V tomto článku si ukážeme jednoduchý spôsob, ako vzdialene aktualizovať skupinové politiky na klientoch (počítačoch a serveroch) domény Aktívny adresár bez toho, aby ste museli pristupovať ku konzole vzdialeného počítača a bez použitia príkazu gpupdate.

Jedným z najťažších problémov pri správe politík skupiny AD je testovanie politík za behu, bez reštartovania počítača alebo prístupu k lokálnemu počítaču a spustenia príkazu.

Funkcia Vzdialená aktualizácia skupinovej politiky poskytuje možnosť používať jednu konzolu na správu GPO (GPMC.msc) na vytváranie, úpravu, aplikáciu a testovanie skupinových zásad.

Funkcia vzdialenej aktualizácie skupinovej politiky sa prvýkrát objavila v spoločnosti Microsoft Windows Server 2012, všetky nasledujúce verzie (Windows Server 2016, Microsoft Windows 10), táto funkčnosť a jej stabilita sa postupne zlepšovali.

Požiadavky na fungovanie vzdialenej aktualizácie skupinovej politiky:

Požiadavky na prostredie servera:

• Windows Server 2012 a vyšší
• Alebo Windows 10 s nainštalovanými nástrojmi na správu RSAT

Požiadavky na klientov:

• Windows 7 a vyššie

Požiadavky na sieťovú komunikáciu (firewally) medzi serverom a klientmi

• TCP port 135 musí byť otvorený
• Povolené Služba Windows Management Instrumentation (služba správy systému Windows)
• Služba plánovača úloh

Ak vaše prostredie spĺňa tieto požiadavky, otvorte Group Policy Management Console (GPMC.msc), vyberte OU (kontajner), v ktorom sa nachádzajú cieľové počítače, na ktorých chcete vynútiť aktualizáciu GPO.

Kliknite pravým tlačidlom na správny kontajner a vyberte Aktualizácia skupinovej politiky.

V okne, ktoré sa otvorí, sa objaví informácia o počte objektov v tomto OU, na ktorých sa bude GPO aktualizovať. Akciu potvrdíte kliknutím na tlačidlo „Áno“.

V okne Výsledky aktualizácie vzdialenej skupinovej politiky uvidíte stav aktualizácie politiky, ako aj stav tejto operácie (úspech/chyba, kód chyby). Prirodzene, ak je počítač vypnutý alebo je prístup k nemu obmedzený bránou firewall, objaví sa zodpovedajúca chyba.

Po zmenách GPO trvá nejaký čas (90 minút +/- 30), kým sa rozšíria do iných systémov, ale ak je potrebné ich urýchlene použiť, správca sa prihlási do vzdialeného systému a spustí príkaz “ gpupdate" Pri veľkom počte počítačov tento proces nejaký čas trval a samotný proces je nepohodlný. Teraz na to môžete zabudnúť. V konzole Group Policy Management Console (GPMC) sa v kontextovom menu domény a organizačnej jednotky objavila nová položka: „ Aktualizácia skupinovej politiky“ (Aktualizácia zásad skupiny) vám umožňuje aktualizovať systémové zásady počnúc systémom Windows Vista/2008 dvoma kliknutiami myšou. Po aktivácii úlohy bude prijatý zoznam počítačov a registrovaných používateľov, po ktorom bude úloha „ Gpupdate.exe /force" Aby nedošlo k preťaženiu siete, bude sa vykonávať s náhodným oneskorením v rozsahu 0-10 minút. Výsledok úlohy sa zobrazí v samostatné oknoúspešnosť aktualizácie je možné určiť pomocou výsledného sprievodcu politikou.
Nová funkcia tiež dostala svoj vlastný cmdlet - Vyvolať-GPUpdate, ktorý umožňuje vzdialenú aktualizáciu GP a poskytuje ešte väčšie možnosti ako GPMC. Mimochodom, za skupinové politiky je teraz zodpovedných 27 cmdletov, t.j. ešte jeden (dostať úplný zoznam môžete zadať " Get-Command -Modul GroupPolicy«).
Ak chcete okamžite aktualizovať pravidlá na konkrétnom systéme, stačí spustiť:

