Comment accélérer le processus de mise à jour de la stratégie de groupe. GPUPDATE - Effectuer une mise à jour de la stratégie de groupe pour la stratégie de sécurité locale de mise à jour de l'utilisateur et de l'ordinateur

La commande GPUPDATE est utilisée pour mettre à jour stratégies de groupe pour l'utilisateur et/ou l'ordinateur.

GPUpdate

Paramètres de ligne de commande:

/ Cible : (Ordinateur | Utilisateur)- Mettre à jour les paramètres de stratégie pour l'utilisateur uniquement ou l'ordinateur uniquement. S'il n'est pas spécifié, les paramètres des deux stratégies sont mis à jour.

/ Obliger- Application de tous les paramètres de stratégie. S'il n'est pas spécifié, seuls les paramètres de stratégie modifiés sont appliqués.

/ Attendre : valeur- Temps d'attente (en secondes) pour la fin du traitement de la stratégie. La valeur par défaut est d'attendre 600 secondes. La valeur "0" signifie pas d'attente. La valeur "-1" signifie que l'attente est illimitée. Si le délai est dépassé, la fenêtre d'invite de commande est réactivée, mais le traitement de la stratégie se poursuit.

/ Se déconnecter- Quittez après avoir mis à jour les paramètres de stratégie de groupe. Requis pour les extensions clientes de stratégie de groupe qui ne traitent pas la stratégie dans Contexte, mais ne le traitez que lorsque l'utilisateur se connecte, par exemple en installant des programmes pour l'utilisateur ou en redirigeant des dossiers. Ce paramètre n'a d'effet que si des extensions sont appelées et nécessitent que l'utilisateur se déconnecte.

/ Botte- Redémarrez après avoir appliqué les paramètres de stratégie de groupe. Obligatoire pour les extensions clientes de stratégie de groupe qui ne traitent pas la stratégie en arrière-plan, mais la traitent uniquement au démarrage, comme l'installation d'un logiciel pour un ordinateur. Ce paramètre n'a d'effet que si des extensions sont appelées et nécessitent un redémarrage du système.

/ Synchroniser- La prochaine application active de la politique doit être synchrone. L'application de la stratégie active se produit lorsque l'ordinateur est redémarré ou lorsque l'utilisateur se connecte au système. Vous pouvez utiliser ce paramètre sur un utilisateur, un ordinateur ou les deux en spécifiant le paramètre / Target. Cependant, les options / Force et / Wait, si elles sont spécifiées, sont ignorées.

Exemples d'utilisation :

gpupdate /?- afficher un indice sur la façon d'utiliser la commande.

gpupdate- les politiques informatiques et les politiques utilisateur sont en cours de mise à jour. Seules les politiques modifiées sont appliquées.

gpupdate / Cible : ordinateur- la mise à jour des politiques est effectuée uniquement pour l'ordinateur.

gpupdate / Forcer- toutes les politiques sont mises à jour.

gpupdate / Boot- mise à jour des politiques de groupe avec un redémarrage de l'ordinateur.

Sommaire: Microsoft Scripting Guy, Ed Wilson vous montre comment déclencher une mise à jour de stratégie de groupe à l'aide de PowerShell.

Mise à jour de la stratégie de groupe sur un domaine

Parfois, j'apporte des modifications à la stratégie de groupe sur le réseau et je dois appliquer les modifications à tous les ordinateurs. Et parfois, je dois mettre à jour la stratégie de groupe locale sur mon ordinateur.

Pour mettre à jour les paramètres de stratégie de groupe, j'utilise l'utilitaire GPUpdate... Il a certains paramètres. Par défaut, l'utilitaire met à jour la stratégie de l'ordinateur et de l'utilisateur. Mais cela peut être contrôlé en utilisant le paramètre / cible... Par exemple, si je m'ennuie à ne mettre à jour que la politique informatique, je préciserai / cible : ordinateur... Pour mettre à jour uniquement la politique utilisateur - / cible : utilisateur.

PS C : \> gpupdate / cible : ordinateur

Mise à jour de la politique...

Défaut GPUpdate applique uniquement les paramètres de stratégie de groupe mis à jour. Pour appliquer tous les paramètres, utilisez le paramètre / Obliger... La commande ci-dessous met à jour tous les paramètres de stratégie de groupe (qu'ils aient été modifiés ou non) pour l'ordinateur et l'utilisateur.

