V tem članku bomo prikazali preprost način za oddaljeno posodabljanje pravilnikov skupine na odjemalcih (računalnikih in strežnikih) domene. Aktivni imenik, ne da bi morali dostopati do konzole oddaljenega računalnika in brez uporabe ukaza gpupdate.

Ena najtežjih težav pri upravljanju pravilnikov skupine AD je sprotno testiranje pravilnikov, brez ponovnega zagona računalnika ali dostopa do lokalnega računalnika in izvajanja ukaza.

Funkcija Remote Group Policy Update omogoča uporabo ene konzole za upravljanje GPO (GPMC.msc) za ustvarjanje, urejanje, uporabo in testiranje skupinskih pravilnikov.

Funkcionalnost oddaljenega posodabljanja pravilnika skupine se je prvič pojavila v Microsoft Windows Server 2012, v vseh naslednjih različicah (Windows Server 2016, Microsoft Windows 10) sta se ta funkcionalnost in njena stabilnost postopoma izboljševali.

Zahteve za delovanje oddaljene posodobitve pravilnika skupine:

Zahteve za strežniško okolje:

• Windows Server 2012 in novejši
• Ali Windows 10 z nameščenimi orodji za upravljanje RSAT

Zahteve za stranke:

• Windows 7 in novejši

Zahteve za omrežno komunikacijo (požarni zidovi) med strežnikom in odjemalci

• Vrata TCP 135 morajo biti odprta
• Omogočeno Storitev Windows Instrumentacija upravljanja (storitev upravljanja Windows)
• Storitev razporejevalnika opravil

Če vaše okolje izpolnjuje te zahteve, odprite konzolo za upravljanje pravilnika skupine (GPMC.msc), izberite OU (vsebnik), v katerem so ciljni računalniki, na katere želite vsiliti posodobitev GPO.

Desni klik na pravo posodo in izberite Posodobitev pravilnika skupine.

V oknu, ki se odpre, se prikažejo informacije o številu objektov v tej OU, na katerih bo GPO posodobljen. Za potrditev dejanja kliknite na gumb "Da".

V oknu z rezultati posodobitve pravilnika oddaljene skupine boste videli status posodobitve pravilnika in status te operacije (uspeh/napaka, koda napake). Seveda, če je računalnik izklopljen ali je dostop do njega omejen s požarnim zidom, se prikaže ustrezna napaka.

Po spremembah GPO traja nekaj časa (90 minut +/- 30), da se razširijo na druge sisteme, če pa jih je treba nujno uporabiti, se skrbnik prijavi v oddaljeni sistem in zažene ukaz » gpupdate" Pri velikem številu osebnih računalnikov je postopek trajal nekaj časa, sam postopek pa je neprijeten. Zdaj lahko pozabiš na to. V konzoli za upravljanje pravilnikov skupine (GPMC) se je v kontekstnem meniju domene in organizacijske enote pojavil nov element: “ Posodobitev pravilnika skupine” (Group Policy Update) omogoča posodobitev sistemskih pravilnikov, začenši z operacijskim sistemom Windows Vista/2008, z dvema klikoma miške. Po aktiviranju naloge bo prejet seznam računalnikov in registriranih uporabnikov, nato pa naloga “ Gpupdate.exe /force" Da bi se izognili prezasedenosti omrežja, bo izveden z naključno zakasnitvijo v razponu od 0 do 10 minut. Rezultat naloge je prikazan v ločeno okno, je mogoče uspešnost posodobitve določiti s pomočjo nastalega čarovnika za pravilnik.
Nova funkcija je dobila tudi svoj cmdlet - Invoke-GPUpdate, ki vam omogoča oddaljeno posodabljanje GP in nudi še večje zmogljivosti kot GPMC. Mimogrede, zdaj je 27 cmdletov odgovornih za pravilnike skupine, tj. še eno (dobi celoten seznam lahko vnesete " Get-Command -Module GroupPolicy«).
Če želite takoj posodobiti pravilnike v določenem sistemu, zaženite:

