Oltre alla console Gestione Criteri di gruppo (GPMC), Microsoft fornisce anche un set di cmdelt PowerShell per la creazione e gestione dei criteri di gruppo. Per utilizzare tali cmdlet da un dispositivo è necessario che vi sia installato GPMC. Per verificare che il componente sia installato e visualizzare l'elenco dei relativi cmdlet disponibili, lanciare il seguente comando da PowerShell
Get-Command -Module GroupPolicy
|
FIG 1 - PowerShell, Module GroupPolicy |
Per creare un nuovo oggetto criterio di gruppo è possibile utilizzare il cmdlet New-GPO. Il comando per creare un nuovo GPO sarà simile a
New-GPO -Name "GPO_Test" -Comment "Criterio di gruppo di test"
dove con il parametro -Name si assegna il nome al nuovo criterio e -Comment consente di specificare una descrizione.
Tale comando crea un oggetto criterio di gruppo "vuoto", senza alcuna impostazione. E' possibile creare un nuovo GPO prendendo come modello un oggetto criteri di gruppo starter tramite il parametro -StarterGPOName
Ad es.
New-GPO -Name "Nuova_GPO" -StarterGPOName "GPO_Firefox"
crea un nuovo GPO con nome Nuova_GPO copiando le impostazioni dell'oggetto GPO_Firefox.
I criteri di gruppo Starter semplificano notevolmente il lavoro degli amministratori e forniscono impostazioni di base per uno specifico scenario. Supponiamo
di dover garantire che il browser Firefox sia configurato correttamente sui computer dell'azienda. Si può creare un criterio di gruppo Starter che includa tutte le impostazioni di Firefox necessarie. Quando si andrà a creare un nuovo criterio di gruppo si può includere il criterio di gruppo Starter con le impostazioni di Firefox senza doverle reimpostare nel nuovo criterio.
|
FIG 2 - PowerShell, New-GPO |
Per creare un collegamento ad un GPO esistente possiamo utilizzare il cmdlet New-GPLink indicando il nome dell'oggetto criteri di gruppo e l'unità organizzativa in cui crearlo.
Ad es.
New-GPLink -Name "Nuova_GPO" -Target "OU=Utenti,OU=Direzione,DC=mycompany,DC=local"
Possiamo creare contemporaneamente un oggetto Criteri di gruppo all'interno del dominio e il relativo collegamento in una OU specificata utilizzando il piping dei cmdlet New-GPO e New-GPLink.
Ad es.
New-GPO -Name "Nuova_GPO" | New-GPLink -Target "OU=Utenti,OU=Direzione,DC=mycompany,DC=local"
|
FIG 3 - PowerShell, New-GPO e New-GPLink |
Per rimuovere il collegamento ad un oggetto criterio di gruppo all'interno di una OU viene utilizzato il cmdlet Remove-GPLink
Ad es.
Remove-GPLink -Name "Nuova_GPO" -Target "OU=Utenti,OU=Direzione,DC=mycompany,DC=local"
|
FIG 4 - PowerShell, Remove-GPLink |
Per rimuovere un criterio di gruppo si può utilizzare Remove-GPO
Ad es.
Remove-GPO -Name "Nuova_GPO"
Rimuove la GPO nominata Nuova_GPO e tutti i collegamenti. Per preservare i collegamenti al GPO è necessario specificare il parametro - KeepLinks.
Remove-GPO -Guid 50cc3e45-0b14-46dd-8b4d-afa012bc331c -Domain "mycompany.local" -KeepLinks
Il comando esposto sopra elimina l'oggetto criteri di gruppo con GUID specificato ma preservando i collegamenti all'oggetto.