Σε αυτό το άρθρο θα δείξουμε έναν απλό τρόπο για την απομακρυσμένη ενημέρωση των πολιτικών ομάδας σε πελάτες (υπολογιστές και διακομιστές) ενός τομέα Ενεργό αρχείο, χωρίς να χρειάζεται να έχετε πρόσβαση στην κονσόλα του απομακρυσμένου μηχανήματος και χωρίς να χρησιμοποιήσετε την εντολή gpupdate.

Ένα από τα πιο δύσκολα προβλήματα στη διαχείριση των πολιτικών της ομάδας AD είναι ο έλεγχος πολιτικών επί τόπου, χωρίς επανεκκίνηση του υπολογιστή ή πρόσβαση στον τοπικό υπολογιστή και εκτέλεση της εντολής.

Η δυνατότητα Απομακρυσμένη ενημέρωση πολιτικής ομάδας παρέχει τη δυνατότητα χρήσης μιας κονσόλας διαχείρισης GPO (GPMC.msc) για τη δημιουργία, επεξεργασία, εφαρμογή και δοκιμή πολιτικών ομάδας.

Η λειτουργικότητα της ενημέρωσης πολιτικής απομακρυσμένης ομάδας εμφανίστηκε για πρώτη φορά στο Microsoft Windows Server 2012, σε όλες τις επόμενες εκδόσεις (Windows Server 2016, Microsoft Windows 10), αυτή η λειτουργικότητα και η σταθερότητά της βελτιώθηκαν σταδιακά.

Απαιτήσεις για να λειτουργήσει η απομακρυσμένη ενημέρωση πολιτικής ομάδας:

Απαιτήσεις περιβάλλοντος διακομιστή:

• Windows Server 2012 και νεότερη έκδοση
• Ή Windows 10 με εγκατεστημένα εργαλεία διαχείρισης RSAT

Απαιτήσεις για πελάτες:

• Windows 7 και νεότερη έκδοση

Απαιτήσεις για δικτυακή επικοινωνία (τείχη προστασίας) μεταξύ διακομιστή και πελατών

• Η θύρα TCP 135 πρέπει να είναι ανοιχτή
• Ενεργοποιημένο υπηρεσία WindowsΌργανα διαχείρισης (υπηρεσία διαχείρισης Windows)
• Υπηρεσία προγραμματιστή εργασιών

Εάν το περιβάλλον σας πληροί αυτές τις απαιτήσεις, ανοίξτε την Κονσόλα διαχείρισης πολιτικής ομάδας (GPMC.msc), επιλέξτε το OU (κοντέινερ) στο οποίο βρίσκονται οι υπολογιστές-στόχοι στους οποίους θέλετε να επιβάλετε την ενημέρωση GPO.

Κάντε δεξί κλικ το σωστό δοχείοκαι επιλέξτε Ενημέρωση πολιτικής ομάδας.

Στο παράθυρο που ανοίγει, θα εμφανιστούν πληροφορίες σχετικά με τον αριθμό των αντικειμένων σε αυτό το OU στα οποία θα ενημερωθεί το GPO. Για να επιβεβαιώσετε την ενέργεια, κάντε κλικ στο κουμπί «Ναι».

Στο παράθυρο αποτελεσμάτων ενημέρωσης πολιτικής ομάδας απομακρυσμένης πολιτικής, θα δείτε την κατάσταση της ενημέρωσης πολιτικής, καθώς και την κατάσταση αυτής της λειτουργίας (επιτυχία/σφάλμα, κωδικός σφάλματος). Φυσικά, εάν ένας υπολογιστής είναι απενεργοποιημένος ή η πρόσβαση σε αυτόν περιοριστεί από ένα τείχος προστασίας, θα εμφανιστεί ένα αντίστοιχο σφάλμα.

