Šajā rakstā mēs parādīsim vienkāršu veidu, kā attālināti atjaunināt grupas politikas domēna klientiem (datoriem un serveriem). Active Directory, nepiekļūstot attālās mašīnas konsolei un neizmantojot komandu gpupdate.

Viena no vissarežģītākajām problēmām AD grupas politiku pārvaldībā ir politiku testēšana lidojumā, nepārstartējot datoru vai nepiekļūstot lokālajam datoram un nepalaižot komandu.

Attālās grupas politikas atjaunināšanas līdzeklis nodrošina iespēju izmantot vienu GPO pārvaldības konsoli (GPMC.msc), lai izveidotu, rediģētu, lietotu un pārbaudītu grupu politikas.

Attālās grupas politikas atjaunināšanas funkcionalitāte pirmo reizi parādījās Microsoft Windows Server 2012, visas turpmākās versijas (Windows Server 2016, Microsoft Windows 10), šī funkcionalitāte un tās stabilitāte tika pakāpeniski uzlabota.

Prasības, lai attālās grupas politikas atjauninājums darbotos:

Servera vides prasības:

• Windows Server 2012 un jaunākas versijas
• Vai Windows 10 ar instalētiem RSAT pārvaldības rīkiem

Prasības klientiem:

• Windows 7 un jaunākas versijas

Prasības tīkla komunikācijai (ugunsmūri) starp serveri un klientiem

• TCP portam 135 jābūt atvērtam
• Iespējots Windows pakalpojums Pārvaldības instrumenti (Windows pārvaldības pakalpojums)
• Uzdevumu plānotāja pakalpojums

Ja jūsu vide atbilst šīm prasībām, atveriet grupas politikas pārvaldības konsoli (GPMC.msc), atlasiet OU (konteineru), kurā atrodas mērķa datori, kuros vēlaties piespiest GPO atjauninājumu.

Ar peles labo pogu noklikšķiniet uz pareizais konteiners un atlasiet Grupas politikas atjauninājums.

Atvērtajā logā tiks parādīta informācija par objektu skaitu šajā OU, kuriem tiks atjaunināts GPO. Lai apstiprinātu darbību, noklikšķiniet uz pogas “Jā”.

Attālās grupas politikas atjaunināšanas rezultātu logā jūs redzēsiet politikas atjauninājuma statusu, kā arī šīs darbības statusu (veiksme/kļūda, kļūdas kods). Protams, ja dators ir izslēgts vai piekļuvi tam ierobežo ugunsmūris, tiks parādīta atbilstoša kļūda.

Pēc GPO izmaiņām ir nepieciešams zināms laiks (90 minūtes +/- 30), lai tās pārietu uz citām sistēmām, taču, ja tās ir steidzami jāpielieto, administrators piesakās attālajā sistēmā un izpilda komandu “ gpupdate" Izmantojot lielu skaitu datoru, process prasīja zināmu laiku, un pats process ir neērts. Tagad jūs varat par to aizmirst. Grupas politikas pārvaldības konsolē (GPMC) domēna un organizācijas vienības konteksta izvēlnē ir parādījies jauns vienums: “ Grupas politikas atjauninājums” (Grupas politikas atjauninājums) ļauj atjaunināt sistēmas politikas, sākot ar Windows Vista/2008 ar diviem peles klikšķiem. Pēc uzdevuma aktivizēšanas tiks saņemts datoru un reģistrēto lietotāju saraksts, pēc kura uzdevums “ Gpupdate.exe /force" Lai izvairītos no tīkla pārslodzes, tas tiks veikts ar nejaušu aizkavi 0-10 minūšu diapazonā. Uzdevuma rezultāts tiek parādīts atsevišķs logs, atjaunināšanas panākumus var noteikt, izmantojot iegūto politikas vedni.
Jaunā funkcija saņēma arī savu cmdlet - Invoke-GPUpdate, kas ļauj attālināti atjaunināt GP un nodrošina vēl lielākas iespējas nekā GPMC. Starp citu, tagad par grupu politikām atbild 27 cmdlet, t.i. vēl vienu (get pilns saraksts jūs varat ievadīt " Get-Command - moduļa grupas politika«).
Lai nekavējoties atjauninātu politikas noteiktā sistēmā, vienkārši palaidiet:

