Localizando GPOs Desvinculados do Dominio pelo PowerShell.

Livro-GPO-Banner
Livro: Tudo Sobre GPOs no Windows Server 2008. 2012 e 2016.

Com o tempo surge de esquecermos de excluir os GPOs que não estão mais vinculados no domínio. E isso, apesar de não ser uma boa prática, acontece com a grande maioria.  É por isto que neste post eu ensino como usar o Windows PowerShell para localizar os GPOs que não estão mais vinculados no domínio, cabendo a você excluir ou não, posteriormente.

Continuar lendo

Criando um GPO para obter, por meio do Console de Usuários e Computadores do Active Directory, os últimos logons feitos nas contas dos computadores.

Livro-GPO-Banner
Livro: Tudo Sobre GPOs no Windows Server 2008. 2012 e 2016.

Neste post você aprenderá como criar uma Política de Grupo para obter por meio do atributo “Gerenciador por”, da janela de Propriedades da conta de um computador, do Console de Usuários e Computadores do Active Directory, os últimos logons feitos nas contas dos computadores do domínio.

Toda conta de computador do domínio tem um atributo chamado “Gerenciado por”, encontrado nas propriedades da conta de um objeto, da janela Propriedades de, ilustrado na figura 1.1.

1
Figura 1.1 – Janela “Propriedades de” da conta do computador WIN-ILBCRFQR4D0 – Console Usuários e Computadores do Active Directory.


Este atributo permite que você especifique manualmente quem gerencia (ou usa) este computador. Será por meio dele, que informaremos o último logon feito na conta do computador.
Mas para isso, é preciso antes delegar uma única permissão extra do Active Directory para alteração neste atributo.

Definindo Permissão para Alterar o Atributo “Gerenciador Por”, da conta do computador – Active Directory. 

1. No Console de Usuários e Computadores do Active Directory, clique no botão Exibir, ilustrado na figura 1.2, e depois marque a opção Recursos Avançados, ilustrado ainda na mesma figura.

1
Figura 1.2 – Guia Exibir – Console Usuários e Computadores do Active Directory.

2.  Agora clique com o botão direito do mouse na OU que contém os computadores do seu domínio que terão o atributo Gerenciador por alterado, informando assim o último logon de usuário feito neles. 

3.  Em seguida, selecione a opção Propriedades, depois a guia Segurança, ilustrado na figura 1.3.

1
Figura 1.3 – Janela Propriedades – OU “Domain Controllers” – domínio diegogouveia.com.br.

4. Selecione agora o botão Adicionar. Agora aplique essa permissão aos usuários do domínio. Feito isso, clique no botão Aplicar e em “Tipo” selecione Permitir, conforme figura 1.4, e agora em “Aplicável a” selecione Computador objetos descendentes, como ilustrado ainda na mesma figura.

1.jpg
Figura 1.4 – Janela Entrada de Permissão.

5. Ainda na mesma janela percorra até chegar na lista de propriedades e marque as opções: Ler gerenciado por e Escrever / Gravar gerenciado por, conforme ilustra a figura 1.5. Agora clique em OK e volte a área de trabalho. Os usuários do domínio agora podem gravar no atributo ManagedBy (Gerenciado por) para os computadores na OU (ou OUs) selecionadas. Feito isso agora será criado uma política para rastrear os logons feitos nas contas dos computadores e informar no atributo em questão.

 

1
Figura 1.5- Janela Entrada de Permissão – Propriedades.

Criando uma Política de Grupo para rastrear os Logons das Contas dos Usuários. 

A primeira coisa que tem que ser feita é criar um script para que edite o atributo Gerenciado por, encontrado nas propriedades da conta de um computador, explicado na introdução deste post. Para isso, faça:

1 Abra o bloco de notas. Nele cole o código abaixo. Salve-o como .VBS na pasta:

Set objSysInfo = CreateObject(“ADSystemInfo”)
On Error Resume Next
Set objComputer = GetObject(“LDAP://” & objSysInfo.ComputerName)
objComputer.Put “managedBy”, objSysInfo.Username
objComputer.SetInfo

2 Crie um novo GPO a nível de domínio, atribuindo um nome apropriado a finalidade. Edite o GPO, por meio do console Editor de Gerenciamento de Política de Grupo, e navegue em Configuração do usuário \ Políticas \ Configurações do Windows \ Scripts. Em Scripts, clique em Logon e cole o script criado anteriormente dentro da pasta, conforme a figura 1.6. Feito isso, selecione-o, clique em Aplicar e depois em OK. Feche as janelas.

Figura 1.6 – Adicionando script para rastrear logons.

3 Agora abra o console de Usuários e Computadores do Active Directory. Encontre o computador que o usuário usou, abra a janela de propriedades e selecione a guia Gerenciado por, explicada na introdução deste post. Você verá, na guia Gerenciador por, ilustrado na figura 1.7, o nome da conta do usuário que fez por último logon na estação.