Μετά τις αλλαγές του GPO, χρειάζεται λίγος χρόνος (90 λεπτά +/- 30) για να διαδοθούν σε άλλα συστήματα, αλλά αν χρειαστεί να εφαρμοστούν επειγόντως, ο διαχειριστής συνδέεται στο απομακρυσμένο σύστημα και εκτελεί την εντολή " gpupdate" Με μεγάλο αριθμό υπολογιστών, η διαδικασία πήρε λίγο χρόνο και η ίδια η διαδικασία είναι άβολη. Τώρα μπορείτε να το ξεχάσετε. Στην Κονσόλα διαχείρισης πολιτικής ομάδας (GPMC), ένα νέο στοιχείο εμφανίστηκε στο μενού περιβάλλοντος του τομέα και της οργανωτικής μονάδας: Ενημέρωση πολιτικής ομάδας» (Group Policy Update) σας επιτρέπει να ενημερώνετε τις πολιτικές συστήματος ξεκινώντας από τα Windows Vista/2008 με δύο κλικ του ποντικιού. Μετά την ενεργοποίηση της εργασίας, θα ληφθεί μια λίστα υπολογιστών και εγγεγραμμένων χρηστών, μετά την οποία η εργασία " Gpupdate.exe /force" Για την αποφυγή συμφόρησης δικτύου, θα εκτελείται με τυχαία καθυστέρηση στην περιοχή 0-10 λεπτών. Το αποτέλεσμα της εργασίας εμφανίζεται στο ξεχωριστό παράθυρο, η επιτυχία της ενημέρωσης μπορεί να προσδιοριστεί χρησιμοποιώντας τον οδηγό πολιτικής που προκύπτει.
Η νέα συνάρτηση έλαβε επίσης το δικό της cmdlet - Invoke-GPU Update, το οποίο σας επιτρέπει να ενημερώνετε εξ αποστάσεως το GP και παρέχει ακόμη μεγαλύτερες δυνατότητες από το GPMC. Παρεμπιπτόντως, τώρα 27 cmdlet είναι υπεύθυνα για τις πολιτικές ομάδας, π.χ. ένα ακόμα (πάρτε πλήρης λίσταμπορείτε να εισάγετε " Get-Command -Module GroupPolicy«).
Για να ενημερώσετε άμεσα τις πολιτικές σε ένα συγκεκριμένο σύστημα, απλώς εκτελέστε:

PS> Invoke- GPUpdate - Υπολογιστής< имя компьютера>

PS> Invoke-GPUUpdate -Υπολογιστής< имя компьютера>

Πρόσθετο κλειδί –Τυχαία Καθυστέρηση Σε Λεπτάσας επιτρέπει να ορίσετε ένα διάστημα χρονικού ορίου, το οποίο είναι χρήσιμο εάν η εντολή θα εκτελεστεί σε πολλά συστήματα.
Αλλά το κύριο πράγμα είναι ότι στην κονσόλα GPMC μπορείτε να επιλέξετε μόνο ένα τμήμα· δεν υπάρχει ξεχωριστό κοντέινερ υπολογιστών εκεί. Εδώ έρχεται να σώσει το Invoke-GPUpdate, το οποίο, μαζί με το cmdlet Get-ADComputer, σας επιτρέπει να επιλέξετε συστήματα με οποιοδήποτε κριτήριο:

PS> Get- ADComputer –filter * - Searchbase "cn=υπολογιστές, dc=example,dc=org"| foreach ( Invoke-GPUpdate –computer$_.name –force –-RandomDelayInMinutes 5)

PS> Get-ADComputer –φίλτρο * -Βάση αναζήτησης "cn=computers, dc=example,dc=org" | foreach( Invoke-GPUUpdate –υπολογιστής $_.name –force –-RandomDelayInMinutes 5)

Περισσότερο σημαντικό σημείο, πρέπει να ανοίξουν πολλαπλές θύρες τείχους προστασίας σε συστήματα πελατών. Για να διευκολύνει τη ζωή του διαχειριστή, η MS προσέφερε 2 νέες αρχικές πολιτικές (στις 8 υπάρχουσες), επιτρέποντάς σας να δημιουργείτε και να διανέμετε γρήγορα απαιτούμενες ρυθμίσεις:

— Θύρες τείχους προστασίας για ενημερώσεις πολιτικής απομακρυσμένων ομάδων.
- Θύρες τείχους προστασίας για αναφορές πολιτικής ομάδας.