PS> Vyvolať- GPUpdate - Počítač< имя компьютера>

PS> Vyvolať-GPUpdate -Počítač< имя компьютера>

Prídavný kľúč -RandomDelayInMinutes umožňuje nastaviť časový limit, ktorý je užitočný, ak sa príkaz bude vykonávať na viacerých systémoch.
Ale hlavná vec je, že v konzole GPMC môžete vybrať iba divíziu, nie je tam žiadny samostatný kontajner počítačov. Tu prichádza na pomoc Invoke-GPUpdate, ktorý vám spolu s cmdlet Get-ADComputer umožňuje vybrať systémy podľa ľubovoľného kritéria:

PS> Get- ADComputer –filter * - Searchbase "cn=počítače, dc=príklad,dc=org"| foreach ( Invoke-GPUpdate –computer$_.name –force –-RandomDelayInMinutes 5)

PS> Get-ADComputer –filter * -Searchbase "cn=počítače, dc=príklad,dc=org" | foreach( Invoke-GPUpdate –computer $_.name –force –-RandomDelayInMinutes 5)

Viac dôležitý bod, na klientskych systémoch musí byť otvorených viacero portov brány firewall. Aby sa správcom uľahčil život, MS ponúkol 2 nové počiatočné politiky (k 8 existujúcim), ktoré vám umožňujú rýchlo vytvárať a distribuovať požadované nastavenia:

— Firewall porty pre vzdialenú aktualizáciu skupinovej politiky;
- Porty brány firewall pre správy skupinovej politiky.

Ich účel je jasný už z názvu. Nás zaujíma ten prvý. Odporúča sa vytvoriť nový objekt Zásady skupiny a presuňte ju na začiatok, čím jej dáte vyššiu prioritu ako predvolená doména GPO.
Postup je jednoduchý. Vyberte doménu a z ponuky vyberte možnosť „Vytvoriť objekt GPO v tejto doméne“. V zobrazenom okne zadajte názov a zo zoznamu vyberte „Porty brány firewall pre vzdialenú aktualizáciu skupinovej politiky“. Prípadne môžete použiť PowerShell.

Zhrnutie: Microsoft Scripting Guy, Ed Wilson ukazuje, ako vynútiť aktualizáciu skupinovej politiky pomocou PowerShell.

Aktualizácia skupinovej politiky v doméne

Niekedy robím zmeny skupinové pravidlá v sieti a potrebujem aplikovať zmeny na všetky počítače. A niekedy potrebujem aktualizovať politiku miestnej skupiny na svojom počítači.

Na aktualizáciu nastavení skupinovej politiky používam tento nástroj GPUpdate. Má nejaké parametre. Pomôcka štandardne aktualizuje politiku počítača aj používateľa. To sa však dá ovládať pomocou parametra /cieľ. Napríklad, ak potrebujem aktualizovať iba politiku počítača, upresním /target:počítač. Ak chcete aktualizovať iba pravidlá používateľa − /target:user.

PS C:\> gpupdate /target:computer

Aktualizujú sa pravidlá…

Predvolené GPUpdate Aplikuje iba aktualizované nastavenia skupinovej politiky. Ak chcete použiť všetky nastavenia, použite parameter /sila. Nasledujúci príkaz aktualizuje všetky nastavenia skupinovej politiky (bez ohľadu na to, či boli alebo neboli zmenené) pre počítač a používateľa.

PS C:\> gpupdate /force

Aktualizujú sa pravidlá…

Aktualizácia zásad počítača bola úspešne dokončená.

Aktualizácia pravidiel pre používateľov bola úspešne dokončená.

Najprv získame zoznam počítačov v doméne

Prvá vec, ktorú musím urobiť, je získať zoznam všetkých počítačov v doméne. Na to používam cmdlet Get-ADComputer, súčasť modulu Active Directory.

Poznámka: Modul Active Directory je súčasťou RSAT.

Výsledné počítačové objekty ukladám do premennej $cn.

