PowerShellからグループポリシーを操作してみよう

1. PowerShellからグループポリシーを操作してみよう 2014/11/29 CLR/H in Tokyo第6回素敵なおひげ

2. 自己紹介 素敵なおひげ Twitter -@stknohg Blog -http://stknohg.hatenablog.jp/ 何者？ CLR/HとJAZUG札幌の裏方です。 札幌から来ました。 SI屋さんやってます。

3. 動機 1.せっかく東京に遊びにきたので 2.皆さんグループポリシー大好きですよね？ 3.意外と日本語情報が無かったので(特に具体的な実行例が)

4. GPMC Class Library .NETでグループポリシーを扱うためのライブラリ .NETのクラスとPowerShellコマンドレットから成る *今回は触れないがC#から扱うことも出来る MSDN http://msdn.microsoft.com/en-us/library/ee840126.aspx 制限事項 ローカルグループポリシーは扱えない *ローカルグループポリシーを扱うには別の方法を採る必要がある (PowerShellでは多分無理)

5. インストール 1.GPMCをインストールする サーバーOSの場合の手順 インストールは以下のコマンドで 2.RSATをインストールする サーバーOSでない場合の手順 インストール手順は省略 Add-WindowsFeatureGPMC

6. 利用するにあたって 前提条件 グループポリシーを更新するのに必要な権限を持っているユーザーで実行する事 ドメインユーザーであること 要Import-Module Import-Module -Name grouppolicy

7. 使えるコマンド CommandTypeName ModuleName ------------------------- Alias Get-GPPermissionsgrouppolicy Alias Set-GPPermissionsgrouppolicy CmdletBackup-GPO grouppolicy CmdletCopy-GPO grouppolicy CmdletGet-GPInheritancegrouppolicy CmdletGet-GPO grouppolicy CmdletGet-GPOReportgrouppolicy CmdletGet-GPPermissiongrouppolicy CmdletGet-GPPrefRegistryValuegrouppolicy CmdletGet-GPRegistryValuegrouppolicy CmdletGet-GPResultantSetOfPolicygrouppolicy CmdletGet-GPStarterGPOgrouppolicy CmdletImport-GPO grouppolicy CmdletInvoke-GPUpdategrouppolicy Get-Command -Module grouppolicy CommandTypeName ModuleName ------------------------- CmdletNew-GPLinkgrouppolicy CmdletNew-GPO grouppolicy CmdletNew-GPStarterGPOgrouppolicy CmdletRemove-GPLinkgrouppolicy CmdletRemove-GPO grouppolicy CmdletRemove-GPPrefRegistryValuegrouppolicy CmdletRemove-GPRegistryValuegrouppolicy CmdletRename-GPO grouppolicy CmdletRestore-GPO grouppolicy CmdletSet-GPInheritancegrouppolicy CmdletSet-GPLinkgrouppolicy CmdletSet-GPPermissiongrouppolicy CmdletSet-GPPrefRegistryValuegrouppolicy CmdletSet-GPRegistryValuegrouppolicy

8. 実行例１グループポリシーのバックアップとリストア

9. ポリシーのバックアップ Backup-GPO ポリシーを指定のディレクトリにバックアップする 同じディレクトリに複数回バックアップするとデータは追加される Backup-GPO -All –Path"C:¥Temp" ` -Comment "全体バックアップ" Backup-GPO –NameMyGPO–Path“C:¥Temp”` –Comment “個別バックアップ" 実行例

10. ポリシーのリストア（１） Restore-GPO ポリシーのバックアップ先のPathから指定したポリシーを復元する バックアップしたポリシーが削除済みの場合はエラーとなる Restore-GPO –Name MyGPO-Path "C:¥temp" 実行例

11. ポリシーのリストア（２） Import-GPO ポリシーのバックアップ先のPathから指定したポリシーをインポートする CreateIfNeededオプションを指定すればバックアップしたポリシーが削除済みでもエラーとならない Import-GPO -CreateIfNeeded–BackupGpoName` MyGPO–TargetNameMyGPO-Path "C:¥Temp" 実行例

12. 実行例２グループポリシーの新規作成

13. GPOの新規作成 New-GPO GPOを新規作成する スターターGPOの指定も可能 New-GPO –Name MyGPO` –Comment "新規ポリシー" 実行例

14. ポリシーの設定 Set-GPRegistryValue 指定のGPOにポリシーを設定する ポリシーに応じたレジストリキーの値を設定する必要がある レジストリキーの詳細については以下参照 http://msdn.microsoft.com/en-us/library/ms815238.aspx http://www.microsoft.com/en- us/download/details.aspx?displaylang=en&id=25250 Set-GPRegistryValue-Name MyGPO` -Key HKLM¥Software¥Policies¥Microsoft¥Windows¥Server¥ServerManager` -ValueNameDoNotOpenAtLogon-Type Dword-Value 1 実行例 (ログオン時にサーバーマネージャーを自動的に表示しない)

15. ポリシーのリンク New-GPLink ポリシーのリンクを作成する 対象OUは識別名で指定する New-GPLink–Name MyGPO-Target ` "ou=Domain Controllers,dc=contoso,dc=local" 実行例

16. 参考資料 Group Policy Cmdletsin Windows PowerShell http://technet.microsoft.com/en-us/library/ee461027.aspx PowerShell from Japan!! Blog(グループポリシー) http://blog.powershell-from.jp/?tag=グループポリシー管理 Hey, Scripting Guy! How Can I Use Group Policy Cmdletsto Back Up and Restore Group Policy Objects? http://blogs.technet.com/b/heyscriptingguy/archive/2010/07/13/hey-scripting-guy- how-can-i-use-group-policy-cmdlets-to-back-up-and-restore-group-policy- objects.aspx 業務アプリケーションのレジストリ設定をグループ・ポリシーで配布する http://www.atmarkit.co.jp/fwin2k/greatblog/001gpwoadmx/gpwoadmx_01.html

https://twitter.com	43
http://clrh.connpass.com	13

SlideShare for iOS

Views

Actions

Embeds 56

Report content

Transcript