Ο σκοπός τους είναι ξεκάθαρος από το όνομα. Μας ενδιαφέρει το πρώτο. Συνιστούμε να δημιουργήσετε ένα νέο GPO και να το μετακινήσετε στην κορυφή, δίνοντάς του μεγαλύτερη προτεραιότητα από τον προεπιλεγμένο τομέα GPO.
Η διαδικασία είναι απλή. Επιλέξτε τον τομέα και επιλέξτε "Δημιουργία GPO σε αυτόν τον τομέα" από το μενού. Στο παράθυρο που εμφανίζεται, πληκτρολογήστε το όνομα και επιλέξτε από τη λίστα "Θύρες τείχους προστασίας για απομακρυσμένη ενημέρωση πολιτικής ομάδας". Εναλλακτικά, μπορείτε να χρησιμοποιήσετε το PowerShell.

Περίληψη: Microsoft Scripting Guy, ο Ed Wilson δείχνει πώς να επιβάλετε μια ενημέρωση πολιτικής ομάδας χρησιμοποιώντας το PowerShell.

Ενημέρωση πολιτικής ομάδας σε έναν τομέα

Μερικές φορές κάνω αλλαγές σε πολιτική ομάδαςστο δίκτυο και πρέπει να εφαρμόσω τις αλλαγές σε όλους τους υπολογιστές. Και μερικές φορές χρειάζεται να ενημερώσω την πολιτική τοπικής ομάδας στον υπολογιστή μου.

Για να ενημερώσω τις ρυθμίσεις πολιτικής ομάδας χρησιμοποιώ το βοηθητικό πρόγραμμα Ενημέρωση GPU. Έχει κάποιες παραμέτρους. Από προεπιλογή, το βοηθητικό πρόγραμμα ενημερώνει τις πολιτικές του υπολογιστή και των χρηστών. Αλλά αυτό μπορεί να ελεγχθεί χρησιμοποιώντας την παράμετρο /στόχος. Για παράδειγμα, εάν χρειάζεται να ενημερώσω μόνο την πολιτική υπολογιστή, θα το προσδιορίσω /target:υπολογιστής. Για ενημέρωση μόνο της πολιτικής χρήστη − /target:user.

PS C:\> gpupdate /target:computer

Ενημέρωση πολιτικής…

Προκαθορισμένο Ενημέρωση GPUΕφαρμόζει μόνο ενημερωμένες ρυθμίσεις πολιτικής ομάδας. Για να εφαρμόσετε όλες τις ρυθμίσεις, χρησιμοποιήστε την παράμετρο /δύναμη. Η ακόλουθη εντολή ενημερώνει όλες τις ρυθμίσεις πολιτικής ομάδας (είτε έχουν αλλάξει είτε όχι) για τον υπολογιστή και τον χρήστη.

PS C:\> gpupdate /force

Ενημέρωση πολιτικής…

Η ενημέρωση πολιτικής υπολογιστή ολοκληρώθηκε με επιτυχία.

Η ενημέρωση πολιτικής χρήστη ολοκληρώθηκε με επιτυχία.

Αρχικά, λαμβάνουμε μια λίστα υπολογιστών στον τομέα

Το πρώτο πράγμα που πρέπει να κάνω είναι να λάβω μια λίστα με όλους τους υπολογιστές στον τομέα. Για αυτό χρησιμοποιώ το cmdlet Get-ADComputer, μέρος της λειτουργικής μονάδας Active Directory.

Σημείωση: Η μονάδα Active Directory περιλαμβάνεται στο RSAT.

Αποθηκεύω τα αντικείμενα του υπολογιστή που προκύπτουν στη μεταβλητή $cn.

$cn = Get-ADComputer -filt *

Δεύτερον, δημιουργούμε απομακρυσμένες συνεδρίες

Το επόμενο πράγμα που πρέπει να κάνω είναι να δημιουργήσω απομακρυσμένες συνεδρίες με όλους τους υπολογιστές. Για να το κάνω αυτό, πρέπει να δώσω διαπιστευτήρια για σύνδεση σε υπολογιστές, καθώς και να δημιουργήσω τις ίδιες τις περιόδους λειτουργίας χρησιμοποιώντας το cmdlet Νέα-PSSssion.

