U ovom članku ćemo pokazati jednostavan način daljinskog ažuriranja grupnih politika na klijentima (računarima i serverima) domene Aktivni direktorij, bez potrebe za pristupom konzoli udaljenog stroja i bez korištenja naredbe gpupdate.

Jedan od najtežih problema u upravljanju politikama AD grupe je testiranje politika u hodu, bez ponovnog pokretanja računara ili pristupa lokalnom računaru i pokretanja komande.

Funkcija Remote Group Policy Update pruža mogućnost korištenja jedne GPO upravljačke konzole (GPMC.msc) za kreiranje, uređivanje, primjenu i testiranje grupnih politika.

Funkcionalnost ažuriranja udaljenih grupnih politika prvi put se pojavila u Microsoft Windows Server 2012, u svim narednim verzijama (Windows Server 2016, Microsoft Windows 10), ova funkcionalnost i njegova stabilnost su postepeno unapređivani.

Zahtjevi za funkcioniranje udaljenog ažuriranja grupnih pravila:

Zahtevi serverskog okruženja:

• Windows Server 2012 i noviji
• Ili Windows 10 sa instaliranim alatima za upravljanje RSAT

Zahtjevi za klijente:

• Windows 7 i noviji

Zahtjevi za mrežnu komunikaciju (firewall) između servera i klijenata

• TCP port 135 mora biti otvoren
• Omogućeno Windows servis Instrumentacija upravljanja (usluga upravljanja Windows)
• Usluga planiranja zadataka

Ako vaše okruženje ispunjava ove zahtjeve, otvorite konzolu za upravljanje grupnim politikama (GPMC.msc), izaberite OU (kontejner) u kojem se nalaze ciljni računari na kojima želite prisilno ažurirati GPO.

Desni klik na pravi kontejner i odaberite Ažuriranje grupnih pravila.

U prozoru koji se otvori pojavit će se informacija o broju objekata u ovoj OU na kojoj će GPO biti ažuriran. Za potvrdu radnje kliknite na dugme „Da“.

U prozoru rezultata ažuriranja udaljenih smernica grupe videćete status ažuriranja politike, kao i status ove operacije (uspeh/greška, kod greške). Naravno, ako je računar isključen ili je pristup njemu ograničen zaštitnim zidom, pojavit će se odgovarajuća greška.

Nakon promene GPO-a, potrebno je neko vreme (90 minuta +/- 30) da se propagiraju na druge sisteme, ali ako ih treba hitno primeniti, administrator se prijavljuje na udaljeni sistem i pokreće komandu “ gpupdate" Sa velikim brojem računara, proces je potrajao, a sam proces je nezgodan. Sada možete zaboraviti na to. U konzoli za upravljanje pravilima grupe (GPMC) pojavila se nova stavka u kontekstualnom meniju domene i organizacione jedinice: “ Ažuriranje grupnih pravila” (Ažuriranje grupnih politika) vam omogućava da ažurirate sistemske politike počevši od Windows Vista/2008 sa dva klika mišem. Nakon aktiviranja zadatka, biće primljena lista računara i registrovanih korisnika, nakon čega se postavlja zadatak “ Gpupdate.exe /force" Kako bi se izbjeglo zagušenje mreže, obavit će se s nasumičnim kašnjenjem u rasponu od 0-10 minuta. Rezultat zadatka je prikazan u poseban prozor, uspjeh ažuriranja može se utvrditi pomoću rezultirajućeg čarobnjaka politike.
Nova funkcija je također dobila svoj vlastiti cmdlet - Invoke-GPUpdate, koji vam omogućava daljinsko ažuriranje GP-a i pruža još veće mogućnosti od GPMC-a. Inače, sada je 27 cmdleta odgovorno za grupne politike, tj. još jedan (dobi puna lista možete unijeti " Get-Command -Module GroupPolicy«).
Da biste odmah ažurirali politike na određenom sistemu, samo pokrenite:

