Aproveitando o assunto automação, tema do meu último post, decidi abordar novamente um recurso que mesmo já bem conhecido nas versões anteriores do Windows Server, constitue numa ferramenta fundamental para o processo de automação da infra de TI.
Os profissionais de TI de organizações médias e grandes normalmente precisam criar muitas GPOs para definir as configurações do computador, que variam da área de trabalho ao tempo limite da proteção de tela. A Microsoft oferece as ferramentas Editor de Objeto de Diretiva de Grupo e GPMC (Group Policy Management Console - Console de Gerenciamento de Diretiva de Grupo) para que os administradores possam criar e atualizar os GPOs. No entanto, como há milhares de configurações possíveis, a atualização de múltiplos GPOs pode ser demorada, repetitiva e sujeita a erros.
Antes do Windows 7, a automação de GPOs se limitava ao seu gerenciamento. Por exemplo, os profissionais de TI podiam criar ou conectar um GPO, mas não podiam alterar as configurações dentro deles. O acesso às APIs (application programming interfaces – interfaces de programação de aplicações) do GPMC também exigia as habilidades de um desenvolvedor.
Depois de instalar a RSAT (Remote Server Administration Tools - Ferramentas de Administração de Servidor Remoto) do Windows Server 2008 R2, um download do microsoft.com que inclui o GPMC para Windows 7, você pode usar o PowerShell para automatizar tanto o gerenciamento de GPOs como a elaboração de configurações baseadas em registro (disponíveis através dos modelos administrativos ADM ou ADMX). Essa funcionalidade permite aos profissionais de TI assumir total controle dos GPOs, usando estes cmdlets:
Backup-GPO
Block-GPInheritance
Copy-GPO
Get-GPO
Get-GPOReport
Get-GPPermissions
Get-GPPrefRegistryValue
Get-GPRegistryValue
Get-GPResultantSetOfPolicy
Get-GPStarterGPO
Import-GPO
New-GPLink
New-GPO
New-GPStarterGPO
Remove-GPLink
Remove-GPO
Remove-GPPrefRegistryValue
Remove-GPRegistryValue
Rename-GPO
Restore-GPO
Set-GPLink
Set-GPPermissions
Set-GPPrefRegistryValue
Set-GPRegistryValue
Get-GPInheritance
Talvez sua organização precise criar GPOs diferentes para múltiplas unidades de negócios, e cada GPO varia de acordo com duas configurações: o tempo de espera até o início da proteção de tela, e a exigência ou não de uma senha para desbloqueá-la. Em uma organização com seis unidades de negócios, cada uma com requisitos diferentes, os administradores normalmente têm que criar os GPOs manualmente e definir as configurações para cada um, dentro da interface de usuário, o que pode ser muito demorado. Com o Windows 7 e o PowerShell, o administrador pode escrever um script que use uma matriz contendo os nomes das unidades de negócios e configurações de GPO exclusivas. O script pode então iterar através da matriz e criar cada GPO em questão de segundos.
Um abraço,
Rodrigo Dias (Twitter: http://twitter.com/rodrigodias73)