Για να ξεκινήσω, θα χρησιμοποιήσω το cmdlet Λήψη-Διαπιστευτήριακαι αποθηκεύστε το αντικείμενο που επιστρέφεται στη μεταβλητή $cred.

$cred = Get-Credential iammred\administrator

$session = New-PSSession -cn $cn.name -cred $cred

Πρέπει να θυμάστε ότι ενδέχεται να υπάρχουν υπολογιστές στον τομέα που είναι απενεργοποιημένοι, επομένως κατά την εκτέλεση της εντολής, ενδέχεται να επιστραφούν σφάλματα. Ωστόσο, παρά τα λάθη, Windows PowerShellδημιουργεί συνεδρίες με υπολογιστές εργασίας.

Η παρουσία μεγάλου αριθμού σφαλμάτων μπορεί να προκαλέσει κάποια ανησυχία. Δεδομένου ότι τα αντικείμενα περιόδου λειτουργίας αποθηκεύονται στη μεταβλητή $sessions, μπορώ εύκολα να επαληθεύσω ότι έχουν δημιουργηθεί.

Τώρα ας εκτελέσουμε την εντολή σε όλα τα απομακρυσμένα μηχανήματα

Για να εκτελέσετε την εντολή Ενημέρωση GPUσε όλα τα απομακρυσμένα μηχανήματα χρησιμοποιώ το cmdlet Επίκληση-Εντολή. Χρησιμοποιεί τις περιόδους σύνδεσης που αποθηκεύσαμε στη μεταβλητή $sessions. Ψευδώνυμο για το cmdlet Επίκληση-Εντολή – icm.

icm -Session $session -ScriptBlock (gpupdate /force)

Μετά την εκτέλεση της εντολής, τα αποτελέσματα εμφανίζονται στο Κονσόλα των Windows PowerShell.

Έλεγχος για ενημέρωση πολιτικής ομάδας

Όταν ενεργοποιείται σταθμός εργασίαςΟι ρυθμίσεις πολιτικής ομάδας ενημερώθηκαν με επιτυχία και ένα συμβάν με κωδικό 1502 καταγράφεται στο αρχείο καταγραφής συστήματος. Μπορώ να χρησιμοποιήσω το cmdlet Επίκληση-Εντολήγια να αποκτήσετε αυτές τις πληροφορίες.

icm -Session $session -ScriptBlock (Get-EventLog -Σύστημα ονόματος LogName -InstanceId 1502 -Νεότερο 1)

Η εντολή και τα αποτελέσματά της φαίνονται στο παρακάτω σχήμα.

Ένα άλλο ενδιαφέρον πράγμα σχετικά με την πολιτική ομάδας

Μερικές φορές πρέπει να καλέσω την τεχνική υποστήριξη και μου ζητούν να ενημερώσω την Πολιτική ομάδας στο δικό μου τοπικός υπολογιστής. Αυτό δεν είναι πρόβλημα αφού μπορώ να τρέξω Ενημέρωση GPUαπευθείας από το PowerShell. Η δυσκολία έρχεται όταν μου ζητούν να ενημερώσω την πολιτική ομάδας 5 φορές σε διαστήματα 5 λεπτών. Αλλά αυτό μπορεί επίσης να λυθεί με μία γραμμή κώδικα.

