I denne artikkelen vil vi vise en enkel måte å eksternt oppdatere gruppepolicyer på klienter (datamaskiner og servere) til et domene Active Directory, uten å måtte få tilgang til den eksterne maskinens konsoll og uten å bruke kommandoen gpupdate.

Et av de vanskeligste problemene med å administrere AD-gruppepolicyer er å teste policyer på farten, uten å starte datamaskinen på nytt eller få tilgang til den lokale datamaskinen og kjøre kommandoen.

Funksjonen Remote Group Policy Update gir muligheten til å bruke en enkelt GPO-administrasjonskonsoll (GPMC.msc) for å opprette, redigere, bruke og teste gruppepolicyer.

Funksjonaliteten til ekstern gruppepolicyoppdatering dukket først opp i Microsoft Windows Server 2012, alle påfølgende versjoner (Windows Server 2016, Microsoft Windows 10), ble denne funksjonaliteten og stabiliteten gradvis forbedret.

Krav for at ekstern gruppepolicyoppdatering skal fungere:

Servermiljøkrav:

• Windows Server 2012 og høyere
• Eller Windows 10 med RSAT-administrasjonsverktøy installert

Krav til kunder:

• Windows 7 og nyere

Krav til nettverkskommunikasjon (brannmurer) mellom server og klienter

• TCP-port 135 må være åpen
• Aktivert Windows-tjeneste Management Instrumentation (Windows-administrasjonstjeneste)
• Oppgaveplanleggertjeneste

Hvis miljøet ditt oppfyller disse kravene, åpner du Group Policy Management Console (GPMC.msc), velger OU (beholderen) der måldatamaskinene du vil tvinge GPO-oppdateringen er plassert på.

Høyreklikk på riktig beholder og velg Oppdatering av gruppepolicy.

I vinduet som åpnes vil det vises informasjon om antall objekter i denne OU som GPO skal oppdateres på. For å bekrefte handlingen, klikk på "Ja"-knappen.

I vinduet for oppdatering av ekstern gruppepolicyoppdatering vil du se statusen til policyoppdateringen, samt statusen for denne operasjonen (suksess/feil, feilkode). Naturligvis, hvis en datamaskin er slått av eller tilgangen til den er begrenset av en brannmur, vil en tilsvarende feil vises.

Etter GPO-endringer tar det litt tid (90 minutter +/- 30) for dem å forplante seg til andre systemer, men hvis de må brukes raskt, logger administratoren på det eksterne systemet og kjører kommandoen " gpupdate" Med et stort antall PC-er tok prosessen litt tid, og selve prosessen er upraktisk. Nå kan du glemme det. I Group Policy Management Console (GPMC) har et nytt element dukket opp i kontekstmenyen til domenet og organisasjonsenheten: " Oppdatering av gruppepolicy” (Group Policy Update) lar deg oppdatere systempolicyer som starter med Windows Vista/2008 med to museklikk. Etter aktivering av oppgaven vil en liste over datamaskiner og registrerte brukere bli mottatt, hvoretter oppgaven " Gpupdate.exe /force" For å unngå overbelastning av nettverket vil det bli utført med en tilfeldig forsinkelse i området 0-10 minutter. Resultatet av oppgaven vises i eget vindu, kan suksessen til oppdateringen fastslås ved hjelp av den resulterende policyveiviseren.
Den nye funksjonen fikk også sin egen cmdlet - Invoke-GPUpdate, som lar deg fjernoppdatere GP og gir enda større muligheter enn GPMC. Forresten, nå er 27 cmdlets ansvarlige for gruppepolicyer, dvs. en til (få full liste du kan skrive inn " Get-Command -Module GroupPolicy«).
For å umiddelbart oppdatere policyer på et bestemt system, bare kjør:

PS> Invoke- GPUpdate - Datamaskin< имя компьютера>

PS> Invoke-GPUpdate -Datamaskin< имя компьютера>

Ekstra nøkkel –RandomDelayInMinutes lar deg angi et tidsavbruddsintervall, noe som er nyttig hvis kommandoen skal utføres på flere systemer.
Men det viktigste er at i GPMC-konsollen kan du bare velge en avdeling; det er ingen egen datamaskinbeholder der. Det er her Invoke-GPUpdate kommer til unnsetning, som sammen med Get-ADComputer-cmdleten lar deg velge systemer etter hvilket som helst kriterium:

PS> Get- ADComputer –filter * - Søkebase "cn=datamaskiner, dc=eksempel,dc=org"| foreach ( Invoke-GPUpdate –computer$_.name –force –-RandomDelayInMinutes 5)

PS> Get-ADComputer –filter * -Searchbase "cn=datamaskiner, dc=eksempel,dc=org" | foreach( Invoke-GPUpdate –datamaskin $_.name –force –-RandomDelayInMinutes 5)

Mer viktig poeng, må flere brannmurporter åpnes på klientsystemer. For å gjøre livet enklere for administratoren, tilbød MS 2 nye innledende policyer (til de 8 eksisterende), slik at du raskt kan opprette og distribuere nødvendige innstillinger:

— Brannmurporter for eksterne gruppepolicyoppdateringer;
- Brannmurporter for gruppepolicyrapporter.

