Ushbu maqolada biz domen mijozlari (kompyuterlari va serverlari) bo'yicha guruh siyosatlarini masofadan yangilashning oddiy usulini ko'rsatamiz. Active Directory, masofaviy mashina konsoliga kirmasdan va gpupdate buyrug'idan foydalanmasdan.

AD guruhi siyosatlarini boshqarishdagi eng qiyin muammolardan biri bu siyosatlarni kompyuterni qayta ishga tushirmasdan yoki mahalliy kompyuterga kirmasdan va buyruqni ishga tushirmasdan tezda sinovdan o'tkazishdir.

Guruh siyosatini masofaviy yangilash xususiyati guruh siyosatlarini yaratish, tahrirlash, qo‘llash va sinovdan o‘tkazish uchun yagona GPO boshqaruv konsolidan (GPMC.msc) foydalanish imkoniyatini beradi.

Masofaviy guruh siyosatini yangilash funksiyasi birinchi marta paydo bo'ldi Microsoft Windows Server 2012, keyingi barcha versiyalarda (Windows Server 2016, Microsoft Windows 10) bu funksiya va uning barqarorligi asta-sekin yaxshilandi.

Ishlash uchun masofaviy guruh siyosatini yangilash talablari:

Server muhiti talablari:

• Windows Server 2012 va undan yuqori
• Yoki RSAT boshqaruv vositalari o'rnatilgan Windows 10

Mijozlarga qo'yiladigan talablar:

• Windows 7 va undan yuqori

Server va mijozlar o'rtasidagi tarmoq aloqasi (xavfsizlik devori) uchun talablar

• TCP porti 135 ochiq bo'lishi kerak
• Yoqilgan Windows xizmati Boshqaruv asboblari (Windows boshqaruv xizmati)
• Vazifalarni rejalashtirish xizmati

Agar sizning muhitingiz ushbu talablarga javob bersa, Group Policy Management Console (GPMC.msc) ni oching, GPO yangilanishini majburlamoqchi bo'lgan maqsadli kompyuterlar joylashgan OU (konteyner) ni tanlang.

O'ng tugmasini bosing to'g'ri konteyner va tanlang Guruh siyosatini yangilash.

Ochilgan oynada ushbu OUdagi GPO yangilanadigan ob'ektlar soni haqida ma'lumot paydo bo'ladi. Amalni tasdiqlash uchun "Ha" tugmasini bosing.

Masofaviy guruh siyosatini yangilash natijalari oynasida siz siyosatni yangilash holatini, shuningdek, ushbu operatsiya holatini (muvaffaqiyat/xato, xato kodi) ko'rasiz. Tabiiyki, agar kompyuter o'chirilgan bo'lsa yoki unga kirish xavfsizlik devori tomonidan cheklangan bo'lsa, tegishli xato paydo bo'ladi.

GPO o'zgartirilgandan so'ng, ularning boshqa tizimlarga tarqalishi uchun biroz vaqt kerak bo'ladi (90 daqiqa +/- 30), lekin ularni zudlik bilan qo'llash kerak bo'lsa, administrator masofaviy tizimga kiradi va buyruqni bajaradi " gpupdate" Ko'p sonli shaxsiy kompyuterlar bilan jarayon biroz vaqt talab qildi va jarayonning o'zi noqulay. Endi siz bu haqda unutishingiz mumkin. Guruh siyosatini boshqarish konsolida (GPMC) domen va tashkiliy birlikning kontekst menyusida yangi element paydo bo'ldi: " Guruh siyosatini yangilash” (Guruh siyosatini yangilash) sichqonchani ikki marta bosish bilan Windows Vista/2008 dan boshlab tizim siyosatlarini yangilash imkonini beradi. Vazifani faollashtirgandan so'ng, kompyuterlar va ro'yxatdan o'tgan foydalanuvchilar ro'yxati olinadi, shundan so'ng vazifa " Gpupdate.exe /force" Tarmoq tiqilib qolishining oldini olish uchun u 0-10 daqiqa oralig'ida tasodifiy kechikish bilan amalga oshiriladi. Vazifa natijasi ko'rsatiladi alohida oyna, yangilanishning muvaffaqiyatini natijada olingan siyosat ustasi yordamida aniqlash mumkin.
Yangi funktsiya o'z cmdletini ham oldi - Invoke-GPUpdate, bu sizga GP ni masofadan yangilash imkonini beradi va GPMC dan ham katta imkoniyatlarni beradi. Aytgancha, endi 27 ta cmdlet guruh siyosati uchun javobgardir, ya'ni. yana bir (olish to'liq ro'yxat kirishingiz mumkin" Get-Buyruq - Module GroupPolicy«).
Muayyan tizimdagi siyosatlarni darhol yangilash uchun quyidagilarni bajaring:

PS> Invoke- GPUpdate - Kompyuter< имя компьютера>

PS> Invoke-GPUpdate -Kompyuter< имя компьютера>

Qo'shimcha kalit – Tasodifiy kechikish daqiqalari Agar buyruq bir nechta tizimlarda bajariladigan bo'lsa foydali bo'lgan vaqt tugashi oralig'ini o'rnatishga imkon beradi.
Ammo asosiysi shundaki, GPMC konsolida siz faqat bo'limni tanlashingiz mumkin, u erda alohida kompyuterlar konteyneri yo'q. Bu erda Invoke-GPUpdate yordamga keladi, bu Get-ADComputer cmdlet bilan birgalikda tizimlarni istalgan mezon bo'yicha tanlash imkonini beradi:

PS> Get- ADComputer – filtr * - Qidiruv bazasi "cn = kompyuterlar, dc = misol, dc = org"| foreach (Invoke-GPUpdate –computer$_.name –force –-RandomDelayInMinutes 5)

PS> Get-ADComputer –filtr * -Qidiruv bazasi "cn=kompyuterlar, dc=misol,dc=org" | foreach( Invoke-GPUpdate –kompyuter $_.name –force –-RandomDelayInMinutes 5)

Ko'proq muhim nuqta, mijoz tizimlarida bir nechta xavfsizlik devori portlari ochilishi kerak. Administrator hayotini osonlashtirish uchun MS tez yaratish va tarqatish imkonini beruvchi 2 ta yangi boshlang‘ich siyosatni (mavjud 8 tasiga) taklif qildi. kerakli sozlamalar:

— Masofaviy guruh siyosatini yangilash uchun xavfsizlik devori portlari;
- Group Policy hisobotlari uchun xavfsizlik devori portlari.

Ularning maqsadi nomidan aniq. Bizni birinchisi qiziqtiradi. Biz sizga yangi GPO yaratishingizni va uni GPO standart domeniga qaraganda yuqoriroq ustunlikka ko‘chirishingizni tavsiya qilamiz.
Jarayon oddiy. Domenni tanlang va menyudan “Ushbu domenda GPO yaratish” bandini tanlang. Ko'rsatilgan oynada ismni kiriting va ro'yxatdan "Guruh siyosatini masofaviy yangilash uchun xavfsizlik devori portlari" ni tanlang. Shu bilan bir qatorda PowerShell dan foydalanishingiz mumkin.

Xulosa: Microsoft Scripting Guy, Ed Wilson PowerShell yordamida Guruh siyosati yangilanishini qanday majburlash kerakligini ko'rsatadi.

Domendagi guruh siyosatini yangilash

Ba'zan o'zgartirishlar kiritaman guruh siyosati tarmoqda va o'zgarishlarni barcha kompyuterlarga qo'llashim kerak. Va ba'zida men kompyuterimda mahalliy guruh siyosatini yangilashim kerak.