1..5 | %("ανανέωση GP $(Get-Date)"; gpupdate /force ; sleep 300)

Ed Wilson, Microsoft Scripting Guy

Πρωτότυπο:

Η ρύθμιση της πολιτικής ενημέρωσης των Windows 10 ρυθμίζει τον τρόπο με τον οποίο τα Windows 10 λαμβάνουν ενημερώσεις. Στα Windows 10, οι ρυθμίσεις ενημέρωσης έχουν μετακινηθεί από τον Πίνακα Ελέγχου στις Ρυθμίσεις συστήματος. Στα Windows 10, δεν υπάρχουν τέτοιες ρυθμίσεις όπως υπήρχαν στον Πίνακα Ελέγχου και επομένως δεν είναι πλέον δυνατή η απενεργοποίηση των ενημερώσεων ή η επιλογή του τρόπου λήψης τους. Ωστόσο, μπορείτε να χρησιμοποιήσετε τον Επεξεργαστή Μητρώου και τον Επεξεργαστή Πολιτικής Τοπικής Ομάδας για να απενεργοποιήσετε τις ενημερώσεις και να ορίσετε τον τρόπο λήψης τους.

Διαμόρφωση ενημερώσεων με χρήση του Επεξεργαστή πολιτικής τοπικής ομάδας

Εκκινήστε το Local Group Policy Editor πατώντας δύο πλήκτρα στο πληκτρολόγιο ταυτόχρονα WIN+R gpedit.mscκαι κάντε κλικ στο OK.

Πολιτική ομάδας ενημερώσεων των Windows 10

Computer Configuration - Administrative Templates - Windows Components - Windows Update. Κάντε κλικ στο τελευταίο στοιχείο Windows Update και, στη συνέχεια, στη δεξιά πλευρά βρείτε το στοιχείο Ρυθμίσεις αυτόματη ενημέρωση και αλλάξτε τις ρυθμίσεις του.

Ρύθμιση πολιτικών ομάδας ενημερώσεων των Windows 10

Για να το κάνετε αυτό, στο παράθυρο που ανοίγει, πρέπει να βάλετε μια κουκκίδα στην κορυφή δίπλα στο στοιχείο Ενεργοποιημένο και, στη συνέχεια, να ορίσετε τις ρυθμίσεις ενημέρωσης παρακάτω. Κάντε κλικ στο OK. Στη συνέχεια, για να λειτουργήσουν οι ρυθμίσεις που κάνατε, ανοίξτε Ρυθμίσεις συστήματος - Ενημέρωση & Ασφάλεια - Windows Updateκαι πατήστε το κουμπί Ελεγχος για ενημερώσεις.

Μόλις ολοκληρώσετε τη ρύθμιση των πολιτικών των Windows 10, εκτελέστε την ενημέρωση

Μετά από αυτό, οι ρυθμίσεις που κάνατε στο Local Group Policy Editor θα τεθούν σε ισχύ.

Ρύθμιση ενημερώσεων με χρήση του Επεξεργαστή Μητρώου

Εκκινήστε τον Επεξεργαστή Μητρώου πατώντας δύο πλήκτρα στο πληκτρολόγιο ταυτόχρονα WIN+R. Θα ανοίξει το παράθυρο Εκτέλεση στο οποίο εισάγετε την εντολή regeditκαι κάντε κλικ στο OK.

Ανοίξτε τον Επεξεργαστή Μητρώου και δημιουργήστε τέσσερις ρυθμίσεις εκεί για να διαχειριστείτε τις ενημερώσεις των Windows 10

Στο αριστερό μέρος του παραθύρου του προγράμματος επεξεργασίας που ανοίγει, αναπτύξτε το HKEY_LOCAL_MACHINE - ΛΟΓΙΣΜΙΚΟ - Πολιτικές - Microsoft - Windows. Τοποθετήστε το δείκτη του ποντικιού πάνω από το τελευταίο στοιχείο των Windows και κάντε δεξί κλικ. Στο μενού περιβάλλοντος που ανοίγει, επιλέξτε Δημιουργία - Ενότητα. Ονομάστε τη νέα ενότητα Ενημερωμένη έκδοση για Windows.
Στη συνέχεια, τοποθετήστε το δείκτη του ποντικιού πάνω από την ενότητα WindowsUpdate που δημιουργήθηκε πρόσφατα και δημιουργήστε ξανά μια ενότητα που ονομάσατε AU.
Στη συνέχεια μετακινήστε τον κέρσορα πάνω από το διαμέρισμα AU που δημιουργήθηκε πρόσφατα και κάντε δεξί κλικ και επιλέξτε από το μενού που ανοίγει Νέο - Τιμή DWORD (32-bit). Η νέα παράμετρος που δημιουργήθηκε θα εμφανιστεί στη δεξιά πλευρά του παραθύρου, ονομάστε την Επιλογές AU. Με τον ίδιο τρόπο, τοποθετώντας τον κέρσορα πάνω από την ενότητα AU, δημιουργήστε τρεις ακόμη παραμέτρους και ονομάστε την πρώτη Χωρίς Αυτόματη Ενημέρωση, δεύτερο ScheduledInstallDay, και το τρίτο ScheduledInstallTime(προαιρετικός NoAutoRebootWithLoggedOnUsers). Τώρα σε αυτά τέσσερα νέαοι παράμετροι πρέπει να αλλάξουν την τιμή.