PS C : \> gpupdate / forcer

Mise à jour de la politique...

La mise à jour de la stratégie informatique s'est terminée avec succès.

La mise à jour de la politique utilisateur s'est terminée avec succès.

Tout d'abord, nous obtenons une liste d'ordinateurs dans le domaine

La première chose que je dois faire est d'obtenir une liste de tous les ordinateurs du domaine. Pour cela j'utilise l'applet de commande Obtenir-ADOrdinateur inclus dans le module Active Directory.

Remarque : Le module Active Directory fait partie de RSAT.

Je stocke les objets informatiques résultants dans la variable $ cn.

$ cn = Get-ADComputer -filt *

Deuxièmement, nous créons des sessions à distance

La prochaine chose que je dois faire est de créer séances à distance avec tous les ordinateurs. Pour ce faire, je dois fournir des informations d'identification pour me connecter aux ordinateurs, ainsi que créer les sessions elles-mêmes à l'aide de l'applet de commande Nouveau-PSSession.

Tout d'abord, j'utiliserai l'applet de commande Obtenir les informations d'identification et stockez l'objet renvoyé dans la variable $ cred.

$ cred = Get-Credential iammred \ administrateur

$ session = New-PSSession -cn $ cn.name -cred $ cred

Veuillez noter que le domaine peut avoir des ordinateurs arrêtés, la commande peut donc renvoyer des erreurs. Cependant, malgré les erreurs, Windows PowerShell crée des sessions avec des ordinateurs de travail.

La présence d'un grand nombre d'erreurs peut inspirer une certaine inquiétude. Étant donné que les objets de session sont stockés dans la variable $ sessions, je peux facilement vérifier qu'ils sont créés.

Exécutons maintenant la commande sur toutes les machines distantes

Pour exécuter la commande GPUpdate sur toutes les machines distantes, j'utilise l'applet de commande Invocation-Commande... Il utilise les sessions que nous avons enregistrées dans la variable $ sessions. Alias pour l'applet de commande Invocation-Commande – icm.

icm -Session $ session -ScriptBlock (gpupdate / force)

Après avoir exécuté la commande, les résultats sont affichés dans consoles Windows PowerShell.

Vérification des mises à jour de la stratégie de groupe

Quand sur poste de travail les paramètres de stratégie de groupe sont mis à jour avec succès, l'ID d'événement 1502 est écrit dans le journal système. Je peux utiliser l'applet de commande Invocation-Commande pour ces informations.

icm -Session $ session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Newest 1)

La commande et ses résultats sont illustrés dans la figure ci-dessous.

Une autre chose intéressante à propos de la stratégie de groupe

Parfois, je dois appeler le support technique et ils demandent de mettre à jour la stratégie de groupe sur mon ordinateur local. Ce n'est pas un problème, puisque je peux courir GPUpdate directement depuis PowerShell. La difficulté survient lorsqu'ils me demandent de mettre à jour la stratégie de groupe 5 fois avec un intervalle de 5 minutes. Mais cela peut être résolu avec une seule ligne de code.

1..5 | % ("Rafraîchissement GP $ (Get-Date)" ; gpupdate / force ; sleep 300)

Ed Wilson, scénariste Microsoft

Original:

Dans cet article, nous allons vous montrer un moyen simple de mettre à jour à distance les stratégies de groupe sur les clients (ordinateurs et serveurs) dans un domaine Active Directory, sans avoir à accéder à la console sur la machine distante et sans utiliser la commande gpupdate.

L'un des défis les plus difficiles de la gestion des stratégies de groupe AD consiste à tester les stratégies à la volée, sans redémarrer l'ordinateur ni accéder à l'ordinateur local et exécuter une commande.

La fonctionnalité de mise à jour de la stratégie de groupe à distance offre la possibilité d'utiliser une seule console de gestion des objets de stratégie de groupe (GPMC.msc) pour créer, modifier, appliquer et tester la stratégie de groupe.

La fonctionnalité de mise à jour à distance des stratégies de groupe est apparue pour la première fois dans Microsoft Serveur Windows 2012, dans toutes les versions ultérieures (Windows Server 2016, Microsoft Windows 10), cette fonctionnalité et sa stabilité se sont progressivement améliorées.