PS> Invoke- GPUpdate - Computer< имя компьютера>

PS> Invoke-GPUpdate -Computer< имя компьютера>

Dodatni ključ – Naključna zamuda v minutah omogoča nastavitev časovne omejitve, kar je uporabno, če se bo ukaz izvajal v več sistemih.
Toda glavna stvar je, da lahko v konzoli GPMC izberete samo razdelek; tam ni ločenega vsebnika računalnikov. Tu na pomoč priskoči Invoke-GPUpdate, ki skupaj s cmdletom Get-ADComputer omogoča izbiro sistemov po katerem koli kriteriju:

PS> Get- ADComputer –filter * - Searchbase "cn=računalniki, dc=primer,dc=org"| foreach ( Invoke-GPUpdate –computer$_.name –force –-RandomDelayInMinutes 5)

PS> Get-ADComputer –filter * -Searchbase "cn=computers, dc=example,dc=org" | foreach( Invoke-GPUpdate –computer $_.name –force –-RandomDelayInMinutes 5)

več pomembna točka, mora biti v odjemalskih sistemih odprtih več vrat požarnega zidu. Da bi skrbniku olajšal življenje, je MS ponudil 2 nova začetna pravilnika (k 8 obstoječim), ki vam omogočata hitro ustvarjanje in distribucijo zahtevane nastavitve:

— Vrata požarnega zidu za oddaljene posodobitve pravilnika skupine;
- Vrata požarnega zidu za poročila pravilnika skupine.

Njihov namen je jasen že iz imena. Zanima nas prvi. Priporočamo, da ustvarite nov GPO in ga premaknete na vrh ter mu daste višjo prednost kot privzeti GPO domene.
Postopek je preprost. Izberite domeno in v meniju izberite »Ustvari GPO v tej domeni«. V okno, ki se prikaže, vnesite ime in na seznamu izberite »Vrata požarnega zidu za oddaljeno posodobitev pravilnika skupine«. Lahko pa uporabite PowerShell.

Povzetek: Microsoftov skripter, Ed Wilson, pokaže, kako vsiliti posodobitev pravilnika skupine s pomočjo lupine PowerShell.

Posodabljanje pravilnika skupine v domeni

Včasih spremenim pravilnik skupine v omrežju in spremembe moram uporabiti za vse računalnike. In včasih moram posodobiti pravilnik lokalne skupine v svojem računalniku.

Za posodobitev nastavitev pravilnika skupine uporabljam pripomoček GPUpdate. Ima nekaj parametrov. Pripomoček privzeto posodobi pravilnike računalnika in uporabnika. Toda to je mogoče nadzorovati s parametrom /tarča. Na primer, če moram posodobiti samo pravilnik o računalniku, bom določil /target:računalnik. Za posodobitev samo uporabniškega pravilnika − /target:uporabnik.

PS C:\> gpupdate /target:computer

Posodabljanje pravilnika ...

Privzeto GPUpdate Uporablja samo posodobljene nastavitve pravilnika skupine. Če želite uporabiti vse nastavitve, uporabite parameter /sila. Naslednji ukaz posodobi vse nastavitve pravilnika skupine (ne glede na to, ali so bile spremenjene) za računalnik in uporabnika.

PS C:\> gpupdate /force

Posodabljanje pravilnika ...

Posodobitev pravilnika o računalniku je bila uspešno zaključena.

Posodobitev uporabniškega pravilnika je bila uspešno zaključena.

Najprej dobimo seznam računalnikov v domeni

Prva stvar, ki jo moram narediti, je pridobiti seznam vseh računalnikov v domeni. Za to uporabljam cmdlet Get-ADComputer, del modula Active Directory.

Opomba: Modul Active Directory je vključen v RSAT.

Nastale računalniške objekte shranim v spremenljivko $cn.

$cn = Get-ADComputer -filt *

Drugič, ustvarimo oddaljene seje

Naslednja stvar, ki jo moram narediti, je ustvariti oddaljene seje z vsemi računalniki. Da bi to naredil, moram zagotoviti poverilnice za povezavo z računalniki in ustvariti same seje z ukazom cmdlet Nova PSSession.