Για την παράμετρο AUOptions

• 2 - Λάβετε μια ειδοποίηση πριν από την εγκατάσταση και τη λήψη τυχόν ενημερώσεων.
• 3 - Λάβετε αυτόματα ενημερώσεις και ειδοποιήσεις όταν είναι έτοιμες για εγκατάσταση.
• 4 - Αυτόματη λήψη και εγκατάσταση ενημερώσεων σύμφωνα με ένα καθορισμένο χρονοδιάγραμμα.
• 5 - Επιτρέψτε στους τοπικούς διαχειριστές να επιλέγουν οι ίδιοι τη λειτουργία ενημέρωσης και τις ειδοποιήσεις.

Για την παράμετρο NoAutoUpdate

• 0 — Ενεργοποιημένο αυτόματη εγκατάστασηενημερώσεις που θα ληφθούν και θα εγκατασταθούν ανάλογα με τις ρυθμίσεις που γίνονται στην παράμετρο AUOptions.
• 1 — Η αυτόματη εγκατάσταση ενημερώσεων είναι απενεργοποιημένη.

Για την παράμετρο ScheduledInstallDay

• 0—οι ενημερώσεις θα εγκαθίστανται καθημερινά εάν η παράμετρος AUOptions έχει οριστεί σε 4.
• 1—Οι ενημερώσεις θα εγκαθίστανται κάθε Δευτέρα, εάν η παράμετρος AUOptions έχει οριστεί σε 4.
• 2 — οι ενημερώσεις θα εγκαθίστανται κάθε Τρίτη με την παράμετρο AUOptions να έχει οριστεί σε 4.
• 3 — οι ενημερώσεις θα εγκαθίστανται κάθε Τετάρτη με την παράμετρο AUOptions να έχει οριστεί σε 4.
• 4—Οι ενημερώσεις θα εγκαθίστανται κάθε Πέμπτη, εάν η παράμετρος AUOptions έχει οριστεί σε 4.
• 5 — οι ενημερώσεις θα εγκαθίστανται κάθε Παρασκευή, εάν η παράμετρος AUOptions έχει οριστεί σε 4.
• 6 — οι ενημερώσεις θα εγκαθίστανται κάθε Σάββατο εάν η παράμετρος AUOptions έχει οριστεί σε 4.
• 7 — οι ενημερώσεις θα εγκαθίστανται κάθε Κυριακή εάν η παράμετρος AUOptions έχει οριστεί σε 4.

Για την παράμετρο ScheduledInstallTime

Από το 0 έως το 23, οι ενημερώσεις θα εγκατασταθούν σε τόσες ώρες ανάλογα με την καθορισμένη παράμετρο και εάν η παράμετρος AUOptions έχει οριστεί σε 4.

Για την παράμετρο NoAutoRebootWithLoggedOnUsers

• 0 — Όταν ολοκληρωθεί η εγκατάσταση της ενημέρωσης, ο υπολογιστής θα επανεκκινηθεί αυτόματα· λειτουργεί με την παράμετρο AUOptions που έχει οριστεί σε 4.
• 1 - Όταν ολοκληρωθεί η εγκατάσταση της ενημέρωσης, ο υπολογιστής δεν θα επανεκκινηθεί αυτόματα· λειτουργεί με την παράμετρο AUOptions που έχει οριστεί σε 4.