Spravujte stovky PC díky Powershellu

aneb spusťte libovolné příkazy najednou

Jak spravovat firemní pc pohodlně, hromadně a na dálku pomocí PowerShellu. Jak spravovat všechny počítače ve vaší firmě jednoduše z vašeho pohodlného kancelářského křesla na dálku?

Odpověď na tuto otázku je velmi snadná. Stejné příkazy PowerShellu, které pouštíte na jednotlivých strojích, můžete spustit i vzdáleně na libovolnou skupinu zařízení pomocí příkazu Invoke-Command. Nutnou prerekvizitou je mít na všech spravovaných strojích povolenou službu Windows Remote management a související firewallová pravidla. Níže vidíte krok po kroku, jak toho pomocí politik docílit a následně jak spouštět vzdáleně příkazy na různé vámi definované skupiny firemních zařízení.

Mrkněte i na předchozí článek o zabezpečení dat na firemních PC (pokud jste ho nečetli) :-) ...

Demonstrace krok po kroku

Poznámka: Z důvodu přehlednosti a snazší správy doporučuji dělat všechna související nastavení politik do stejného GPO objektu:

1. Povolení služby WinRM najdeme pod touto cestou:

Computer Configuration >Policies > Administrative Templates > Windows Components > Windows Remote Management (WinRM) > WinRM Service.

Vyhledáme politiku “Allow remote server management through WinRM” a aktivujeme.

Filtry IP adres nastavíme pro jednoduchost na *, samozřejmě je z bezpečnostních důvodů nutné rozsah IP adres, ze kterých je umožněna vzdálená správa, omezit co nejvíce.

Powerschell 

 

 

Nyní máme povolenou vzdálenou správu stanice. K dokončení nastavení vzdálené správy ještě zbývá povolit samotnou službu WinRM a přidat příslušná pravidla do Firewallu.

2. Pokračujeme dalším nastavením politik. 

Ve větvi Computer Configuration >  Preferences > Control Panel Settings > Services nastavme službu podle obrázků níže…

 

 Ve větvi Computer Configuration >  Preferences > Control Panel Settings > Services nastavme službu podle obrázků níže…

 

 

Ve větvi Computer Configuration >  Preferences > Control Panel Settings > Services nastavme službu podle obrázků níže…

 

3. Předpokládejme, že využíváme na všech stanicích Windows Firewall a nastavíme patřičná pravidla opět do stejného GPO objektu:

Předjdeme pod Computer Configuration > Policies >  Windows Settings >  Security Settings >  Windows Firewall with Advanced Security > Windows Firewall with Advanced Security > Inbound Rules a následně pomocí pravého tlačítka přidáme nové pravidlo.

Pravidlo pro WinRM najdeme připravené v předdefinovaných pravidlech:

 

Computer Configuration > Policies >  Windows Settings >  Security Settings >  Windows Firewall with Advanced Security > Windows Firewall with Advanced Security > Inbound Rules a následně pomocí pravého tlačítka přidáme nové pravidlo.

 

 

První vzdálené powershellovské příkazy

 

Dokončíme průvodce volbou profilu, pro který bude toto nastavení platit (z bezpečnostních důvodů je doporučeno rozhodně vypnout toto nastavení pro Public profil) a potvrdíme volbu Allow the connection.

První vzdálené powershellovské příkazy

Pojďme vzdáleně spustit první příkaz, který vypíše na vzdálených počítačích jejich IP konfiguraci. Tento příkaz je powershellová obdoba cmd příkazu ipconfig. Jeho výpis je však rychlejší.

Invoke-Command -ComputerName jmenovzdalenehopocitace -ScriptBlock {get-netipaddress}

Jednoduché vysvětlení příkazu: Invoke-command je příkaz na vzdálené spouštění Powershell příkazů. Příkazy, které jsou uzavřeny ve složených závorkách za parametrem – ScriptBlock, spustí na zařízeních oddělených čárkou uvnitř parametru – Computername . Pokud chceme spustit více po sobě jdoucích příkazů, pak do těla -scriptblock píšeme jednotlivé příkazy oddělené středníkem. Příklad takového příkazu vidíte například v článku, kde se vzdáleně nastavuje Bitlocker.

V článku spouštíme vzdálený příkaz, kterým aktivujeme Bitlocker na systémovém svazku C: u stanic PRAH01,PRAH07,SRVFILE:


Invoke-Command -computername PRAH01,PRAH07,SRVFILE -Scriptblock {

Enable-BitLocker -MountPoint C: -EncryptionMethod Aes256 -PasswordProtector ;

Get-BitLockerVolume | Enable-BitLocker  -RecoveryPasswordProtector}

 

Pokud se příkaz vydařil, pojďme se podívat na pár zjednodušováků:

Abychom nemuseli seznam stanic vypisovat přímo do příkazu, uložme seznam těchto stanic do proměnné, např. proměnné $computername


$computername = “PRAH01“,“PRAH07“,“SRVFILE“

Ruční zápis seznamu PC si můžeme usnadnit některým dotazem. Například seznam všech pc v doméně, které jsou pražské a poznáme je tudíž podle obsahu klíčového slova „PRAH“ v jejich názvu, získáme pomocí příkazu:

$computername = Get-ADComputer -Filter ‘Name -like “PRAH*“‘ | select -expand Name


Rád získám vaši zpětnou vazbu a nebo odpovím na doplňující dotazy.

Stačí napsat na: kurzy@nicom.cz

Zaujal vás tento tip a chcete si projít celé nasazení Windows 10 prakticky s certifikovaným trenérem Microsoftu a získat tak stovky dalších tipů a cenných návodů? Vyberte si z Oficiálních kurzů Microsoft na Windows 10.

Těším se na Vás ...


 

 

 

Bc. Lubomír Ošmera

Bc. Lubomír Ošmera

Lektor kurzů technologií Microsoft a MS Office

certifikovaný trenér Microsoft (MCT), (MCSA)

Hodnocení školitele: 93 %

 

 

Profil společnosti

NICOM byl založen již v roce 1992. Díky více než 140 000 odškolených klientů patří k největším poskytovatelům počítačových i fotografických kurzů pro jednotlivce a firmy v celé ČR.

Chtějte o nás vědět více ...

zobrazit více informací

Základní organizační informace

Máte nejasnosti ohledně objednávky nebo realizace školení? Chcete znát odpovědi na nejčastěji kladené dotazy klientů školicího střediska NICOM? 

Přečtěte si základní informace ...

zobrazit více informací

Možnosti financování kurzů

Hledáte akreditované kurzy DVPP pro pedagogické pracovníky?  Jak mít hrazeno školení pro firmy až z 85 % díky výzvě POVEZ II? Víte, že vám rekvalifikaci může hradit úřad práce? 

Podívejte se na možnosti platby za školení ...

zobrazit více informací

Kontaktujte nás

Fakturační adresa:
Smetanova 3
602 00 Brno
IČ: 26226375
DIČ: CZ26226375
Adresa pobočky:
Zenklova 32/28
180 00 Praha 8
Tel: +420 222 231 100
 
Získávejte novinky a akční nabídky