Guruh siyosati sozlamalarini yangilash uchun men yordamchi dasturdan foydalanaman GPU yangilanishi. U ba'zi parametrlarga ega. Odatiy bo'lib, yordamchi dastur ham kompyuterni, ham foydalanuvchi siyosatini yangilaydi. Ammo buni parametr yordamida boshqarish mumkin /maqsad. Misol uchun, agar men faqat kompyuter siyosatini yangilashim kerak bo'lsa, men aniqlayman /maqsad: kompyuter. Faqat foydalanuvchi siyosatini yangilash uchun - /target:foydalanuvchi.

PS C:\> gpupdate /target:kompyuter

Siyosat yangilanmoqda…

Standart GPU yangilanishi Faqat yangilangan Guruh siyosati sozlamalarini qo'llaydi. Barcha sozlamalarni qo'llash uchun parametrdan foydalaning / kuch. Quyidagi buyruq kompyuter va foydalanuvchi uchun barcha Guruh siyosati sozlamalarini yangilaydi (ular o'zgartirilganmi yoki yo'qmi).

PS C:\> gpupdate /force

Siyosat yangilanmoqda…

Kompyuter siyosati yangilanishi muvaffaqiyatli yakunlandi.

Foydalanuvchi siyosati yangilanishi muvaffaqiyatli yakunlandi.

Birinchidan, biz domendagi kompyuterlar ro'yxatini olamiz

Men qilishim kerak bo'lgan birinchi narsa - domendagi barcha kompyuterlar ro'yxatini olish. Buning uchun men cmdlet dan foydalanaman Get-ADComputer, Active Directory modulining bir qismi.

Eslatma: Active Directory moduli RSAT-ga kiritilgan.

Olingan kompyuter ob'ektlarini $cn o'zgaruvchisida saqlayman.

$cn = Get-ADComputer -filt *

Ikkinchidan, biz masofaviy seanslarni yaratamiz

Men qilishim kerak bo'lgan keyingi narsa - barcha kompyuterlar bilan masofaviy seanslar yaratish. Buning uchun men kompyuterlarga ulanish uchun hisob ma'lumotlarini taqdim etishim kerak, shuningdek, cmdlet yordamida seanslarni o'zlari yaratishim kerak. Yangi PSSession.

Boshlash uchun men cmdlet dan foydalanaman Hisob ma'lumotlarini olish va u tomonidan qaytarilgan ob'ektni $cred o'zgaruvchisida saqlang.

$cred = Get-Credential iammred\administrator

$session = Yangi-PSSession -cn $cn.name -cred $cred

Domenda o'chirilgan kompyuterlar bo'lishi mumkinligini yodda tutishingiz kerak, shuning uchun buyruqni ishga tushirishda xatolar qaytarilishi mumkin. Biroq, xatolarga qaramay, Windows PowerShell ish kompyuterlari bilan seanslar yaratadi.

Ko'p sonli xatolar mavjudligi ba'zi tashvishlarga sabab bo'lishi mumkin. Seans ob'ektlari $sessions o'zgaruvchisida saqlanganligi sababli, ular yaratilganligini osongina tekshirishim mumkin.

Endi buyruqni barcha masofaviy mashinalarda ishga tushiramiz

Buyruqni bajarish uchun GPU yangilanishi barcha masofaviy mashinalarda men cmdlet dan foydalanaman Chaqiruv - Buyruq. U biz $sessions o'zgaruvchisida saqlangan seanslardan foydalanadi. Cmdlet uchun taxallus Chaqiruv - Buyruq – icm.

icm -Session $session -ScriptBlock (gpupdate/force)

Buyruqni ishga tushirgandan so'ng, natijalar ekranda ko'rsatiladi Windows konsoli PowerShell.

Guruh siyosati yangilanishi tekshirilmoqda

Qachon yoqilgan ish stantsiyasi Guruh siyosati sozlamalari muvaffaqiyatli yangilandi va 1502 kodli voqea tizim jurnalida qayd etildi. Men cmdletdan foydalanishim mumkin Chaqiruv - Buyruq ushbu ma'lumotni olish uchun.

icm -Session $session -ScriptBlock (Get-EventLog -LogName tizimi -InstanceId 1502 -Eng yangi 1)

Buyruq va uning natijalari quyidagi rasmda ko'rsatilgan.

