Jak spravovat firemní pc pohodlně, hromadně a na dálku pomocí PowerShellu. Jak spravovat všechny počítače ve vaší firmě jednoduše z vašeho pohodlného kancelářského křesla na dálku?

Odpověď na tuto otázku je velmi snadná. Stejné příkazy PowerShellu, které pouštíte na jednotlivých strojích, můžete spustit i vzdáleně na libovolnou skupinu zařízení pomocí příkazu Invoke-Command. Nutnou prerekvizitou je mít na všech spravovaných strojích povolenou službu Windows Remote management a související firewallová pravidla. Níže vidíte krok po kroku, jak toho pomocí politik docílit a následně jak spouštět vzdáleně příkazy na různé vámi definované skupiny firemních zařízení.

Mrkněte i na předchozí článek o zabezpečení dat na firemních PC (pokud jste ho nečetli) :-) ...

Demonstrace krok po kroku

Poznámka: Z důvodu přehlednosti a snazší správy doporučuji dělat všechna související nastavení politik do stejného GPO objektu:

1. Povolení služby WinRM najdeme pod touto cestou:

Computer Configuration >Policies > Administrative Templates > Windows Components > Windows Remote Management (WinRM) > WinRM Service.

Vyhledáme politiku “Allow remote server management through WinRM” a aktivujeme.

Filtry IP adres nastavíme pro jednoduchost na *, samozřejmě je z bezpečnostních důvodů nutné rozsah IP adres, ze kterých je umožněna vzdálená správa, omezit co nejvíce.

Nyní máme povolenou vzdálenou správu stanice. K dokončení nastavení vzdálené správy ještě zbývá povolit samotnou službu WinRM a přidat příslušná pravidla do Firewallu.

2. Pokračujeme dalším nastavením politik. 

Ve větvi Computer Configuration >  Preferences > Control Panel Settings > Services nastavme službu podle obrázků níže…

3. Předpokládejme, že využíváme na všech stanicích Windows Firewall a nastavíme patřičná pravidla opět do stejného GPO objektu:

Předjdeme pod Computer Configuration > Policies >  Windows Settings >  Security Settings >  Windows Firewall with Advanced Security > Windows Firewall with Advanced Security > Inbound Rules a následně pomocí pravého tlačítka přidáme nové pravidlo.

Pravidlo pro WinRM najdeme připravené v předdefinovaných pravidlech:

Dokončíme průvodce volbou profilu, pro který bude toto nastavení platit (z bezpečnostních důvodů je doporučeno rozhodně vypnout toto nastavení pro Public profil) a potvrdíme volbu Allow the connection.

První vzdálené powershellovské příkazy

Pojďme vzdáleně spustit první příkaz, který vypíše na vzdálených počítačích jejich IP konfiguraci. Tento příkaz je powershellová obdoba cmd příkazu ipconfig. Jeho výpis je však rychlejší.

Invoke-Command -ComputerName jmenovzdalenehopocitace -ScriptBlock {get-netipaddress}

Jednoduché vysvětlení příkazu: Invoke-command je příkaz na vzdálené spouštění Powershell příkazů. Příkazy, které jsou uzavřeny ve složených závorkách za parametrem – ScriptBlock, spustí na zařízeních oddělených čárkou uvnitř parametru – Computername . Pokud chceme spustit více po sobě jdoucích příkazů, pak do těla -scriptblock píšeme jednotlivé příkazy oddělené středníkem. Příklad takového příkazu vidíte například v článku, kde se vzdáleně nastavuje Bitlocker.

V článku spouštíme vzdálený příkaz, kterým aktivujeme Bitlocker na systémovém svazku C: u stanic PRAH01,PRAH07,SRVFILE:

Invoke-Command -computername PRAH01,PRAH07,SRVFILE -Scriptblock {

Enable-BitLocker -MountPoint C: -EncryptionMethod Aes256 -PasswordProtector ;

Get-BitLockerVolume | Enable-BitLocker  -RecoveryPasswordProtector}

Pokud se příkaz vydařil, pojďme se podívat na pár zjednodušováků:

Abychom nemuseli seznam stanic vypisovat přímo do příkazu, uložme seznam těchto stanic do proměnné, např. proměnné $computername

$computername = “PRAH01“,“PRAH07“,“SRVFILE“

Ruční zápis seznamu PC si můžeme usnadnit některým dotazem. Například seznam všech pc v doméně, které jsou pražské a poznáme je tudíž podle obsahu klíčového slova „PRAH“ v jejich názvu, získáme pomocí příkazu:

$computername = Get-ADComputer -Filter ‘Name -like “PRAH*“‘ | select -expand Name

Rád získám vaši zpětnou vazbu a nebo odpovím na doplňující dotazy.

Stačí napsat na: kurzy@nicom.cz

Zaujal vás tento tip a chcete si projít celé nasazení Windows 10 prakticky s certifikovaným trenérem Microsoftu a získat tak stovky dalších tipů a cenných návodů? Vyberte si z Oficiálních kurzů Microsoft na Windows 10.

Těším se na Vás ...