$cn = Get-ADComputer -filt *

Po druhé, vytvárame vzdialené relácie

Ďalšia vec, ktorú musím urobiť, je vytvoriť vzdialené relácie so všetkými počítačmi. Aby som to mohol urobiť, musím poskytnúť poverenia na pripojenie k počítačom, ako aj vytvoriť samotné relácie pomocou cmdlet New-PSSession.

Na začiatok použijem cmdlet Get-Credentials a uložte ním vrátený objekt do premennej $cred.

$cred = Get-Credential iammred\administrator

$session = New-PSSession -cn $cn.name -cred $cred

Musíte si uvedomiť, že v doméne môžu byť počítače, ktoré sú vypnuté, takže pri spustení príkazu sa môžu vrátiť chyby. Napriek chybám však Windows PowerShell vytvára relácie s pracovnými počítačmi.

Prítomnosť veľkého počtu chýb môže spôsobiť určité obavy. Keďže objekty relácie sú uložené v premennej $sessions, môžem ľahko overiť, či boli vytvorené.

Teraz spustite príkaz na všetkých vzdialených počítačoch

Na spustenie príkazu GPUpdate na všetkých vzdialených počítačoch používam cmdlet Invoke-Command. Používa relácie, ktoré sme uložili do premennej $sessions. Alias ​​pre cmdlet Invoke-Command – icm.

icm -Session $session -ScriptBlock (gpupdate /force)

Po spustení príkazu sa výsledky zobrazia v konzole Windows PowerShell.

Hľadá sa aktualizácia skupinovej politiky

Keď je zapnuté pracovná stanica Nastavenia skupinovej politiky sú úspešne aktualizované a do systémového denníka je zaznamenaná udalosť s kódom 1502. Môžem použiť cmdlet Invoke-Command získať tieto informácie.

icm -Session $session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Najnovšie 1)

Príkaz a jeho výsledky sú znázornené na obrázku nižšie.

Ďalšia zaujímavá vec o skupinovej politike

Niekedy musím zavolať na technickú podporu a požiadajú ma, aby som aktualizoval skupinovú politiku lokálny počítač. To nie je problém, keďže viem behať GPUpdate priamo z PowerShell. Problém nastáva, keď ma požiadajú o aktualizáciu skupinovej politiky 5-krát v 5-minútových intervaloch. Ale aj to sa dá vyriešiť jedným riadkom kódu.

1..5 | %("obnovenie GP $(Get-Date)"; gpupdate /force ; spánok 300)

Ed Wilson, Microsoft Scripting Guy

Originál:

Nastavenie politiky aktualizácií systému Windows 10 nastavuje spôsob, akým systém Windows 10 prijíma aktualizácie. V systéme Windows 10 boli nastavenia aktualizácie presunuté z ovládacieho panela do časti Nastavenia systému. V systéme Windows 10 neexistujú žiadne nastavenia ako v ovládacom paneli, a preto už nie je možné zakázať aktualizácie alebo zvoliť spôsob ich prijímania. Na vypnutie aktualizácií a nastavenie spôsobu ich prijímania však môžete použiť Editor databázy Registry a Editor miestnej politiky skupiny.

Konfigurácia aktualizácií pomocou Editora miestnej politiky skupiny

Spustite Editor miestnej politiky skupiny stlačením dvoch kláves na klávesnici naraz WIN+R gpedit.msc a kliknite na tlačidlo OK.

Zásady skupiny aktualizácie systému Windows 10

Konfigurácia počítača - Šablóny pre správu - Komponenty systému Windows - Windows Update. Kliknite na poslednú položku Windows Update a potom na pravej strane nájdite položku nastavenie automatická aktualizácia a zmeniť jeho nastavenia.

Nastavenie zásad skupiny aktualizácií systému Windows 10

Ak to chcete urobiť, v okne, ktoré sa otvorí, musíte umiestniť bodku hore vedľa položky Povolené a potom nastaviť nastavenia aktualizácie nižšie. Kliknite na tlačidlo OK. Potom otvorte, aby nastavenia, ktoré ste vykonali, fungovali Systémové nastavenia - Aktualizácia a zabezpečenie - Windows Update a stlačte tlačidlo Kontrolujú sa aktualizácie.

