V tomto článku si ukážeme jednoduchý způsob, jak vzdáleně aktualizovat zásady skupiny na klientech (počítačích a serverech) domény Aktivní adresář, aniž byste museli přistupovat ke konzole vzdáleného stroje a bez použití příkazu gpupdate.

Jedním z nejobtížnějších problémů při správě zásad skupiny AD je testování zásad za běhu, bez restartování počítače nebo přístupu k místnímu počítači a spuštění příkazu.

Funkce Vzdálená aktualizace zásad skupiny poskytuje možnost používat jedinou konzolu pro správu GPO (GPMC.msc) k vytváření, úpravě, použití a testování zásad skupiny.

Funkce vzdálené aktualizace zásad skupiny se poprvé objevila v Microsoft Windows Server 2012, ve všech následujících verzích (Windows Server 2016, Microsoft Windows 10), byla tato funkčnost a její stabilita postupně vylepšována.

Požadavky na fungování vzdálené aktualizace zásad skupiny:

Požadavky na prostředí serveru:

• Windows Server 2012 a vyšší
• Nebo Windows 10 s nainstalovanými nástroji pro správu RSAT

Požadavky na klienty:

• Windows 7 a vyšší

Požadavky na síťovou komunikaci (firewally) mezi serverem a klienty

• TCP port 135 musí být otevřený
• Povoleno Služba Windows Management Instrumentation (služba správy Windows)
• Služba Plánovač úloh

Pokud vaše prostředí splňuje tyto požadavky, otevřete Konzolu pro správu zásad skupiny (GPMC.msc), vyberte organizační jednotku (kontejner), ve které jsou umístěny cílové počítače, na kterých chcete vynutit aktualizaci GPO.

Klikněte pravým tlačítkem na správný kontejner a vyberte Aktualizace zásad skupiny.

V okně, které se otevře, se objeví informace o počtu objektů v této OU, na kterých bude GPO aktualizován. Pro potvrzení akce klikněte na tlačítko „Ano“.

V okně Výsledky aktualizace zásad vzdálené skupiny uvidíte stav aktualizace zásad a také stav této operace (úspěch/chyba, kód chyby). Pokud je počítač vypnutý nebo je přístup k němu omezen bránou firewall, přirozeně se objeví odpovídající chyba.

Po změnách GPO nějakou dobu (90 minut +/- 30) trvá, než se rozšíří do jiných systémů, ale pokud je třeba je použít urgentně, přihlásí se administrátor ke vzdálenému systému a spustí příkaz “ gpupdate" U velkého počtu počítačů tento proces nějakou dobu trval a samotný proces je nepohodlný. Nyní na to můžete zapomenout. V Konzole pro správu zásad skupiny (GPMC) se v kontextové nabídce domény a organizační jednotky objevila nová položka: „ Aktualizace zásad skupiny“ (Aktualizace zásad skupiny) umožňuje aktualizovat systémové zásady počínaje Windows Vista/2008 dvěma kliknutími myši. Po aktivaci úlohy bude přijat seznam počítačů a registrovaných uživatelů, po kterém bude úloha „ Gpupdate.exe /force" Aby nedošlo k zahlcení sítě, bude se provádět s náhodným zpožděním v rozsahu 0-10 minut. Výsledek úlohy se zobrazí v samostatné oknoúspěšnost aktualizace lze určit pomocí výsledného průvodce zásadami.
Nová funkce také získala svůj vlastní cmdlet - Vyvolat-GPUpdate, který umožňuje vzdálenou aktualizaci GP a poskytuje ještě větší možnosti než GPMC. Mimochodem, za skupinové politiky je nyní zodpovědných 27 cmdletů, tzn. ještě jeden (dostat úplný seznam můžete zadat" Get-Command -Modul GroupPolicy«).
Chcete-li okamžitě aktualizovat zásady na konkrétním systému, stačí spustit:

PS> Vyvolat- GPUpdate - Počítač< имя компьютера>

PS> Vyvolat-GPUpdate -Počítač< имя компьютера>

Dodatečný klíč –RandomDelayInMinutes umožňuje nastavit časový limit, což je užitečné, pokud bude příkaz spuštěn na více systémech.
Hlavní ale je, že v konzoli GPMC lze vybrat pouze divizi, žádný samostatný kontejner počítačů tam není. Zde přichází na pomoc Invoke-GPUpdate, který vám spolu s rutinou Get-ADComputer umožňuje vybírat systémy podle libovolného kritéria:

PS> Get- ADComputer –filtr * - Searchbase "cn=počítače, dc=příklad,dc=org"| foreach ( Invoke-GPUpdate –computer$_.name –force –-RandomDelayInMinutes 5)

PS> Get-ADComputer –filtr * -Searchbase "cn=počítače, dc=příklad,dc=org" | foreach( Invoke-GPUpdate –počítač $_.name –force –-RandomDelayInMinutes 5)

Více důležitý bod, na klientských systémech musí být otevřeno více portů brány firewall. Aby se správci usnadnil život, MS nabídl 2 nové počáteční zásady (k 8 stávajícím), které vám umožňují rychle vytvářet a distribuovat požadovaná nastavení:

— Porty brány firewall pro vzdálené aktualizace zásad skupiny;
- Porty brány firewall pro zprávy o zásadách skupiny.