PS> Invoke- GPUpdate - Computer< имя компьютера>

PS> Invoke-GPUpdate -Computer< имя компьютера>

Dodatni ključ –RandomDelayInMinutes omogućava vam da postavite interval isteka, što je korisno ako će se naredba izvršiti na više sistema.
Ali glavna stvar je da u GPMC konzoli možete odabrati samo podjelu; tamo ne postoji poseban kontejner za računare. Ovdje u pomoć dolazi Invoke-GPUpdate, koji, zajedno sa Get-ADComputer cmdletom, omogućava odabir sistema prema bilo kojem kriteriju:

PS> Get- ADComputer –filter * - Searchbase "cn=računari, dc=primjer,dc=org"| foreach ( Invoke-GPUpdate –computer$_.name –force –-RandomDelayInMinutes 5)

PS> Get-ADComputer –filter * -Searchbase "cn=computers, dc=example,dc=org" | foreach( Invoke-GPUpdate –računar $_.name –force –-RandomDelayInMinutes 5)

Više važna tačka, na klijentskim sistemima mora biti otvoreno više portova zaštitnog zida. Da bi olakšao život administratoru, MS je ponudio 2 nove početne politike (na 8 postojećih), omogućavajući vam da brzo kreirate i distribuirate potrebna podešavanja:

— Portovi zaštitnog zida za ažuriranja udaljenih grupnih politika;
- Portovi zaštitnog zida za izvještaje grupnih politika.

Njihova svrha je jasna iz naziva. Zanima nas prva. Preporučujemo da kreirate novi GPO i premjestite ga na vrh, dajući mu veći prioritet od GPO zadane domene.
Proces je jednostavan. Odaberite domenu i odaberite "Kreiraj GPO u ovoj domeni" iz izbornika. U prozoru koji se pojavi unesite naziv i sa liste izaberite „Priključci zaštitnog zida za udaljeno ažuriranje smernica grupe“. Alternativno, možete koristiti PowerShell.

Sažetak: Microsoft Scripting Guy, Ed Wilson pokazuje kako da na silu izvršite ažuriranje smernica grupe koristeći PowerShell.

Ažuriranje grupnih politika u domeni

Ponekad napravim promjene grupna politika na mreži i moram da primenim promene na svim računarima. A ponekad moram da ažuriram lokalnu grupnu politiku na svom računaru.

Za ažuriranje postavki grupnih politika koristim uslužni program GPUpdate. Ima neke parametre. Podrazumevano, uslužni program ažurira politike računara i korisnika. Ali ovo se može kontrolirati pomoću parametra /target. Na primjer, ako treba da ažuriram samo politiku računala, naznačiću /target:računar. Za ažuriranje samo korisničke politike − /target:korisnik.

PS C:\> gpupdate /target:computer

Ažuriranje politike…

Default GPUpdate Primjenjuje samo ažurirane postavke grupnih pravila. Za primjenu svih postavki koristite parametar /force. Sledeća komanda ažurira sve postavke grupnih smernica (bez obzira da li su promenjene ili ne) za računar i korisnika.

PS C:\> gpupdate /force

Ažuriranje politike…

Ažuriranje kompjuterske politike je uspješno završeno.

Ažuriranje korisničkih pravila je uspješno završeno.

Prvo, dobijamo listu računara u domenu

Prva stvar koju treba da uradim je da dobijem listu svih računara u domenu. Za ovo koristim cmdlet Get-ADComputer, dio modula Active Directory.

Napomena: Modul Active Directory je uključen u RSAT.

Rezultirajuće kompjuterske objekte pohranjujem u varijablu $cn.

$cn = Get-ADComputer -filt *

Drugo, kreiramo udaljene sesije

Sljedeće što treba da uradim je da kreiram udaljene sesije sa svim računarima. Da bih to uradio, moram da obezbedim akreditive za povezivanje sa računarima, kao i da kreiram same sesije koristeći cmdlet New-PSSession.