Za začetek bom uporabil cmdlet Get-Credentials in shrani predmet, ki ga vrne, v spremenljivko $cred.

$cred = Get-Credential iammred\administrator

$session = New-PSSession -cn $cn.name -cred $cred

Zapomniti si morate, da so lahko v domeni računalniki, ki so izklopljeni, zato se lahko pri izvajanju ukaza vrnejo napake. Vendar kljub napakam, Windows PowerShell ustvarja seje s službenimi računalniki.

Prisotnost velikega števila napak lahko povzroči skrb. Ker so objekti seje shranjeni v spremenljivki $sessions, lahko enostavno preverim, ali so bili ustvarjeni.

Zdaj pa zaženimo ukaz na vseh oddaljenih računalnikih

Za zagon ukaza GPUpdate na vseh oddaljenih računalnikih uporabljam cmdlet Invoke-Command. Uporablja seje, ki smo jih shranili v spremenljivko $sessions. Vzdevek za cmdlet Invoke-Command – icm.

icm -Seja $session -ScriptBlock (gpupdate /force)

Po izvedbi ukaza se rezultati prikažejo v Windows konzola PowerShell.

Preverjanje posodobitve pravilnika skupine

Ko je vklopljen delovna postaja Nastavitve pravilnika skupine so uspešno posodobljene in v sistemski dnevnik je zabeležen dogodek s kodo 1502. Uporabim lahko ukaz cmdlet Invoke-Command pridobiti te informacije.

icm -Seja $session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Newest 1)

Ukaz in njegovi rezultati so prikazani na spodnji sliki.

Še ena zanimivost o pravilniku skupine

Včasih moram poklicati tehnično podporo in me prosijo, naj posodobim pravilnik skupine na svojem lokalni računalnik. To ni problem, saj lahko tečem GPUpdate neposredno iz lupine PowerShell. Težava nastane, ko me prosijo, da 5-krat posodobim pravilnik skupine v 5-minutnih intervalih. Toda tudi to je mogoče rešiti z eno vrstico kode.

1..5 | %("osveževanje GP $(Get-Date)"; gpupdate /force; mirovanje 300)

Ed Wilson, Microsoftov skripter

Original:

Nastavitev pravilnika za posodabljanje sistema Windows 10 je nastavitev načina prejemanja posodobitev za Windows 10. V sistemu Windows 10 so bile nastavitve posodabljanja premaknjene z nadzorne plošče v sistemske nastavitve. V sistemu Windows 10 takih nastavitev kot na nadzorni plošči ni, zato posodobitev ni več mogoče onemogočiti ali izbrati, kako jih prejemati. Vendar pa lahko uporabite urejevalnik registra in urejevalnik pravilnika lokalne skupine, da onemogočite posodobitve in nastavite, kako jih prejemate.

Konfiguriranje posodobitev z urejevalnikom pravilnika lokalne skupine

Zaženite urejevalnik pravilnika lokalne skupine s pritiskom dveh tipk na tipkovnici hkrati WIN+R gpedit.msc in kliknite OK.

Pravilnik skupine za posodobitev sistema Windows 10

Konfiguracija računalnika - Skrbniške predloge - Komponente Windows - Windows Update. Kliknite zadnji element Windows Update in nato na desni strani poiščite element nastavitve samodejno posodabljanje in spremenite njegove nastavitve.

Nastavitev pravilnikov skupine za posodobitve sistema Windows 10

Če želite to narediti, morate v oknu, ki se odpre, postaviti piko na vrhu poleg elementa Omogočeno in nato spodaj nastaviti nastavitve posodobitve. Kliknite OK. Nato odprite, da nastavitve, ki ste jih naredili, delujejo Sistemske nastavitve – Posodobitev in varnost – Windows Update in pritisnite gumb Preverjanje posodobitev.

