I den här artikeln kommer vi att visa ett enkelt sätt att fjärruppdatera grupppolicyer på klienter (datorer och servrar) för en domän Active Directory, utan att behöva komma åt fjärrmaskinens konsol och utan att använda kommandot gpupdate.

Ett av de svåraste problemen med att hantera AD-grupppolicyer är att testa policyer i farten, utan att starta om datorn eller komma åt den lokala datorn och köra kommandot.

Funktionen Remote Group Policy Update ger möjlighet att använda en enda GPO-hanteringskonsol (GPMC.msc) för att skapa, redigera, tillämpa och testa grupppolicyer.

Funktionaliteten för uppdatering av fjärrgrupppolicyer dök först upp i Microsoft Windows Server 2012, i alla efterföljande versioner (Windows Server 2016, Microsoft Windows 10), denna funktionalitet och dess stabilitet förbättrades gradvis.

Krav för att fjärruppdatering av gruppolicy ska fungera:

Servermiljökrav:

• Windows Server 2012 och senare
• Eller Windows 10 med RSAT-hanteringsverktyg installerade

Krav på kunder:

• Windows 7 och högre

Krav på nätverkskommunikation (brandväggar) mellan server och klienter

• TCP-port 135 måste vara öppen
• Aktiverad Windows-tjänst Management Instrumentation (Windows-hanteringstjänst)
• Task Scheduler Service

Om din miljö uppfyller dessa krav öppnar du Group Policy Management Console (GPMC.msc), väljer OU (behållaren) där måldatorerna som du vill tvinga GPO-uppdateringen finns.

Högerklicka på rätt container och välj Uppdatering av gruppolicy.

I fönstret som öppnas visas information om antalet objekt i denna OU där GPO kommer att uppdateras. För att bekräfta åtgärden, klicka på "Ja"-knappen.

I fönstret Remote Group Policy Update-resultat kommer du att se statusen för policyuppdateringen, såväl som statusen för denna operation (framgång/fel, felkod). Naturligtvis, om en dator är avstängd eller åtkomst till den är begränsad av en brandvägg, kommer ett motsvarande fel att visas.

Efter GPO-ändringar tar det lite tid (90 minuter +/- 30) för dem att sprida sig till andra system, men om de behöver tillämpas omedelbart loggar administratören in på fjärrsystemet och kör kommandot " gpupdate" Med ett stort antal datorer tog processen lite tid och själva processen är obekväm. Nu kan du glömma det. I Group Policy Management Console (GPMC) har ett nytt objekt dykt upp i snabbmenyn för domänen och organisationsenheten: " Uppdatering av gruppolicy” (Group Policy Update) låter dig uppdatera systempolicyer från och med Windows Vista/2008 med två musklick. Efter aktivering av uppgiften kommer en lista över datorer och registrerade användare att tas emot, varefter uppgiften " Gpupdate.exe /force" För att undvika överbelastning av nätverket kommer det att utföras med en slumpmässig fördröjning i intervallet 0-10 minuter. Resultatet av uppgiften visas i separat fönster, kan uppdateringens framgång avgöras med hjälp av den resulterande policyguiden.
Den nya funktionen fick också sin egen cmdlet - Invoke-GPUpdate, som låter dig uppdatera GP på distans och ger ännu större möjligheter än GPMC. Förresten, nu är 27 cmdlets ansvariga för grupppolicyer, d.v.s. en till (få full lista du kan gå in" Get-Command -Module GroupPolicy«).
För att omedelbart uppdatera policyer på ett specifikt system, kör bara:

PS> Invoke- GPUpdate - Dator< имя компьютера>

PS> Invoke-GPUpdate -Dator< имя компьютера>

Ytterligare nyckel –RandomDelayInMinutes låter dig ställa in ett timeout-intervall, vilket är användbart om kommandot kommer att köras på flera system.
Men det viktigaste är att i GPMC-konsolen kan du bara välja en division; det finns ingen separat datorbehållare där. Det är här Invoke-GPUpdate kommer till räddningen, som tillsammans med Get-ADComputer-cmdleten låter dig välja system utifrån vilket kriterium som helst:

PS> Get- ADComputer –filter * - Sökbas "cn=datorer, dc=exempel,dc=org"| foreach ( Invoke-GPUpdate –computer$_.name –force –-RandomDelayInMinutes 5)

PS> Get-ADComputer –filter * -Searchbase "cn=datorer, dc=exempel,dc=org" | foreach( Invoke-GPUpdate –dator $_.name –force –-RandomDelayInMinutes 5)

Mer viktig poäng, flera brandväggsportar måste öppnas på klientsystem. För att göra livet enklare för administratören erbjöd MS 2 nya initiala policyer (till de 8 befintliga), så att du snabbt kan skapa och distribuera nödvändiga inställningar:

— Brandväggsportar för uppdateringar av fjärrgrupppolicyer;
- Brandväggsportar för grupprinciprapporter.