PS> Izsaukt - GPUpdate - dators< имя компьютера>

PS> Invoke-GPUpdate - Computer< имя компьютера>

Papildu atslēga – RandomDelayInMinutesļauj iestatīt taimauta intervālu, kas ir noderīgi, ja komanda tiks izpildīta vairākās sistēmās.
Bet galvenais ir tas, ka GPMC konsolē var izvēlēties tikai nodaļu, tur nav atsevišķa datoru konteinera. Šeit palīgā nāk Invoke-GPUpdate, kas kopā ar Get-ADComputer cmdlet ļauj atlasīt sistēmas pēc jebkura kritērija:

PS> Get- ADComputer –filtrs * - Meklēšanas bāze "cn=datori, dc=piemērs, dc=org"| foreach ( Invoke-GPUpdate –computer$_.name –force – RandomDelayInMinutes 5)

PS> Get-ADComputer –filtrs * -Searchbase "cn=compuers, dc=example,dc=org" | foreach (Izsaukt-GPUpdate – dators $_.nosaukums – spēks – RandomDelayInMinutes 5)

Vairāk svarīgs punkts, klienta sistēmās ir jāatver vairāki ugunsmūra porti. Lai atvieglotu administratora dzīvi, MS piedāvāja 2 jaunas sākotnējās politikas (līdz 8 esošajām), kas ļauj ātri izveidot un izplatīt nepieciešamie iestatījumi:

— Ugunsmūra porti attāliem grupu politikas atjauninājumiem;
- Ugunsmūra porti grupas politikas pārskatiem.

To mērķis ir skaidrs no nosaukuma. Mūs interesē pirmais. Ieteicams izveidot jauns objekts Grupas politiku un pārvietojiet to uz augšu, tādējādi piešķirot tai augstāku prioritāti nekā noklusējuma domēna GPO.
Process ir vienkāršs. Atlasiet domēnu un izvēlnē atlasiet “Izveidot GPO šajā domēnā”. Parādītajā logā ievadiet nosaukumu un sarakstā atlasiet “Ugunsmūra porti attālās grupas politikas atjaunināšanai”. Varat arī izmantot PowerShell.

Kopsavilkums: Microsoft skriptēšanas puisis Eds Vilsons parāda, kā piespiest grupas politikas atjauninājumu, izmantojot PowerShell.

Grupas politikas atjaunināšana domēnā

Dažreiz es veicu izmaiņas grupas politika tīklā, un man ir jāpiemēro izmaiņas visiem datoriem. Un dažreiz man datorā ir jāatjaunina vietējās grupas politika.

Lai atjauninātu grupas politikas iestatījumus, es izmantoju utilītu GPU atjauninājums. Tam ir daži parametri. Pēc noklusējuma utilīta atjaunina gan datora, gan lietotāja politikas. Bet to var kontrolēt, izmantojot parametru /mērķis. Piemēram, ja man ir jāatjaunina tikai datora politika, es norādīšu /target:dators. Lai atjauninātu tikai lietotāja politiku - /target:lietotājs.

PS C:\> gpupdate /target:computer

Notiek politikas atjaunināšana…

Noklusējums GPU atjauninājums Piemēro tikai atjauninātos grupas politikas iestatījumus. Lai lietotu visus iestatījumus, izmantojiet parametru /spēks. Šī komanda atjaunina visus grupas politikas iestatījumus (neatkarīgi no tā, vai tie ir mainīti) datoram un lietotājam.

PS C:\> gpupdate /force

Notiek politikas atjaunināšana…

Datora politikas atjaunināšana ir veiksmīgi pabeigta.

Lietotāja politikas atjaunināšana ir veiksmīgi pabeigta.

Pirmkārt, mēs iegūstam domēna datoru sarakstu

Pirmā lieta, kas man jādara, ir iegūt visu domēna datoru sarakstu. Šim nolūkam es izmantoju cmdlet Get-ADComputer, kas ir daļa no Active Directory moduļa.

Piezīme: Active Directory modulis ir iekļauts RSAT.

Es glabāju iegūtos datora objektus mainīgajā $ cn.

$cn = Get-ADComputer -filtrs *

Otrkārt, mēs veidojam attālās sesijas

Nākamā lieta, kas man jādara, ir izveidot attālās sesijas ar visiem datoriem. Lai to izdarītu, man ir jāiesniedz akreditācijas dati, lai izveidotu savienojumu ar datoriem, kā arī jāizveido pašas sesijas, izmantojot cmdlet Jauns-PSSession.

