichtlinienverwaltungskonsole beziehungsweise der zugehörigen COM-Komponente "GPM" entsprechen. Doch anders als bei der "GPM"-COM-Komponente lassen sich mit den PowerShell-Cmdlets auch Einstellungen innerhalb der Gruppenrichtlinien vornehmen.
Die Endgeräte in Unternehmen stellen das wohl größte Einfallstor für Angreifer dar. Ein geöffneter, infizierter E-Mail-Anhang oder der Besuch einer ... (mehr)

Das PowerShell-Modul "GroupPolicy" gibt es seit Windows Server 2008 R2. Mit der Installation der Remoteserver-Verwaltungstools [1] ist es auch auf einem Windows-Client ab Windows 7 nutzbar. Die Dokumentation zu diesem Modul findet sich auf dem neuen Microsoft-Dokumentationsserver [2].

Wichtige Cmdlets für GPO

Die zentralen Cmdlets in diesem PowerShell-Modul sind:

- Get-GPO: Listet alle Gruppenrichtlinien (Parameter "-all") auf beziehungsweise erlaubt Zugriff auf eine bestimmte Gruppenrichtlinie über die Angabe von "-Name" oder "-Guid". Leider erlaubt

"-Name" keine Platzhalter, weshalb Sie also mit dem Where-Object-Cmdlet suchen müssen. Die Datenobjekte sind vom Typ "Microsoft.GroupPolicy.GPO". Die Beispiele in Listing 1 zeigen die Anwendung des Get-GPO-Cmdlets.

- New-GPO: Erzeugt eine neue, leere Gruppenrichtlinie.

- Remove-GPO: Entfernt eine Gruppenrichtlinie sowohl aus dem Active Directory als auch aus dem System Vol-ume Folder (SysVol). Anders als bei der GPM-COM-Komponente werden dadurch auch alle Verknüpfungen (Links) entfernt. Aber Achtung: Das Cmdlet fragt im Standard nicht nach, ob die Richtlinien wirklich gelöscht werden sollen, selbst dann nicht, wenn es Verknüpfungen gibt.

- Rename-GPO: Umbenennen einer Gruppenrichtlinie.

- Copy-GPO: Kopieren einer Gruppenrichtlinie (auch zwischen Domänen in einer AD-Gesamtstruktur). Beim Kopieren zwischen Domänen lassen sich Einstellungen ändern.

- New-GPStarterGPO: Erstellen einer neuen, auf andere Domänen transferierbaren Gruppenrichtlinienvorlage ("Starter GPO", vergleiche GPMC seit Version 2.0).

- Get-GPStarterGPO: Auflisten der Gruppenrichtlinienvorlagen.

- Invoke-GPupdate: Startet eine Aktualisierung der Gruppenrichtlinien auf einem PC (wie "gpupdate.exe"). Eine Fernausführung ist möglich mit dem

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021