Gruppenrichtlinienobjekte erstellen und Gruppenrichtlinien verwalten
Hier mal eine Zusammenstellung der häufigsten Befehle zur Verwaltung von Gruppenrichtlinien.
# Kommandos abfragen
Get-Command -Module GroupPolicy
# Ein neues Gruppenrichtlinienobjekt anlegen
New-GPO -Name “RDP deaktivieren” -Comment “Remote Desktop abschalten”
# Gruppenrichtlinieneinstellungen setzen
Set-GPPrefRegistryValue -Name “RDP deaktivieren” -Key “HKLM\System\CurrentControlSet\Control\Terminal Server” -ValueName fDenyTSConnections -Value 1 -Type Dword -Context Computer -Action Update
# Gruppenrichtlinienobjekt einem Server zuweisen
Set-GPPermission -Name “RDP deaktivieren” -TargetName “SRVTOOLS” -TargetType Group -PermissionLevel GPOApply
# Gruppenrichtlinienobjekt auf eine OU verlinken
New-GPLink -Name “RDP deaktivieren” -Target “OU=Server,OU=DWP,DC=dwp,DC=local” -TargetType User -PermissionLevel None
# Das Gruppenrichtlinienobjekt der Gruppe der Authentifizierten Benutzer erlauben zu lesen bzw. anzuwenden
Set-GPPermission -Name “RDP deaktivieren” -TargetName “Authentifizierte Benutzer” -TargetType Group -PermissionLevel GPORead
# Das Gruppenrichtlinienobjekt der Gruppe der Domänencomputer erlauben zu lesen bzw. anzuwenden
Set-GPPermission -Name “RDP deaktivieren” -TargetName “Domänencomputer” -TargetType Group -PermissionLevel GPORead
# Das Gruppenrichtlinienobjekt dem Server SRVTOOLS erlauben zu lesen bzw. anzuwenden
Set-GPPermission -Name “RDP deaktivieren” -TargetName “SRVTOOLS” -TargetType Computer -PermissionLevel GPOApply
# Das Gruppenrichtlinienobjekt in der Anwedung erzwingen muss aber bereits verlinkt sein
Set-GPLink -Name “RDP deaktivieren” -Target “OU=Server,OU=DWP,DC=dwp,DC=local” -Enforced Yes
# Vererbung unterbrechen ab der OU = Server 0 hebt diese wieder auf
Set-GPInheritance -Target “OU=Server,OU=DWP,DC=dwp,DC=local” -IsBlocked 1
# Eine Verlinkung eines Gruppenrichtlinienobjekt wieder aufheben
Remove-GPLink -Name “RDP deaktivieren” -Target “OU=Server,OU=DWP,DC=dwp,DC=local”
# Ein GPUdate auf dem Server SRVTOOLS remote ausführen – es wird geplant
Invoke-GPUpdate -Computer “SRVTOOLS” -Target “Computer”
# Einen Bericht über den Server SRVTOOLS abfragen und lokal speichern
Get-GPResultantSetOfPolicy -Computer SRVTOOLS -ReportType HTML -Path C:\Temp\SRVTOLS-RSOP.html
# Aus dem Gruppenrichtlinienobjekt die GPP Einstellungen wieder entfernen
Remove-GPPrefRegistryValue -Name “RDP deaktivieren” -Key “HKLM\System\CurrentControlSet\Control\Terminal Server” -ValueName “fDenyTSConnections” -Context Computer
# Registrierungseinstellung in einem GRO setzen
Set-GPRegistryValue -Name “RDP deaktivieren” -Key “HKLM\System\CurrentControlSet\Control\Terminal Server” -ValueName fDenyTSConnections -Value 0 -Type Dword
# Registrierungseinstellung aus einem GRO wieder entfernen
Remove-GPRegistryValue -Name “RDP deaktivieren” -Key “HKLM\System\CurrentControlSet\Control\Terminal Server” -ValueName fDenyTSConnections
# Registrierungseinstellung aus einem GRO abfragen
Get-GPRegistryValue -Name “RDP deaktivieren” -Key “HKLM\System\CurrentControlSet\Control\Terminal Server” -ValueName fDenyTSConnections
# Die Benutzereinstellung auf einem Gruppenrichtlinienobjekt deaktivieren
$GPO = “RDP deaktivieren”
(Get-GPO $Gpo).GpoStatus = “UserSettingsDisabled”
# Die Computereinstellung auf einem Gruppenrichtlinienobjekt deaktivieren
$GPO = “RDP deaktivieren”
(Get-GPO $Gpo).GpoStatus = “ComputerSettingsDisabled”
# Die Reihenfolge der Abarbeitung ändern
Set-GPLink -Name “RDP deaktivieren”-Target “OU=Server,OU=DWP,DC=dwp,DC=local” -Order 1