Ko končate z nastavitvijo pravilnikov sistema Windows 10, zaženite posodobitev

Po tem bodo začele veljati nastavitve, ki ste jih naredili v urejevalniku pravilnika lokalne skupine.

Nastavitev posodobitev z urejevalnikom registra

Zaženite urejevalnik registra s pritiskom dveh tipk na tipkovnici hkrati WIN+R. Odpre se okno Zaženi, v katerega vnesete ukaz regedit in kliknite OK.

Odprite urejevalnik registra in tam ustvarite štiri nastavitve za upravljanje posodobitev sistema Windows 10

V levem delu okna urejevalnika, ki se odpre, razširite HKEY_LOCAL_MACHINE - PROGRAMSKA OPREMA - Politike - Microsoft - Windows. Premaknite miškin kazalec nad zadnji element sistema Windows in kliknite z desno miškino tipko. V kontekstnem meniju, ki se odpre, izberite Ustvari - razdelek. Poimenujte nov razdelek WindowsUpdate.
Nato premaknite miškin kazalec nad novo ustvarjeni razdelek WindowsUpdate in znova ustvarite razdelek, ki ga poimenujete AU.
Nato premaknite kazalec nad novo ustvarjeno particijo AU in z desno miškino tipko kliknite ter izberite v meniju, ki se odpre Novo - vrednost DWORD (32-bitno). Novo ustvarjeni parameter se prikaže na desni strani okna, poimenujte ga AUOptions. Na enak način, s kazalcem miške nad razdelkom AU ustvarite še tri parametre in poimenujte prvega NoAutoUpdate, drugič ScheduledInstallDay, in tretji ScheduledInstallTime(neobvezno Brez samodejnega ponovnega zagona s prijavljenimi uporabniki). Zdaj v teh štiri nove parametri morajo spremeniti vrednost.

Za parameter AUOptions

• 2 - Prejmite obvestilo pred namestitvijo in prenosom morebitnih posodobitev.
• 3 - Samodejno prejemanje posodobitev in obvestil, ko so pripravljene za namestitev.
• 4 - Samodejno prejemanje in namestitev posodobitev v skladu z določenim urnikom.
• 5 - Dovolite lokalnim skrbnikom, da sami izberejo način posodabljanja in obvestila.

Za parameter NoAutoUpdate

• 0 — omogočeno avtomatska namestitev posodobitve, ki bodo prenesene in nameščene glede na nastavitve v parametru AUOptions.
• 1 — Samodejna namestitev posodobitev je onemogočena.

Za parameter ScheduledInstallDay

• 0—posodobitve bodo nameščene dnevno, če je parameter AUOptions nastavljen na 4.
• 1—posodobitve bodo nameščene vsak ponedeljek, če je parameter AUOptions nastavljen na 4.
• 2 — posodobitve bodo nameščene vsak torek s parametrom AUOptions, nastavljenim na 4.
• 3 — posodobitve bodo nameščene vsako sredo s parametrom AUOptions, nastavljenim na 4.
• 4—posodobitve bodo nameščene vsak četrtek, če je parameter AUOptions nastavljen na 4.
• 5 — posodobitve bodo nameščene vsak petek, če je parameter AUOptions nastavljen na 4.
• 6 — posodobitve bodo nameščene vsako soboto, če je parameter AUOptions nastavljen na 4.
• 7 — posodobitve bodo nameščene vsako nedeljo, če je parameter AUOptions nastavljen na 4.

Za parameter ScheduledInstallTime

Od 0 do 23 bodo posodobitve nameščene v toliko urah, odvisno od nastavljenega parametra in če je parameter AUOptions nastavljen na 4.

Za parameter NoAutoRebootWithLoggedOnUsers

• 0 — Ko je namestitev posodobitve končana, se bo računalnik samodejno znova zagnal; deluje s parametrom AUOptions, nastavljenim na 4.
• 1 - Ko je namestitev posodobitve končana, se računalnik ne bo samodejno ponovno zagnal; deluje s parametrom AUOptions, nastavljenim na 4.