DŮLEŽITÉ UPOZORNĚNÍ

Vážení návštěvníci,

chceme chránit vaše zdraví a respektujeme tak rozhodnutí Vlády ČR. Z těchto důvodů rušíme kurzy konané prezenční formou v termínu do 30. 4. 2020. Účastníky postupně informujeme a domlouváme náhradní řešení.

Rezervace pozdějších termínů jsou v provozu.

Vyzkoušejte naše nejžádanější interaktivní on-line kurzy.

Celý náš tým je vám nadále k dispozici pro vaše dotazy.

Děkujeme.

Spravujte stovky PC díky Powershellu

aneb spusťte libovolné příkazy najednou

Jak spravovat firemní pc pohodlně, hromadně a na dálku pomocí PowerShellu. Jak spravovat všechny počítače ve vaší firmě jednoduše z vašeho pohodlného kancelářského křesla na dálku?

Odpověď na tuto otázku je velmi snadná. Stejné příkazy PowerShellu, které pouštíte na jednotlivých strojích, můžete spustit i vzdáleně na libovolnou skupinu zařízení pomocí příkazu Invoke-Command. Nutnou prerekvizitou je mít na všech spravovaných strojích povolenou službu Windows Remote management a související firewallová pravidla. Níže vidíte krok po kroku, jak toho pomocí politik docílit a následně jak spouštět vzdáleně příkazy na různé vámi definované skupiny firemních zařízení.

Mrkněte i na předchozí článek o zabezpečení dat na firemních PC (pokud jste ho nečetli) :-) ...

Demonstrace krok po kroku

Poznámka: Z důvodu přehlednosti a snazší správy doporučuji dělat všechna související nastavení politik do stejného GPO objektu:

1. Povolení služby WinRM najdeme pod touto cestou:

Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Remote Management (WinRM) > WinRM Service.

Vyhledáme politiku “Allow remote server management through WinRM” a aktivujeme.

Filtry IP adres nastavíme pro jednoduchost na *, samozřejmě je z bezpečnostních důvodů nutné rozsah IP adres, ze kterých je umožněna vzdálená správa, omezit co nejvíce.

 

Powerschell

 

Nyní máme povolenou vzdálenou správu stanice. K dokončení nastavení vzdálené správy ještě zbývá povolit samotnou službu WinRM a přidat příslušná pravidla do Firewallu.

2. Pokračujeme dalším nastavením politik. 

Ve větvi Computer Configuration >  Preferences > Control Panel Settings > Services nastavme službu podle obrázků níže…

 

 Ve větvi Computer Configuration >  Preferences > Control Panel Settings > Services nastavme službu podle obrázků níže…

 

 

Ve větvi Computer Configuration >  Preferences > Control Panel Settings > Services nastavme službu podle obrázků níže…

 

3. Předpokládejme, že využíváme na všech stanicích Windows Firewall a nastavíme patřičná pravidla opět do stejného GPO objektu:

Předjdeme pod Computer Configuration > Policies >  Windows Settings >  Security Settings >  Windows Firewall with Advanced Security > Windows Firewall with Advanced Security > Inbound Rules a následně pomocí pravého tlačítka přidáme nové pravidlo.

Pravidlo pro WinRM najdeme připravené v předdefinovaných pravidlech:

 

Computer Configuration > Policies >  Windows Settings >  Security Settings >  Windows Firewall with Advanced Security > Windows Firewall with Advanced Security > Inbound Rules a následně pomocí pravého tlačítka přidáme nové pravidlo.

 

 

První vzdálené powershellovské příkazy

 

Dokončíme průvodce volbou profilu, pro který bude toto nastavení platit (z bezpečnostních důvodů je doporučeno rozhodně vypnout toto nastavení pro Public profil) a potvrdíme volbu Allow the connection.

První vzdálené powershellovské příkazy

Pojďme vzdáleně spustit první příkaz, který vypíše na vzdálených počítačích jejich IP konfiguraci. Tento příkaz je powershellová obdoba cmd příkazu ipconfig. Jeho výpis je však rychlejší.

Invoke-Command -ComputerName jmenovzdalenehopocitace -ScriptBlock {get-netipaddress}

Jednoduché vysvětlení příkazu: Invoke-command je příkaz na vzdálené spouštění Powershell příkazů. Příkazy, které jsou uzavřeny ve složených závorkách za parametrem – ScriptBlock, spustí na zařízeních oddělených čárkou uvnitř parametru – Computername . Pokud chceme spustit více po sobě jdoucích příkazů, pak do těla -scriptblock píšeme jednotlivé příkazy oddělené středníkem. Příklad takového příkazu vidíte například v článku, kde se vzdáleně nastavuje Bitlocker.

 

V článku spouštíme vzdálený příkaz, kterým aktivujeme Bitlocker na systémovém svazku C: u stanic PRAH01,PRAH07,SRVFILE:

 

Invoke-Command -computername PRAH01,PRAH07,SRVFILE -Scriptblock {

Enable-BitLocker -MountPoint C: -EncryptionMethod Aes256 -PasswordProtector ;

Get-BitLockerVolume | Enable-BitLocker  -RecoveryPasswordProtector}

 

 

Pokud se příkaz vydařil, pojďme se podívat na pár zjednodušováků:

Abychom nemuseli seznam stanic vypisovat přímo do příkazu, uložme seznam těchto stanic do proměnné, např. proměnné $computername

$computername = “PRAH01“,“PRAH07“,“SRVFILE“

Ruční zápis seznamu PC si můžeme usnadnit některým dotazem. Například seznam všech pc v doméně, které jsou pražské a poznáme je tudíž podle obsahu klíčového slova „PRAH“ v jejich názvu, získáme pomocí příkazu:

$computername = Get-ADComputer -Filter ‘Name -like “PRAH*“‘ | select -expand Name


Rád získám vaši zpětnou vazbu a nebo odpovím na doplňující dotazy.

Stačí napsat na: kurzy@nicom.cz

Zaujal vás tento tip a chcete si projít celé nasazení Windows 10 prakticky s certifikovaným trenérem Microsoftu a získat tak stovky dalších tipů a cenných návodů? Vyberte si z Oficiálních kurzů Microsoft na Windows 10.

Těším se na Vás ...


 

 

 

Bc. Lubomír Ošmera

Bc. Lubomír Ošmera

Lektor kurzů technologií Microsoft a MS Office

certifikovaný trenér Microsoft (MCT), (MCSA)

Hodnocení školitele: 93 %

 

 

odběr novinek nicom

NICOM, a. s. je autorizovaným školicím střediskem firmy Microsoft již od roku 1995. Jako jedna z mála společností v České republice disponujeme certifikací Microsoft Silver Learning Partner. Nabízíme autorizovaná školení Microsoft produktů, tzv. MOC (Microsoft Official Course). Výuka je vedena Microsoft certifikovanými trenéry (MCT) v prostředí moderních učeben. Kurzy jsou pořádány pouze u autorizovaných vzdělávacích středisek, která musí splňovat přísné směrnice stanovené společností Microsoft. Tyto směrnice určují maximální počet účastníků kurzu, odpovídající studijní materiály, technické vybavení učeben a garantují didaktickou a technickou způsobilost trenérů certifikovaných Microsoftem. A teď to řekneme jednoduše, pokud hledáte školení pro „ajťáka“, tak jste na správném místě :-)