Lai sāktu, es izmantošu cmdlet Saņemt akreditācijas datus un saglabājiet tā atgriezto objektu mainīgajā $cred.

$cred = Get-Credential iammred\administrator

$sesija = New-PSSession -cn $cn.name -cred $cred

Jāatceras, ka domēnā var būt datori, kas ir izslēgti, tāpēc, palaižot komandu, var tikt atgrieztas kļūdas. Tomēr, neskatoties uz kļūdām, Windows PowerShell veido sesijas ar darba datoriem.

Liela kļūdu skaita klātbūtne var radīt zināmas bažas. Tā kā sesijas objekti tiek glabāti mainīgajā $sessions, es varu viegli pārbaudīt, vai tie ir izveidoti.

Tagad izpildīsim komandu visās attālajās iekārtās

Lai palaistu komandu GPU atjauninājums visās attālajās iekārtās es izmantoju cmdlet Invoke-Command. Tas izmanto sesijas, kuras saglabājām mainīgajā $sessions. Cmdlet aizstājvārds Invoke-Command – icm.

icm - Sesija $sesija - ScriptBlock (gpupdate /force)

Pēc komandas palaišanas rezultāti tiek parādīti Windows PowerShell konsolē.

Notiek grupas politikas atjauninājuma pārbaude

Kad ieslēgts darbstacija Grupas politikas iestatījumi ir veiksmīgi atjaunināti, un sistēmas žurnālā tiek ierakstīts notikums ar kodu 1502. Es varu izmantot cmdlet Invoke-Command lai iegūtu šo informāciju.

icm -Session $session -ScriptBlock (Get-EventLog -LogName sistēma -InstanceId 1502 -Jaunākais 1)

Komanda un tās rezultāti ir parādīti attēlā zemāk.

Vēl viena interesanta lieta par grupas politiku

Dažreiz man ir jāzvana tehniskajam atbalstam, un viņi lūdz man atjaunināt grupas politiku lokālais dators. Tā nav problēma, jo es varu skriet GPU atjauninājums tieši no PowerShell. Grūtības rodas, kad viņi man lūdz atjaunināt grupas politiku 5 reizes ar 5 minūšu intervālu. Bet to var atrisināt arī ar vienu koda rindiņu.

1..5 | %("atsvaidzina GP $(Get-Date)"; gpupdate /force ; sleep 300)

Eds Vilsons, Microsoft skriptu puisis

Oriģināls:

Windows 10 atjaunināšanas politikas iestatīšana nosaka veidu, kādā sistēma Windows 10 saņem atjauninājumus. Operētājsistēmā Windows 10 atjaunināšanas iestatījumi ir pārvietoti no vadības paneļa uz sistēmas iestatījumiem. Operētājsistēmā Windows 10 nav tādu iestatījumu, kādi bija vadības panelī, un tāpēc vairs nav iespējams atspējot atjauninājumus vai izvēlēties, kā tos saņemt. Tomēr varat izmantot reģistra redaktoru un vietējo grupu politikas redaktoru, lai atspējotu atjauninājumus un iestatītu to saņemšanas veidu.

Atjauninājumu konfigurēšana, izmantojot vietējās grupas politikas redaktoru

Palaidiet vietējo grupu politikas redaktoru, vienlaikus nospiežot divus tastatūras taustiņus WIN+R gpedit.msc un noklikšķiniet uz Labi.

Windows 10 atjaunināšanas grupas politika

Datora konfigurācija — Administratīvās veidnes — Windows komponenti — Windows atjaunināšana. Noklikšķiniet uz pēdējā vienuma Windows atjaunināšana un pēc tam labajā pusē atrodiet vienumu Iestatījumi automātiska atjaunināšana un mainiet tā iestatījumus.

Windows 10 atjauninājumu grupas politiku iestatīšana

Lai to izdarītu, atvērtajā logā augšpusē blakus vienumam Enabled ir jāievieto punkts un pēc tam jāiestata atjaunināšanas iestatījumi. Noklikšķiniet uz Labi. Pēc tam atveriet, lai jūsu iestatījumi darbotos Sistēmas iestatījumi — Atjaunināšana un drošība — Windows atjaunināšana un nospiediet pogu Notiek atjauninājumu pārbaude.