Jejich účel je jasný již z názvu. Nás zajímá ten první. Doporučujeme vytvořit nový GPO a přesunout jej na začátek, čímž mu přiřadíte vyšší prioritu než výchozí GPO domény.
Postup je jednoduchý. Vyberte doménu a z nabídky vyberte „Vytvořit GPO v této doméně“. V zobrazeném okně zadejte název a ze seznamu vyberte „Porty brány firewall pro vzdálenou aktualizaci zásad skupiny“. Případně můžete použít PowerShell.

souhrn: Microsoft Scripting Guy, Ed Wilson ukazuje, jak vynutit aktualizaci zásad skupiny pomocí PowerShellu.

Aktualizace zásad skupiny v doméně

Někdy dělám změny skupinová politika v síti a musím změny aplikovat na všechny počítače. A někdy potřebuji aktualizovat zásady místní skupiny na svém počítači.

K aktualizaci nastavení zásad skupiny používám nástroj GPUpdate. Má to nějaké parametry. Ve výchozím nastavení nástroj aktualizuje zásady počítače i uživatele. Ale to lze ovládat pomocí parametru /cílová. Pokud například potřebuji aktualizovat pouze zásady počítače, upřesním /target:počítač. Chcete-li aktualizovat pouze zásady uživatele − /target:user.

PS C:\> gpupdate /target:computer

Aktualizace zásad…

Výchozí GPUpdate Použije pouze aktualizované nastavení zásad skupiny. Chcete-li použít všechna nastavení, použijte parametr /platnost. Následující příkaz aktualizuje všechna nastavení zásad skupiny (bez ohledu na to, zda byla nebo nebyla změněna) pro počítač a uživatele.

PS C:\> gpupdate /force

Aktualizace zásad…

Aktualizace zásad počítače byla úspěšně dokončena.

Aktualizace uživatelských zásad byla úspěšně dokončena.

Nejprve získáme seznam počítačů v doméně

První věc, kterou musím udělat, je získat seznam všech počítačů v doméně. K tomu používám cmdlet Get-ADComputer, součást modulu Active Directory.

Poznámka: Modul Active Directory je součástí RSAT.

Výsledné objekty počítače ukládám do proměnné $cn.

$cn = Get-ADComputer -filt *

Za druhé, vytváříme vzdálené relace

Další věc, kterou musím udělat, je vytvořit vzdálené relace se všemi počítači. K tomu musím poskytnout přihlašovací údaje pro připojení k počítačům a také vytvořit samotné relace pomocí rutiny Nová PSSession.

Pro začátek použiji cmdlet Get-Credentials a uložte jím vrácený objekt do proměnné $cred.

$cred = Get-Credential iammred\administrator

$session = Nová-PSSession -cn $cn.name -cred $cred

Musíte si uvědomit, že v doméně mohou být počítače, které jsou vypnuté, takže při spuštění příkazu se mohou vrátit chyby. Navzdory chybám však Windows PowerShell vytváří relace s pracovními počítači.

Přítomnost velkého počtu chyb může způsobit určité obavy. Vzhledem k tomu, že objekty relace jsou uloženy v proměnné $sessions, mohu snadno ověřit, že byly vytvořeny.

Nyní spusťte příkaz na všech vzdálených počítačích

Chcete-li spustit příkaz GPUpdate na všech vzdálených počítačích používám rutinu Invoke-Command. Používá relace, které jsme uložili do proměnné $sessions. Alias ​​pro rutinu Invoke-Command – icm.

icm -Session $session -ScriptBlock (gpupdate /force)

Po spuštění příkazu se výsledky zobrazí v konzole Windows PowerShell.

Kontrola aktualizace zásad skupiny

Když je zapnuto pracovní stanice Nastavení zásad skupiny byla úspěšně aktualizována a v systémovém protokolu je zaznamenána událost s kódem 1502. Mohu použít rutinu Invoke-Command k získání těchto informací.

icm -Session $session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Nejnovější 1)

Příkaz a jeho výsledky jsou zobrazeny na obrázku níže.

Další zajímavá věc o zásadách skupiny

Někdy musím zavolat na technickou podporu a požádají mě, abych aktualizoval zásady skupiny na mém místní počítač. To není problém, protože můžu běhat GPUpdate přímo z PowerShellu. Potíž nastává, když mě požádají o aktualizaci zásad skupiny 5krát v 5minutových intervalech. Ale i to lze vyřešit jedním řádkem kódu.