Za početak, koristiću cmdlet Get-Credentials i pohraniti objekt koji je vratio u varijablu $cred.

$cred = Get-Credential iammred\administrator

$session = New-PSSession -cn $cn.name -cred $cred

Morate imati na umu da možda postoje računari u domeni koji su isključeni, tako da se prilikom pokretanja naredbe mogu vratiti greške. Međutim, uprkos greškama, Windows PowerShell kreira sesije sa radnim računarima.

Prisustvo velikog broja grešaka može izazvati određenu zabrinutost. Pošto su objekti sesije pohranjeni u varijablu $sessions, lako mogu provjeriti da li su kreirani.

Sada pokrenimo komandu na svim udaljenim mašinama

Za pokretanje komande GPUpdate na svim udaljenim mašinama koristim cmdlet Invoke-Command. Koristi sesije koje smo sačuvali u varijablu $sessions. Alias ​​za cmdlet Invoke-Command – icm.

icm -Sesija $session -ScriptBlock (gpupdate /force)

Nakon pokretanja naredbe, rezultati se prikazuju u Windows konzola PowerShell.

Provjera ažuriranja grupnih pravila

Kada je uključen radna stanica Postavke grupnih politika su uspješno ažurirane i događaj sa kodom 1502 je zabilježen u sistemskom dnevniku. Mogu koristiti cmdlet Invoke-Command da dobijete ove informacije.

icm -Sesija $session -ScriptBlock (Get-EventLog -LogName sistem -InstanceId 1502 -Najnoviji 1)

Naredba i njeni rezultati prikazani su na donjoj slici.

Još jedna zanimljiva stvar o grupnoj politici

Ponekad moram nazvati tehničku podršku i zamole me da ažuriram grupna pravila lokalni računar. Ovo nije problem jer mogu da trčim GPUpdate direktno iz PowerShell-a. Poteškoća nastaje kada me zatraže da ažuriram grupna pravila 5 puta u intervalima od 5 minuta. Ali to se također može riješiti jednom linijom koda.

1..5 | %("osvježavanje GP $(Get-Date)"; gpupdate /force ; spavanje 300)

Ed Wilson, Microsoftov skriptar

original:

Postavljanje politike ažuriranja za Windows 10 je postavljanje načina na koji Windows 10 prima ažuriranja. U Windowsu 10, postavke ažuriranja su premeštene sa kontrolne table u postavke sistema. U operativnom sistemu Windows 10 ne postoje postavke kao što su bile na kontrolnoj tabli i stoga više nije moguće onemogućiti ažuriranja ili odabrati način njihovog primanja. Međutim, možete koristiti Registry Editor i Local Group Policy Editor da onemogućite ažuriranja i postavite kako ćete ih primati.

Konfiguriranje ažuriranja pomoću uređivača lokalnih grupnih pravila

Pokrenite uređivač lokalnih grupnih pravila pritiskom na dva tastera na tastaturi odjednom WIN+R gpedit.msc i kliknite na OK.

Grupna politika za ažuriranje Windows 10

Konfiguracija računara - Administrativni predlošci - Windows komponente - Windows Update. Kliknite na poslednju stavku Windows Update, a zatim na desnoj strani pronađite stavku Postavke automatsko ažuriranje i promijenite njegove postavke.

Postavljanje grupnih pravila za ažuriranje Windows 10

Da biste to učinili, u prozoru koji se otvori trebate staviti tačku na vrhu pored stavke Omogućeno, a zatim ispod postaviti postavke ažuriranja. Kliknite OK. Zatim da bi postavke koje ste podesili da rade, otvorite Postavke sistema - Ažuriranje i sigurnost - Windows Update i pritisnite dugme Provjera ažuriranja.