Figura 1.7 – Janela Propriedades de – Console Usuários e Computadores do Active Directory.

Gostou do artigo? Que tal aprender mais? Então, clica abaixo e receba sempre meus artigos no teu WhatsApp!

WhatsApp

Atualizações de Políticas De Grupo de Forma Remota: Quando e como Usá-las.

Livro
Livro: Administrando o Active Directory com o PowerShell.

Neste post, você aprenderá como atualizar, de forma remota, as configurações feitas nas Políticas de Grupo do domínio. 

Desde o surgimento das Políticas de Grupos, a Microsoft a cada nova versão do Windows Server vem trazendo melhorias na administração das Políticas de Grupo. E uma dessas melhoria, foi a possibilidade de usar o Update remoto, por meio do console de Gerenciamento de Política de Grupo. Se antes precisávamos usar o cmdlet Invoke-GPUpdate, por meio do Windows PowerShell, para atualizar de forma remota as configurações feitas nas Políticas de Grupo nas estações e usuários do domínio, hoje, já podemos usar o recurso de gpupdate remotamente, por meio do console de Gerenciamento de Política de Grupo, fazendo o mesmo procedimento. 

Como funciona as atualizações das Políticas de Grupo?

Periodicamente, as atualizações das Políticas de Grupo são executadas a cada 90 minutos (com um deslocamento aleatório de até 30 minutos). Contudo, nem sempre, você tem esse tempo para esperar, e nem sempre, você pode ir até a estação aplicar o comando gpupdate ou então, ir até a estação e reiniciá-la ou fazer o logoff e logon do usuário para que elas sejam aplicadas, “de forma imediata”. É justamente para evitar esses cenários, que podemos usar o recurso remotamente do gpupdate, ganhando tempo e produtividade.

E como fazer o GPupdate remoto?

Há duas maneiras, praticamente:

  • Pelo Windows PowerShell;
  • Pelo console do GPMC.


1. Pelo Windows PowerShell:

Atualizando as Políticas de Grupo pelo Windows PowerShell. 

Basta executar o comando Invoke-GPUpdate, acrescentar na frente o parâmetro -Computer com o nome do computador remoto que deseja aplicar as atualizações das Políticas de Grupo e inserir os parâmetros: -force -RandomDelayInMinutes 0, conforme a figura abaixo, que está sendo forçado uma atualização das Políticas de Grupo na estação ServerDC. 

0
Atualizando as Políticas de Grupo no Servidor ServerDC, pelo PowerShell.


Quando usar essa forma?

  • Quando for necessário agendar as atualizações nas estações, assim você pode usar parâmetros encontrados no cmdlet Invoke-GPUpdate para agendar as atualizações das Políticas de Grupo;
  • Quando quiser demonstrar suas habilidades no Windows PowerShell;

Quer aprender mais, de como atualizar as Políticas de Grupo, de forma remota, e em todas as estações do Domínio? Veja o meu artigo abaixo:

[ARTIGO] PowerShell: Atualizando, de forma remota, as Configurações de Políticas de Grupo em Todos os Computadores do Domínio.

https://diegogouveia.com.br/2018/11/28/powershell-atualizando-as-configuracoes-de-politicas-de-grupo-em-todos-os-computadores-do-dominio/

2. Pelo Console do GPMC:

Basta escolher qual OU deseja atualizar as Políticas de Grupo e clicar com o botão direito do mouse. No menu de opções escolha “Atualização da Política de Grupo…”. Nessa opção você deve está usando uma versão recente do GPMC. 

0
Atualizando as Políticas de Grupo pelo GPMC.


Para saber mais sobre essa maneira de atualizar as Políticas de Grupo, leia o meu artigo abaixo:

[ARTIGO] Atualizando os GPOs que estão em uma OU – Windows Server.

https://diegogouveia.com.br/2017/12/01/atualizando-gpos-de-estacoes-usuarios-que-estao-em-uma-ou-windows-server/

Gostou do artigo? Que tal aprender mais? Então, clica abaixo e receba sempre meus artigos no teu WhatsApp!

WhatsApp
Clique nesta foto para receber os conteúdos via WhatsApp! Não é vírus.

 

GPUpdate x GPUpdate /force: Qual devo usar para atualizar as Configurações da minha Política de Grupo?

 

Livro GPO - Banner
Clique nesta imagem e aprenda sobre GPOs.

 


Quando comecei a trabalhar com Group Policy, o primeiro comando que aprendi foi o gpupdate /force, para forçar uma atualização das configurações de Diretiva de Grupo do Active Directory no meu objeto em questão. Contudo, com o tempo passando, notei que existia outras formas de atualizar as configurações de Diretivas nos objetos, “até mais eficazes”, dependendo do contexto. 

Continuar lendo