Po dokončení nastavenia pravidiel systému Windows 10 spustite aktualizáciu

Potom sa prejavia nastavenia, ktoré ste vykonali v Editore lokálnej skupinovej politiky.

Nastavenie aktualizácií pomocou Editora databázy Registry

Spustite Editor databázy Registry stlačením dvoch kláves na klávesnici naraz WIN+R. Otvorí sa okno Spustiť, do ktorého zadáte príkaz regedit a kliknite na tlačidlo OK.

Otvorte Editor databázy Registry a vytvorte štyri nastavenia na správu aktualizácií systému Windows 10

V ľavej časti okna editora, ktoré sa otvorí, rozbaľte HKEY_LOCAL_MACHINE - SOFTWARE - Zásady - Microsoft - Windows. Umiestnite kurzor myši na poslednú položku systému Windows a kliknite pravým tlačidlom myši. V kontextovej ponuke, ktorá sa otvorí, vyberte Vytvoriť - Sekcia. Pomenujte novú sekciu Aktualizácia systému Windows.
Potom umiestnite kurzor myši na novovytvorenú sekciu WindowsUpdate a znova vytvorte sekciu, ktorú pomenujete AU.
Potom presuňte kurzor na novovytvorený oddiel AU a kliknite pravým tlačidlom myši a vyberte z ponuky, ktorá sa otvorí Nové – hodnota DWORD (32-bitová). Nový vytvorený parameter sa zobrazí na pravej strane okna, pomenujte ho AUOptions. Rovnakým spôsobom, umiestnením kurzora nad sekciu AU, vytvorte ďalšie tri parametre a pomenujte prvý Bez automatickej aktualizácie, druhý ScheduledInstallDay a tretí ScheduledInstallTime(voliteľné NoAutoRebootWithLoggedOnUsers). Teraz v týchto štyri nové parametre potrebujú zmeniť hodnotu.

Pre parameter AUOptions

• 2 - Dostať upozornenie pred inštaláciou a stiahnutím akýchkoľvek aktualizácií.
• 3 - Automaticky dostávať aktualizácie a upozornenia, keď sú pripravené na inštaláciu.
• 4 - Automaticky prijímať a inštalovať aktualizácie podľa určeného plánu.
• 5 - Umožnite lokálnym správcom, aby si sami vybrali režim aktualizácie a upozornenia.

Pre parameter NoAutoUpdate

• 0 – povolené automatická inštalácia aktualizácie, ktoré sa stiahnu a nainštalujú v závislosti od nastavení vykonaných v parametri AUOptions.
• 1 — Automatická inštalácia aktualizácií je zakázaná.

Pre parameter ScheduledInstallDay

• 0—aktualizácie sa budú inštalovať denne, ak je parameter AUOptions nastavený na 4.
• 1—aktualizácie sa nainštalujú každý pondelok, ak je parameter AUOptions nastavený na 4.
• 2 — aktualizácie budú inštalované každý utorok s parametrom AUOptions nastaveným na 4.
• 3 — aktualizácie budú inštalované každú stredu s parametrom AUOptions nastaveným na 4.
• 4—aktualizácie sa nainštalujú každý štvrtok, ak je parameter AUOptions nastavený na 4.
• 5 — aktualizácie sa nainštalujú každý piatok, ak je parameter AUOptions nastavený na 4.
• 6 — aktualizácie sa budú inštalovať každú sobotu, ak je parameter AUOptions nastavený na 4.
• 7 — aktualizácie sa budú inštalovať každú nedeľu, ak je parameter AUOptions nastavený na 4.

Pre parameter ScheduledInstallTime

Od 0 do 23 sa aktualizácie nainštalujú za toľko hodín v závislosti od nastaveného parametra a ak je parameter AUOptions nastavený na 4.

Pre parameter NoAutoRebootWithLoggedOnUsers

• 0 — Po dokončení inštalácie aktualizácie sa počítač automaticky reštartuje; funguje s parametrom AUOptions nastaveným na 4.
• 1 - Po dokončení inštalácie aktualizácie sa počítač automaticky nereštartuje, pracuje s parametrom AUOptions nastaveným na 4.