Como administrar nuestras politicas de grupo de nuestro Active Directory por medio de comandos de PowerShell {HowTo}

PowershellIconjpg12[1]Hace tiempo que vengo hablado de PowerShell y como nos ayuda a administrar nuestra arquitectura de Active Directory. Algunos de los links de estas notas las pueden consultar nuevamente en:

Hoy veremos como podemos administrar nuestras políticas de grupo de nuestro Active Directory por medio de algunos comandos de PowerShell {HowTo}.

Como hemos visto en varias oportunidades, con Windows PowerShell podemos automatizar muchas tareas de directiva de grupo, incluida la configuración de directivas basadas en el registro y diversas tareas de la consola de administración de directivas de grupo (GPMC). Para realizar estas tareas, el módulo de directiva de Group Policies para Windows PowerShell nos proporciona los cmdlets que necesitemos.

Podemos utilizarlos para realizar alguna de las siguientes tareas con los objetos de directiva de grupo basada en un dominio (GPO):

  • Administrar nuestros GPOs: creación, eliminación, backup, reporting y importación de GPOs
  • Asociar objetos con contenedores de servicios de directorio de Active Directory (AD DS): creación de vínculos de directivas de grupo, actualizaciones y eliminaciones.
  • Establecer permisos y herencias en AD DS unidades organizativas (OU) y dominios.
  • Configurar directivas basadas en el registro y la configuración del registro de preferencias de directiva de grupo.

Obviamente los requisitos que tenemos son similares a los que explicábamos en notas anteriores, tener un DC con Windows Server 2008 R2 y tener instalada la consola GPMC en un member server Windows Server 2008 R2 o un Windows 7 con Remote Server Administration herramientas (RSAT) instalado.

Para poder acceder a estas características debemos importar el modulo GroupPolicy, de manera similar que lo habíamos hecho con las de Active Directrory.

www.radians.com.ar © 2012

Por medio del comando: import-module grouppolicy. Luego podemos listar todos los comandos disponibles de la siguiente manera:

www.radians.com.ar © 2012

El comando para listarlas es: get-command –module grouppolicy. Otro “tip” importante es utilizar el comando get-help, como para obtener mas información de cada opción. Por ejemplo, si ejecutamos get-help Copy-GPO veremos lo siguiente:

www.radians.com.ar © 2012

Les paso un listado de las comandos y una breve descripción de que hace cada uno de ellos en castellano.

www.radians.com.ar © 2012

Por ejemplo podemos ver los datos de una GPO haciendo:

www.radians.com.ar © 2012

Si quisiéramos ver todas las políticas de nuestro dominio debemos ejecutar: Get-GPO -All -Domain radians.com.ar.

www.radians.com.ar © 2012

Espero que les sea de interés, y promueva a que sigan leyendo y capacitándose con PowerShell que es una herramienta cada vez mas indispensable para los ITPros. Saludos, Roberto Di Lello.

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

10 Comments

  1. Hola
    Llevo tiempo siguiendo tus laboratorios y tengo una duda bastante grande haber si podrias aclararmela.

    Tengo un servidor de dominio que es catalogo global este pc antes era un server 2000 y ahora es un server 2008 segun me comentan antes de hacer el cambio de sistema, cuando el server 2000 reiniciaba tenian un server 2003 que es de backup y podian loguear pero al cambiar el sistema el server principal ahora es 2008 y catalogo global, al reiniciar el server de backup no me loguea los usuarios.
    Que estoy haciendo mal estoy algo desesperado

    cordial saludo.

  2. Hola Fran, disculpa que no te conteste antes pero estuve con los tiempos complicados.

    No entendí mucho tu mail. tenes un dc que es GC en win2008 que antes era win2000. Ademas tenias un win2003 que era backup y ahora no se pueden logear. Ese es el problema?

    Mira en principio verifica que la cuenta de maquina del servidor de backup este en tu dominio (en el 2008). Si es que no esta ese es el problema.
    Sino lo que puedes hacer, DEPENDIENDO DE SI TIENE ALGUN OTRO ROL ASIGNADO (SI ES ASI TENES QUE EVALUARLO!!!), es logearte en el servidor de backup con un admin local, sacarlo del dominio y volverlo a agregar y ahí deberías solucionar tu problema.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Buen comienzo de año. Saludos!

  3. Hola, una pregunta tengo un servidor con win2008, que tiene instaladas bastantes impresoras, queria hacer que cuando un usuario se conecta al servidor se le instalara las impresoras automaticamente, sin tener que ir ordenador por ordenador para hacerlo.

    Cual es la mejor manera de hacerlo?

    Muchas Gracias.

  4. Josep,disculpa mi demora en contestar pero estuve medio complicado con los tiempos.

    El tema es medio complejo, hay que ver que tipo de impresoras tienes, si son IP o locales, si tienes un print server o no y demas….

    Después de eso, lo que puedes hacer es agregarlas vía script o por políticas.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Buen comienzo de año. Saludos!

  5. Saludos:

    Estamos trabajando con Office365, y estamos usando una herramienta que se llama PST CAPTURE DE MICROSOFT para subir los .PST al Cloud. Por la razon que estamos usando esta herramienta es por que tenemos dos y tres pst por cada mailboxes para la migracion.

    De la otra manera que se hace normal es con el Ouklook y los credenciales de la nube ya se realizo y funciona sin problema puedo subir los pst al cloud sin problemas.

    Pero necesito subir 40 pst al cloud por una herramienta.

    Estoy un poco preocupado por esta situcacion.

    AGRADESCO SU AYUDA

  6. Francisco, disculpa mi demora pero estuve medio complicado con los tiempos.

    No conozco mucho de esa tool, mas que su uso cotidiano. Habría que ver si se puede hacer algo via script con esos 40 pst. Te recomiendo que busques info en http://www.andersonpatricio.org en donde hay muchisimo material de exchange y cloud.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Buen comienzo de año. Saludos!

  7. Hola Roberto, Soy de Peru, una vez mas felicitaciones por tu blog,esta muy interesante, que bueno encontrar personas como tu que ofrecen sus conocimientos a muchas personas que lo necesitan.

    El motivo de mi mensaje es que quisiera pedirte un favor que publiques documentales sobre Servicio de Certificado en AD, me es muy dificil entender este tema ya que tengo el conocimiento a nivel teorico pero no se como usarlo y en donde usarlo,espero me puedas ayudar a mi problema ya que estoy con esto varias semanas poder entenderlo pero aun nada.Muchas Gracias.Dios te bendiga.

  8. Hector, muchísimas gracias por tu mail! realmente me ayuda a seguir adelante y a darle mas fuerza al trabajo de mantener y escribir en el blog! Espero te llegue el mail ya que me figura con espacios en blanco.

    Te cuento que estoy saliendo de vacaciones, que igualmente estaré publicando algunas cosas nuevas en el blog en estos días. Me agendo el tema que me pediste para cuando vuelva escribir sobre el.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Muchas bendiciones para ti y los tuyos. Saludos!

  9. Ya conseguimos una herramienta de message ops, y funciona pero el upload es demaciado de lento, y tenemos q subir pst del tamano de 4,5 hasta 10GB, y es lento.

    Necesito saber si Microsoft limita el banwith.

    Gracias
    Francisco Santiago Ortiz

  10. Fracisco, te pase el dato de mi referente para temas de exchange online. Espero que te puedas poner en contacto con el y resolver tu problema.

    Gracias por participar del Blog.

Comments are closed.