Hensikten deres er tydelig av navnet. Vi er interessert i den første. Det anbefales å lage nytt objekt Group Policy og flytte den til toppen, og dermed gi den en høyere prioritet enn standard domene GPO.
Prosessen er enkel. Velg domenet og velg "Opprett en GPO i dette domenet" fra menyen. I vinduet som vises, skriv inn navnet og velg fra listen "Brannmurporter for ekstern gruppepolicyoppdatering." Alternativt kan du bruke PowerShell.

Sammendrag: Microsoft Scripting Guy, Ed Wilson viser hvordan du tvinger en gruppepolicyoppdatering ved hjelp av PowerShell.

Oppdatering av gruppepolicy i et domene

Noen ganger gjør jeg endringer i gruppepolitikk på nettverket, og jeg må bruke endringene på alle datamaskiner. Og noen ganger må jeg oppdatere lokale gruppepolicyer på datamaskinen min.

For å oppdatere gruppepolicyinnstillinger bruker jeg verktøyet GPUpdate. Den har noen parametere. Som standard oppdaterer verktøyet både datamaskinen og brukerpolicyen. Men dette kan kontrolleres ved hjelp av parameteren /mål. For eksempel, hvis jeg bare trenger å oppdatere datamaskinpolicyen, spesifiserer jeg /mål:datamaskin. For å oppdatere kun brukerpolicyen − /mål:bruker.

PS C:\> gpupdate /target:datamaskin

Oppdaterer retningslinjene …

Misligholde GPUpdate Gjelder kun oppdaterte gruppepolicyinnstillinger. For å bruke alle innstillinger, bruk parameteren /makt. Følgende kommando oppdaterer alle gruppepolicyinnstillinger (enten de er endret eller ikke) for datamaskinen og brukeren.

PS C:\> gpupdate /force

Oppdaterer retningslinjene …

Datapolicyoppdateringen er fullført.

Oppdatering av brukerpolicy er fullført.

Først får vi en liste over datamaskiner i domenet

Det første jeg må gjøre er å få en liste over alle datamaskiner i domenet. Til dette bruker jeg cmdlet Get-ADComputer, en del av Active Directory-modulen.

Merk: Active Directory-modulen er inkludert i RSAT.

Jeg lagrer de resulterende datamaskinobjektene i $cn-variabelen.

$cn = Get-ADComputer -filt *

For det andre lager vi eksterne økter

Det neste jeg må gjøre er å lage eksterne økter med alle datamaskiner. For å gjøre dette må jeg oppgi legitimasjon for å koble til datamaskiner, samt opprette øktene selv ved hjelp av cmdlet Ny-PSSession.

For å starte bruker jeg cmdlet Få legitimasjon og lagre objektet som returneres av det i $cred-variabelen.

$cred = Få legitimasjon iammred\administrator

$session = New-PSSession -cn $cn.name -cred $cred

Du må huske at det kan være datamaskiner i domenet som er slått av, så når du kjører kommandoen, kan feil returneres. Men til tross for feilene, Windows PowerShell lager økter med arbeidsdatamaskiner.

Tilstedeværelsen av et stort antall feil kan forårsake en viss bekymring. Siden sesjonsobjektene er lagret i $sessions-variabelen, kan jeg enkelt verifisere at de er opprettet.

La oss nå kjøre kommandoen på alle eksterne maskiner

For å kjøre kommandoen GPUpdate på alle eksterne maskiner bruker jeg cmdlet Påkalle-kommando. Den bruker øktene vi lagret i $sessions-variabelen. Alias ​​for cmdleten Påkalle-kommando – icm.

icm -Session $session -ScriptBlock (gpupdate /force)

Etter å ha kjørt kommandoen, vises resultatene i Windows PowerShell-konsollen.

Ser etter en gruppepolicyoppdatering

Når på arbeidsstasjon Gruppepolicyinnstillingene er oppdatert og en hendelse med kode 1502 er registrert i systemloggen. Jeg kan bruke cmdleten Påkalle-kommando for å få denne informasjonen.

icm -Session $session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Newest 1)

Kommandoen og dens resultater vises i figuren nedenfor.

En annen interessant ting om gruppepolicy

Noen ganger må jeg ringe teknisk støtte og de ber meg om å oppdatere gruppepolicy på min lokal datamaskin. Dette er ikke et problem siden jeg kan løpe GPUpdate rett fra PowerShell. Vanskeligheten kommer når de ber meg oppdatere gruppepolicy 5 ganger med 5 minutters mellomrom. Men dette kan også løses med én kodelinje.