Deras syfte framgår tydligt av namnet. Vi är intresserade av den första. Vi rekommenderar att du skapar en ny GPO och flyttar den till toppen, vilket ger den högre prioritet än standarddomänens GPO.
Processen är enkel. Välj domänen och välj "Skapa ett GPO i denna domän" från menyn. I fönstret som visas anger du namnet och väljer från listan "Brandväggsportar för fjärruppgradering av grupprincip." Alternativt kan du använda PowerShell.

Sammanfattning: Microsoft Scripting Guy, Ed Wilson visar hur man tvingar fram en gruppolicyuppdatering med PowerShell.

Uppdatera gruppolicy i en domän

Ibland gör jag ändringar i gruppolicy på nätverket och jag måste tillämpa ändringarna på alla datorer. Och ibland behöver jag uppdatera lokal grupppolicy på min dator.

För att uppdatera grupprincipinställningar använder jag verktyget GPUpdate. Den har några parametrar. Som standard uppdaterar verktyget både datorns och användarpolicyn. Men detta kan styras med parametern /mål. Till exempel, om jag bara behöver uppdatera datorpolicyn kommer jag att specificera /mål:dator. För att endast uppdatera användarpolicyn − /mål:användare.

PS C:\> gpupdate /target:dator

Uppdaterar policy...

Standard GPUpdate Gäller endast uppdaterade grupprincipinställningar. Använd parametern för att tillämpa alla inställningar /tvinga. Följande kommando uppdaterar alla grupprincipinställningar (oavsett om de har ändrats eller inte) för datorn och användaren.

PS C:\> gpupdate /force

Uppdaterar policy...

Uppdateringen av datorpolicyn har slutförts.

Uppdateringen av användarpolicyn har slutförts.

Först får vi en lista över datorer i domänen

Det första jag behöver göra är att få en lista över alla datorer i domänen. För detta använder jag cmdlet Skaffa-ADComputer, en del av Active Directory-modulen.

Obs: Active Directory-modulen ingår i RSAT.

Jag lagrar de resulterande datorobjekten i variabeln $cn.

$cn = Get-ADComputer -filt *

För det andra skapar vi fjärrsessioner

Nästa sak jag behöver göra är att skapa fjärrsessioner med alla datorer. För att göra detta måste jag tillhandahålla autentiseringsuppgifter för att ansluta till datorer, samt skapa sessionerna själva med hjälp av cmdlet Ny-PSSession.

Till att börja med använder jag cmdlet Få-referenser och lagra objektet som returneras av det i variabeln $cred.

$cred = Hämta inloggningsuppgifter iammred\administratör

$session = New-PSSession -cn $cn.name -cred $cred

Du måste komma ihåg att det kan finnas datorer i domänen som är avstängda, så när du kör kommandot kan fel returneras. Men trots misstagen, Windows PowerShell skapar sessioner med arbetsdatorer.

Förekomsten av ett stort antal fel kan orsaka viss oro. Eftersom sessionsobjekten är lagrade i variabeln $sessions kan jag enkelt verifiera att de har skapats.

Låt oss nu köra kommandot på alla fjärrdatorer

För att köra kommandot GPUpdate på alla fjärrdatorer använder jag cmdlet Anropa-kommando. Den använder sessionerna vi sparade i variabeln $sessions. Alias ​​för cmdleten Anropa-kommando – icm.

icm -Session $session -ScriptBlock (gpupdate /force)

Efter att ha kört kommandot visas resultaten i Windows-konsol PowerShell.

Söker efter en gruppolicyuppdatering

När på arbetsstation Grupprincipinställningarna har uppdaterats och en händelse med kod 1502 registreras i systemloggen. Jag kan använda cmdleten Anropa-kommando för att få denna information.

icm -Session $session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Newest 1)

Kommandot och dess resultat visas i figuren nedan.

En annan intressant sak om grupppolicy

Ibland måste jag ringa teknisk support och de ber mig uppdatera gruppolicy på min lokal dator. Detta är inget problem eftersom jag kan springa GPUpdate direkt från PowerShell. Svårigheten kommer när de ber mig att uppdatera gruppolicy 5 gånger med 5 minuters intervall. Men detta kan också lösas med en rad kod.

1..5 | %("uppfriskar GP $(Get-Date)"; gpupdate /force ; sov 300)

Ed Wilson, Microsoft Scripting Guy

Original:

Att ställa in uppdateringspolicyn för Windows 10 anger hur Windows 10 tar emot uppdateringar. I Windows 10 har uppdateringsinställningarna flyttats från Kontrollpanelen till Systeminställningar. I Windows 10 finns det inga sådana inställningar som det fanns i kontrollpanelen och därför går det inte längre att inaktivera uppdateringar eller välja hur man tar emot dem. Du kan dock använda Registereditorn och Local Group Policy Editor för att inaktivera uppdateringar och ställa in hur du tar emot dem.