Guruh siyosati haqida yana bir qiziq narsa

Ba'zan texnik yordamga qo'ng'iroq qilishim kerak va ular mendan Guruh siyosatini yangilashimni so'rashadi mahalliy kompyuter. Bu muammo emas, chunki men yugura olaman GPU yangilanishi to'g'ridan-to'g'ri PowerShell'dan. Qiyinchilik mendan Guruh siyosatini 5 daqiqalik interval bilan 5 marta yangilashimni so'rashganda paydo bo'ladi. Lekin buni bir qator kod bilan ham hal qilish mumkin.

1..5 | %("yangilanuvchi GP $(Get-Date)"; gpupdate /force; uyqu 300)

Ed Uilson, Microsoft skriptchisi

Asl:

Windows 10 yangilanish siyosatini o'rnatish Windows 10 yangilanishlarni qabul qilish usulini o'rnatishdir Windows 10 da yangilash sozlamalari Boshqarish panelidan Tizim sozlamalariga ko'chirildi. Windows 10-da Boshqaruv panelidagi kabi sozlamalar mavjud emas va shuning uchun endi yangilanishlarni o'chirib qo'yish yoki ularni qanday qabul qilishni tanlash mumkin emas. Biroq, yangilanishlarni o'chirish va ularni qanday qabul qilishni sozlash uchun Ro'yxatga olish kitobi muharriri va Mahalliy guruh siyosati muharriridan foydalanishingiz mumkin.

Mahalliy guruh siyosati muharriri yordamida yangilanishlarni sozlash

Klaviaturadagi ikkita tugmachani bir vaqtning o'zida bosib, Mahalliy guruh siyosati muharririni ishga tushiring WIN+R gpedit.msc va OK tugmasini bosing.

Windows 10 yangilash guruhi siyosati

Kompyuter konfiguratsiyasi - Ma'muriy shablonlar - Windows komponentlari - Windows yangilash. Windows Update-ning oxirgi elementini bosing va keyin o'ng tomonda elementni toping Sozlamalar avtomatik yangilash va uning sozlamalarini o'zgartiring.

Windows 10 yangilanishlar guruhi siyosatlarini sozlash

Buni amalga oshirish uchun ochilgan oynada "Enabled" bandi yonidagi tepaga nuqta qo'yishingiz kerak va keyin quyida yangilash sozlamalarini o'rnatishingiz kerak. OK tugmasini bosing. Keyin ishlash uchun qilgan sozlamalaringiz uchun oching Tizim sozlamalari - Yangilash va xavfsizlik - Windows yangilanishi va tugmani bosing Yangilanishlar tekshirilmoqda.

Windows 10 siyosatlarini sozlashni tugatganingizdan so'ng, yangilashni ishga tushiring

Shundan so'ng, siz mahalliy guruh siyosati muharririda o'rnatgan sozlamalar kuchga kiradi.

Ro'yxatga olish kitobi muharriri yordamida yangilanishlarni o'rnatish

Klaviaturadagi ikkita tugmachani bir vaqtning o'zida bosib, Ro'yxatga olish kitobi muharririni ishga tushiring WIN+R. Run oynasi ochiladi, unda siz buyruqni kiritasiz regedit va OK tugmasini bosing.