1..5 | %("oppfrisker GP $(Get-Date)"; gpupdate /force ; søvn 300)

Ed Wilson, Microsoft Scripting Guy

Opprinnelig:

Å angi oppdateringspolicyen for Windows 10 er å angi måten Windows 10 mottar oppdateringer på. I Windows 10 er oppdateringsinnstillingene flyttet fra Kontrollpanel til Systeminnstillinger. I Windows 10 er det ingen slike innstillinger som det var i kontrollpanelet, og derfor er det ikke lenger mulig å deaktivere oppdateringer eller velge hvordan de skal mottas. Du kan imidlertid bruke Registerredigering og Local Group Policy Editor for å deaktivere oppdateringer og angi hvordan du mottar dem.

Konfigurere oppdateringer ved hjelp av redigeringsprogrammet for lokal gruppepolicy

Start Local Group Policy Editor ved å trykke på to taster på tastaturet samtidig VINN+R gpedit.msc og klikk OK.

Windows 10 oppdater gruppepolicy

Datamaskinkonfigurasjon - Administrative maler - Windows-komponenter - Windows Update. Klikk på det siste elementet Windows Update og finn elementet på høyre side Innstillinger automatisk oppdatering og endre innstillingene.

Konfigurering av Windows 10 oppdaterer gruppepolicyer

For å gjøre dette, i vinduet som åpnes, må du sette en prikk øverst ved siden av elementet Aktivert, og deretter angi oppdateringsinnstillingene nedenfor. Klikk OK. Deretter åpner du for at innstillingene du har gjort skal fungere Systeminnstillinger - Oppdatering og sikkerhet - Windows Update og trykk på knappen Ser etter oppdateringer.

Når du er ferdig med å sette opp Windows 10-policyer, kjør oppdateringen

Etter dette vil innstillingene du har gjort i redigeringsprogrammet for lokal gruppepolicy tre i kraft.

Sette opp oppdateringer ved hjelp av Registerredigering

Start Registerredigering ved å trykke to taster på tastaturet samtidig VINN+R. Kjør-vinduet åpnes der du skriver inn kommandoen regedit og klikk OK.

Åpne Registerredigering og opprett fire innstillinger der for å administrere Windows 10-oppdateringer

Utvid i venstre del av redigeringsvinduet som åpnes HKEY_LOCAL_MACHINE - SOFTWARE - Retningslinjer - Microsoft - Windows. Hold markøren over det siste Windows-elementet og høyreklikk. Velg i kontekstmenyen som åpnes Opprett - Seksjon. Gi den nye delen et navn Windows-oppdatering.
Hold deretter musepekeren over den nyopprettede WindowsUpdate-delen og lag igjen en seksjon du navngir AU.
Flytt deretter markøren over den nyopprettede AU-partisjonen og høyreklikk og velg fra menyen som åpnes Ny – DWORD-verdi (32-bit). Den nye opprettede parameteren vises på høyre side av vinduet, navngi den AUalternativer. På samme måte, hold markøren over AU-delen, lag tre parametere til og navngi den første Ingen automatisk oppdatering, sekund Planlagt installasjonsdag, og den tredje Planlagt installasjonstid(valgfri NoAutoRebootWithLoggedOnUsers). Nå i disse fire nye parametere må endre verdien.

For parameteren AUOptions

• 2 - Motta et varsel før du installerer og laster ned oppdateringer.
• 3 - Motta automatisk oppdateringer og varsler når de er klare for installasjon.
• 4 - Motta og installer oppdateringer automatisk i henhold til en spesifisert tidsplan.
• 5 - Tillat lokale administratorer å velge oppdateringsmodus og varsler selv.

For parameteren NoAutoUpdate

• 0 — Aktivert automatisk installasjon oppdateringer som vil bli lastet ned og installert avhengig av innstillingene som er gjort i parameteren AUOptions.
• 1 — Automatisk installasjon av oppdateringer er deaktivert.

For parameteren ScheduledInstallDay

• 0 – oppdateringer vil bli installert daglig hvis AUOptions-parameteren er satt til 4.
• 1 – oppdateringer vil bli installert hver mandag hvis parameteren AUOptions er satt til 4.
• 2 — oppdateringer vil bli installert hver tirsdag med AUOptions-parameteren satt til 4.
• 3 — oppdateringer vil bli installert hver onsdag med AUOptions-parameteren satt til 4.
• 4 – oppdateringer vil bli installert hver torsdag hvis parameteren AUOptions er satt til 4.
• 5 — oppdateringer vil bli installert hver fredag ​​hvis parameteren AUOptions er satt til 4.
• 6 — oppdateringer vil bli installert hver lørdag hvis parameteren AUOptions er satt til 4.
• 7 — oppdateringer vil bli installert hver søndag hvis parameteren AUOptions er satt til 4.

For parameteren ScheduledInstallTime

Fra 0 til 23 vil oppdateringer installeres på like mange timer avhengig av den innstilte parameteren og hvis AUOptions-parameteren er satt til 4.

For parameteren NoAutoRebootWithLoggedOnUsers

• 0 - Når oppdateringsinstallasjonen er fullført, starter datamaskinen automatisk på nytt; den fungerer med AUOptions-parameteren satt til 4.
• 1 - Når oppdateringsinstallasjonen er fullført, starter ikke datamaskinen på nytt automatisk; den fungerer med AUOptions-parameteren satt til 4.