1..5 | %("refreshing GP $(Get-Date)"; gpupdate /force ; spánek 300)

Ed Wilson, Microsoft Scripting Guy

Originál:

Nastavení zásad aktualizací systému Windows 10 nastavuje způsob, jakým systém Windows 10 přijímá aktualizace. V systému Windows 10 byla nastavení aktualizací přesunuta z Ovládacích panelů do Nastavení systému. Ve Windows 10 nejsou žádná taková nastavení jako v Ovládacích panelech, a proto již není možné zakázat aktualizace nebo zvolit způsob jejich příjmu. K zakázání aktualizací a nastavení způsobu jejich přijímání však můžete použít Editor registru a Editor místních zásad skupiny.

Konfigurace aktualizací pomocí Editoru místních zásad skupiny

Spusťte Editor místních zásad skupiny stisknutím dvou kláves na klávesnici najednou WIN+R gpedit.msc a klepněte na OK.

Zásady skupiny aktualizací systému Windows 10

Konfigurace počítače - Šablony pro správu - Součásti systému Windows - Windows Update. Klikněte na poslední položku Windows Update a poté na pravé straně najděte položku Nastavení automatická aktualizace a změnit jeho nastavení.

Nastavení zásad skupiny aktualizací systému Windows 10

Chcete-li to provést, v okně, které se otevře, musíte umístit tečku nahoře vedle položky Povoleno a poté nastavit nastavení aktualizace níže. Klepněte na tlačítko OK. Poté, aby nastavení, která jste provedli, fungovala, otevřete Nastavení systému - Aktualizace a zabezpečení - Windows Update a stiskněte tlačítko Kontrola aktualizací.

Po dokončení nastavení zásad Windows 10 spusťte aktualizaci

Poté se projeví nastavení provedená v Editoru místních zásad skupiny.

Nastavení aktualizací pomocí Editoru registru

Spusťte Editor registru stisknutím dvou kláves na klávesnici najednou WIN+R. Otevře se okno Spustit, do kterého zadáte příkaz regedit a klepněte na OK.

Otevřete Editor registru a vytvořte v něm čtyři nastavení pro správu aktualizací systému Windows 10

V levé části okna editoru, které se otevře, rozbalte HKEY_LOCAL_MACHINE – SOFTWARE – Zásady – Microsoft – Windows. Najeďte myší na poslední položku Windows a klikněte pravým tlačítkem. V kontextové nabídce, která se otevře, vyberte Vytvořit - Sekce. Pojmenujte novou sekci WindowsUpdate.
Poté najeďte myší na nově vytvořenou sekci WindowsUpdate a znovu vytvořte sekci, kterou pojmenujete AU.
Poté přesuňte kurzor na nově vytvořený oddíl AU a klikněte pravým tlačítkem myši a vyberte z nabídky, která se otevře Novinka – Hodnota DWORD (32bitová). Nově vytvořený parametr se objeví na pravé straně okna, pojmenujte jej AUOptions. Stejným způsobem najetím kurzoru na sekci AU vytvořte další tři parametry a pojmenujte první Bez automatické aktualizace, druhý ScheduledInstallDay a třetí ScheduledInstallTime(volitelný NoAutoRebootWithLoggedOnUsers). Nyní v těchto čtyři nové parametry potřebují změnit hodnotu.

Pro parametr AUOptions

• 2 - Před instalací a stažením aktualizací obdržíte upozornění.
• 3 - Automaticky přijímat aktualizace a upozornění, když jsou připraveny k instalaci.
• 4 - Automaticky přijímat a instalovat aktualizace podle zadaného plánu.
• 5 - Umožněte místním správcům, aby si sami zvolili režim aktualizace a upozornění.

Pro parametr NoAutoUpdate

• 0 – povoleno automatická instalace aktualizace, které budou staženy a nainstalovány v závislosti na nastavení provedeném v parametru AUOptions.
• 1 — Automatická instalace aktualizací je zakázána.

Pro parametr ScheduledInstallDay

• 0 – aktualizace budou instalovány denně, pokud je parametr AUOptions nastaven na 4.
• 1 – aktualizace budou instalovány každé pondělí, pokud je parametr AUOptions nastaven na 4.
• 2 — aktualizace se budou instalovat každé úterý s parametrem AUOptions nastaveným na 4.
• 3 — aktualizace budou instalovány každou středu s parametrem AUOptions nastaveným na 4.
• 4—aktualizace budou instalovány každý čtvrtek, pokud je parametr AUOptions nastaven na 4.
• 5 — aktualizace se budou instalovat každý pátek, pokud je parametr AUOptions nastaven na 4.
• 6 — aktualizace se budou instalovat každou sobotu, pokud je parametr AUOptions nastaven na 4.
• 7 — aktualizace se budou instalovat každou neděli, pokud je parametr AUOptions nastaven na 4.

Pro parametr ScheduledInstallTime

Od 0 do 23 se aktualizace nainstalují za tolik hodin v závislosti na nastaveném parametru a pokud je parametr AUOptions nastaven na 4.

Pro parametr NoAutoRebootWithLoggedOnUsers

• 0 — Po dokončení instalace aktualizace se počítač automaticky restartuje; pracuje s parametrem AUOptions nastaveným na 4.
• 1 - Po dokončení instalace aktualizace se počítač automaticky nerestartuje, pracuje s parametrem AUOptions nastaveným na 4.