Kada završite sa postavljanjem pravila za Windows 10, pokrenite ažuriranje

Nakon toga će stupiti na snagu postavke koje ste napravili u uređivaču lokalnih grupnih pravila.

Podešavanje ažuriranja pomoću uređivača registra

Pokrenite Registry Editor pritiskom na dva tastera na tastaturi odjednom WIN+R. Otvoriće se prozor Run u koji unosite komandu regedit i kliknite na OK.

Otvorite Registry Editor i tamo kreirajte četiri postavke za upravljanje ažuriranjima za Windows 10

U lijevom dijelu prozora uređivača koji se otvori proširite HKEY_LOCAL_MACHINE - SOFTVER - Pravila - Microsoft - Windows. Zadržite pokazivač iznad zadnje stavke Windowsa i kliknite desnim tasterom miša. U kontekstnom meniju koji se otvori, izaberite Kreiraj - Odjeljak. Imenujte novi odjeljak WindowsUpdate.
Zatim zadržite pokazivač iznad novokreiranog odjeljka WindowsUpdate i ponovo kreirajte odjeljak kojem date naziv AU.
Zatim pomaknite kursor preko novokreirane AU particije i kliknite desnim tasterom miša i odaberite iz menija koji se otvara Novo - DWORD vrijednost (32-bit). Novo kreirani parametar će se pojaviti na desnoj strani prozora, dajte mu naziv AUOptions. Na isti način, pomeranjem kursora iznad AU sekcije, kreirajte još tri parametra i imenujte prvi NoAutoUpdate, sekunda ScheduledInstallDay, i treći ScheduledInstallTime(opciono NoAutoRebootWithLoggedOnUsers). Sada u ovim četiri nova parametri moraju promijeniti vrijednost.

Za parametar AUOptions

• 2 - Primite obavještenje prije instaliranja i preuzimanja ažuriranja.
• 3 - Automatski primajte ažuriranja i obavještenja kada su spremni za instalaciju.
• 4 - Automatski primajte i instalirajte ažuriranja prema određenom rasporedu.
• 5 – Dozvolite lokalnim administratorima da sami odaberu način ažuriranja i obavijesti.

Za parametar NoAutoUpdate

• 0 — Omogućeno automatska instalacija ažuriranja koja će biti preuzeta i instalirana u zavisnosti od postavki napravljenih u parametru AUOptions.
• 1 — Automatska instalacija ažuriranja je onemogućena.

Za parametar ScheduledInstallDay

• 0—ažuriranja će se instalirati svakodnevno ako je parametar AUOptions postavljen na 4.
• 1—ažuriranja će se instalirati svakog ponedjeljka ako je parametar AUOptions postavljen na 4.
• 2 — ažuriranja će se instalirati svakog utorka sa parametrom AUOptions postavljenim na 4.
• 3 — ažuriranja će se instalirati svake srijede s parametrom AUOptions postavljenim na 4.
• 4—ažuriranja će se instalirati svakog četvrtka ako je parametar AUOptions postavljen na 4.
• 5 — ažuriranja će se instalirati svakog petka ako je parametar AUOptions postavljen na 4.
• 6 — ažuriranja će se instalirati svake subote ako je parametar AUOptions postavljen na 4.
• 7 — ažuriranja će se instalirati svake nedjelje ako je parametar AUOptions postavljen na 4.

Za parametar ScheduledInstallTime

Od 0 do 23, ažuriranja će biti instalirana za isto toliko sati u zavisnosti od postavljenog parametra i ako je parametar AUOptions postavljen na 4.

Za parametar NoAutoRebootWithLoggedOnUsers

• 0 — Kada se instalacija ažuriranja završi, računar će se automatski ponovo pokrenuti; radi sa parametrom AUOptions postavljenim na 4.
• 1 - Kada se instalacija ažuriranja završi, računar se neće automatski ponovo pokrenuti; radi sa parametrom AUOptions postavljenim na 4.