Konfigurera uppdateringar med hjälp av den lokala grupprincipredigeraren

Starta den lokala grupprincipredigeraren genom att trycka på två tangenter på tangentbordet samtidigt WIN+R gpedit.msc och klicka på OK.

Uppdatera grupppolicy för Windows 10

Datorkonfiguration - Administrativa mallar - Windows-komponenter - Windows Update. Klicka på det sista objektet Windows Update och hitta objektet på höger sida inställningar automatisk uppdatering och ändra dess inställningar.

Konfigurera Windows 10 uppdaterar grupppolicyer

För att göra detta, i fönstret som öppnas, måste du sätta en prick högst upp bredvid alternativet Aktiverad och sedan ställa in uppdateringsinställningarna nedan. Klicka på OK. Öppna sedan för att inställningarna du har gjort ska fungera Systeminställningar - Uppdatering och säkerhet - Windows Update och tryck på knappen Kollar efter uppdateringar.

När du har ställt in Windows 10-policyer, kör uppdateringen

Efter detta kommer inställningarna du gjorde i den lokala grupprincipredigeraren att träda i kraft.

Konfigurera uppdateringar med Registereditorn

Starta Registereditorn genom att trycka på två tangenter på tangentbordet samtidigt WIN+R. Fönstret Kör öppnas där du anger kommandot regedit och klicka på OK.

Öppna Registereditorn och skapa fyra inställningar där för att hantera Windows 10-uppdateringar

Expandera i den vänstra delen av redigeringsfönstret som öppnas HKEY_LOCAL_MACHINE - PROGRAMVARA - Policies - Microsoft - Windows. Håll muspekaren över det senaste Windows-objektet och högerklicka. Välj i snabbmenyn som öppnas Skapa - Sektion. Namnge det nya avsnittet Windows uppdatering.
Håll sedan muspekaren över den nyskapade WindowsUpdate-sektionen och skapa igen en sektion som du namnger AU.
Flytta sedan markören över den nyskapade AU-partitionen och högerklicka och välj från menyn som öppnas Nytt - DWORD-värde (32-bitars). Den nyskapade parametern kommer att visas på höger sida av fönstret, namnge den AUalternativ. På samma sätt, håll markören över AU-sektionen, skapa ytterligare tre parametrar och namnge den första Ingen automatisk uppdatering, andra Schemalagd installationsdag, och den tredje ScheduledInstallTime(frivillig IngenAutoRebootWithLoggedOnUsers). Nu i dessa fyra nya parametrar måste ändra värdet.

För parametern AUOptions

• 2 - Få ett meddelande innan du installerar och laddar ner några uppdateringar.
• 3 - Få uppdateringar och meddelanden automatiskt när de är klara för installation.
• 4 - Ta emot och installera uppdateringar automatiskt enligt ett specificerat schema.
• 5 - Tillåt lokala administratörer att själva välja uppdateringsläge och meddelanden.

För parametern NoAutoUpdate

• 0 — Aktiverad automatisk installation uppdateringar som kommer att laddas ner och installeras beroende på inställningarna som görs i parametern AUOptions.
• 1 — Automatisk installation av uppdateringar är inaktiverad.

För parametern ScheduledInstallDay

• 0 – uppdateringar kommer att installeras dagligen om parametern AUOptions är inställd på 4.
• 1—uppdateringar kommer att installeras varje måndag om parametern AUOptions är inställd på 4.
• 2 — uppdateringar kommer att installeras varje tisdag med parametern AUOptions inställd på 4.
• 3 — uppdateringar kommer att installeras varje onsdag med parametern AUOptions inställd på 4.
• 4—uppdateringar kommer att installeras varje torsdag om parametern AUOptions är inställd på 4.
• 5 — uppdateringar kommer att installeras varje fredag ​​om parametern AUOptions är inställd på 4.
• 6 — uppdateringar kommer att installeras varje lördag om parametern AUOptions är inställd på 4.
• 7 — uppdateringar kommer att installeras varje söndag om parametern AUOptions är inställd på 4.

För parametern ScheduledInstallTime

Från 0 till 23 kommer uppdateringar att installeras på lika många timmar beroende på den inställda parametern och om parametern AUOptions är inställd på 4.

För parametern NoAutoRebootWithLoggedOnUsers

• 0 — När uppdateringsinstallationen är klar kommer datorn automatiskt att starta om; den fungerar med parametern AUOptions inställd på 4.
• 1 - När uppdateringsinstallationen är klar kommer datorn inte att starta om automatiskt; den fungerar med parametern AUOptions inställd på 4.