Ro'yxatga olish kitobi muharririni oching va u erda Windows 10 yangilanishlarini boshqarish uchun to'rtta sozlamalarni yarating

Ochilgan tahrirlovchi oynasining chap qismida kengaytiring HKEY_LOCAL_MACHINE - DASTURIY TA'MINOT - Siyosatlar - Microsoft - Windows. Kursorni Windows-ning oxirgi elementi ustiga olib boring va sichqonchaning o'ng tugmachasini bosing. Ochilgan kontekst menyusida tanlang Yaratish - bo'lim. Yangi bo'limga nom bering WindowsUpdate.
Keyin kursorni yangi yaratilgan WindowsUpdate bo'limiga olib boring va yana o'zingiz nomlagan bo'limni yarating AU.
Keyin kursorni yangi yaratilgan AU bo'limi ustiga olib boring va sichqonchaning o'ng tugmachasini bosing va ochilgan menyudan tanlang. Yangi - DWORD qiymati (32-bit). Yangi yaratilgan parametr oynaning o'ng tomonida paydo bo'ladi, uni nomlang AUOptions. Xuddi shu tarzda, kursorni AU bo'limiga olib boring, yana uchta parametr yarating va birinchisiga nom bering. Avtomatik yangilanish yo'q, ikkinchi Rejalashtirilgan o'rnatish kuni, va uchinchisi Rejalashtirilgan o'rnatish vaqti(ixtiyoriy NoAutoRebootWithLoggedOnUsers). Endi bularda to'rtta yangi parametrlar qiymatini o'zgartirishi kerak.

AUOptions parametri uchun

• 2 - Har qanday yangilanishlarni o'rnatish va yuklab olishdan oldin bildirishnoma oling.
• 3 - O'rnatishga tayyor bo'lganda yangilanishlar va bildirishnomalarni avtomatik ravishda oling.
• 4 - Belgilangan jadvalga muvofiq yangilanishlarni avtomatik ravishda qabul qilish va o'rnatish.
• 5 - Mahalliy ma'murlarga yangilash rejimi va bildirishnomalarni o'zlari tanlashiga ruxsat bering.

NoAutoUpdate parametri uchun

• 0 - Yoqilgan avtomatik o'rnatish AUOptions parametrida qilingan sozlamalarga qarab yuklab olinadigan va o'rnatiladigan yangilanishlar.
• 1 — Yangilanishlarni avtomatik o'rnatish o'chirilgan.

ScheduledInstallDay parametri uchun

• 0— AUOptions parametri 4 ga oʻrnatilgan boʻlsa, yangilanishlar har kuni oʻrnatiladi.
• 1— yangilanishlar har dushanba kuni oʻrnatiladi, agar AUOptions parametri 4 ga oʻrnatilgan boʻlsa.
• 2 — yangilanishlar har seshanba kuni AUOptions parametri 4 ga oʻrnatilgan holda oʻrnatiladi.
• 3 — yangilanishlar har chorshanba kuni AUOptions parametri 4 ga oʻrnatilgan holda oʻrnatiladi.
• 4— AUOptions parametri 4 ga oʻrnatilgan boʻlsa, yangilanishlar har payshanba kuni oʻrnatiladi.
• 5 — yangilanishlar har juma kuni oʻrnatiladi, agar AUOptions parametri 4 ga oʻrnatilgan boʻlsa.
• 6 — yangilanishlar har shanba kuni oʻrnatiladi, agar AUOptions parametri 4 ga oʻrnatilgan boʻlsa.
• 7 — AUOptions parametri 4 ga oʻrnatilgan boʻlsa, yangilanishlar har yakshanba kuni oʻrnatiladi.

ScheduledInstallTime parametri uchun

0 dan 23 gacha yangilanishlar o'rnatilgan parametrga qarab va AUOptions parametri 4 ga o'rnatilgan bo'lsa, shuncha soat ichida o'rnatiladi.

NoAutoRebootWithLoggedOnUsers parametri uchun

• 0 — Yangilashni oʻrnatish tugallangandan soʻng, kompyuter avtomatik ravishda qayta ishga tushadi; u AUOptions parametri 4 ga oʻrnatilganda ishlaydi.
• 1 - Yangilashni o'rnatish tugallangach, kompyuter avtomatik ravishda qayta yoqilmaydi, u AUOptions parametri 4 ga o'rnatilganda ishlaydi.