Kad esat pabeidzis Windows 10 politiku iestatīšanu, palaidiet atjauninājumu

Pēc tam stāsies spēkā iestatījumi, ko veicāt vietējā grupas politikas redaktorā.

Atjauninājumu iestatīšana, izmantojot reģistra redaktoru

Palaidiet reģistra redaktoru, vienlaikus nospiežot divus tastatūras taustiņus WIN+R. Tiks atvērts palaist logs, kurā ievadīsit komandu regedit un noklikšķiniet uz Labi.

Atveriet reģistra redaktoru un izveidojiet četrus iestatījumus, lai pārvaldītu Windows 10 atjauninājumus

Atvērtajā redaktora loga kreisajā daļā izvērsiet HKEY_LOCAL_MACHINE — PROGRAMMATŪRA — Politikas — Microsoft — Windows. Virziet kursoru virs pēdējā Windows vienuma un ar peles labo pogu noklikšķiniet. Atvērtajā konteksta izvēlnē atlasiet Izveidot - sadaļa. Nosauciet jauno sadaļu Windows Update.
Pēc tam virziet kursoru virs jaunizveidotās WindowsUpdate sadaļas un vēlreiz izveidojiet sadaļu, kuru nosaucat AU.
Pēc tam pārvietojiet kursoru virs jaunizveidotā AU nodalījuma un ar peles labo pogu noklikšķiniet un atlasiet no izvēlnes, kas tiek atvērta Jauns — DWORD vērtība (32 biti). Jaunais izveidotais parametrs parādīsies loga labajā pusē, nosauciet to AUOopcijas. Tādā pašā veidā, virzot kursoru virs AU sadaļas, izveidojiet vēl trīs parametrus un nosauciet pirmo Nav automātiskās atjaunināšanas, otrais ScheduledInstallDay, un trešais ScheduledInstallTime(neobligāti NoAutoRebootWithLoggedOnUsers). Tagad šajās četras jaunas parametriem ir jāmaina vērtība.

Parametram AUOptions

• 2. Saņemiet paziņojumu pirms atjauninājumu instalēšanas un lejupielādes.
• 3. Automātiski saņemiet atjauninājumus un paziņojumus, kad tie ir gatavi instalēšanai.
• 4 - Automātiski saņemt un instalēt atjauninājumus saskaņā ar noteiktu grafiku.
• 5. Ļaujiet vietējiem administratoriem pašiem izvēlēties atjaunināšanas režīmu un paziņojumus.

Parametram NoAutoUpdate

• 0 — iespējots automātiska uzstādīšana atjauninājumi, kas tiks lejupielādēti un instalēti atkarībā no parametrā AUOptions veiktajiem iestatījumiem.
• 1 — automātiskā atjauninājumu instalēšana ir atspējota.

Parametram ScheduledInstallDay

• 0 — atjauninājumi tiks instalēti katru dienu, ja parametrs AUOptions ir iestatīts uz 4.
• 1 — atjauninājumi tiks instalēti katru pirmdienu, ja parametrs AUOptions ir iestatīts uz 4.
• 2 — atjauninājumi tiks instalēti katru otrdienu ar parametru AUOptions iestatītu uz 4.
• 3 — atjauninājumi tiks instalēti katru trešdienu ar parametru AUOptions iestatītu uz 4.
• 4 — atjauninājumi tiks instalēti katru ceturtdienu, ja parametrs AUOptions ir iestatīts uz 4.
• 5 — atjauninājumi tiks instalēti katru piektdienu, ja parametrs AUOptions ir iestatīts uz 4.
• 6 — atjauninājumi tiks instalēti katru sestdienu, ja parametrs AUOptions ir iestatīts uz 4.
• 7 — atjauninājumi tiks instalēti katru svētdienu, ja parametrs AUOptions ir iestatīts uz 4.

Parametram ScheduledInstallTime

No 0 līdz 23 atjauninājumi tiks instalēti tik stundu laikā atkarībā no iestatītā parametra un ja parametrs AUOptions ir iestatīts uz 4.

Parametram NoAutoRebootWithLoggedOnUsers

• 0 — kad atjaunināšanas instalēšana ir pabeigta, dators tiks automātiski atsāknēts; tas darbojas ar parametru AUOptions iestatītu uz 4.
• 1 — kad atjaunināšanas instalēšana ir pabeigta, dators netiks automātiski atsāknēts; tas darbojas ar parametru AUOptions iestatītu uz 4.