Conditions requises pour que la mise à jour de la stratégie de groupe à distance fonctionne :

Configuration requise pour l'environnement du serveur :

Windows Server 2012 et supérieur
Ou Windows 10 avec outils installés gestion RSAT (Outils de gestion)

Exigences pour les clients :

Windows 7 et supérieur

Exigences pour la communication réseau (pare-feu) entre le serveur et les clients

Le port TCP 135 doit être ouvert
Service inclus Gestion des fenêtres Instrumentation (service Gestion des fenêtres)
Service du planificateur de tâches (Service du planificateur de tâches)

Si votre environnement répond à ces exigences, ouvrez la console de gestion des stratégies de groupe (GPMC.msc), sélectionnez l'unité d'organisation (conteneur) qui contient les ordinateurs cibles sur lesquels vous souhaitez forcer la mise à jour de l'objet de stratégie de groupe.

Faites un clic droit sur le contenant souhaité et sélectionnez l'article Mise à jour de la stratégie de groupe.

Dans la fenêtre qui s'ouvre, des informations sur le nombre d'objets de cette OU apparaîtront sur lesquels le GPO sera mis à jour. Pour confirmer l'action, cliquez sur le bouton "Oui".

Dans la fenêtre des résultats de la mise à jour de la stratégie de groupe à distance, vous verrez l'état de la mise à jour de la stratégie, ainsi que l'état de cette opération (succès/erreur, code d'erreur). Naturellement, si un ordinateur est éteint ou si son accès est restreint par un pare-feu, une erreur correspondante apparaîtra.

La configuration de la stratégie de mise à jour de Windows 10 consiste à configurer la façon dont Windows 10 reçoit les mises à jour. Dans Windows 10, les paramètres de mise à jour ont été déplacés du Panneau de configuration vers les paramètres système. Windows 10 n'a pas les mêmes paramètres que dans le Panneau de configuration, et il est donc devenu impossible de désactiver les mises à jour ou de choisir comment les recevoir. Cependant, à l'aide de l'Éditeur du Registre et de l'Éditeur de stratégie de groupe local, vous pouvez désactiver les mises à jour et définir leur mode de réception.

Configuration des mises à jour à l'aide de l'éditeur de stratégie de groupe local

Lancez l'éditeur de stratégie de groupe local en appuyant sur deux touches du clavier à la fois GAGNER + R gpedit.msc et cliquez sur OK.

Stratégie de groupe de mise à niveau de Windows 10

Configuration de l'ordinateur - Modèles d'administration - Composants Windows- Windows Update... Cliquez sur le dernier élément Windows Update, puis sur le côté droit, recherchez l'élément Personnalisation mise à jour automatique et modifier ses paramètres.

Configuration de la stratégie de groupe des mises à jour de Windows 10

Pour ce faire, dans la fenêtre qui s'ouvre, vous devez mettre un point en haut de l'élément Activé, puis définir les paramètres de mise à jour ci-dessous. Cliquez sur OK. Ensuite, pour que les paramètres que vous avez définis fonctionnent, ouvrez Paramètres système - Mise à jour et sécurité - Windows Update et appuyez sur le bouton Recherche de mises à jour.

Une fois le réglage terminé Politiques Windows 10, lancez la mise à jour

Après cela, les paramètres que vous avez définis dans l'éditeur de stratégie de groupe local prendront effet.

Configuration des mises à jour à l'aide de l'éditeur de registre

Lancez l'éditeur de registre en appuyant sur deux touches du clavier à la fois GAGNER + R... La fenêtre Exécuter s'ouvrira dans laquelle vous entrez la commande regedit et cliquez sur OK.

Ouvrez l'Éditeur du Registre et créez-y quatre paramètres à contrôler Mises à jour Windows 10

Dans la partie gauche de la fenêtre de l'éditeur qui s'ouvre, ouvrez HKEY_LOCAL_MACHINE - LOGICIEL - Politiques - Microsoft - Windows... Survolez le dernier élément Windows et faites un clic droit. Dans le menu contextuel qui s'ouvre, sélectionnez Créer - Section. Nouvelle rubrique Nom Windows Update.
Ensuite, survolez la section WindowsUpdate nouvellement créée et créez à nouveau une section appelée UA.
Ensuite, survolez la section AU nouvellement créée, faites un clic droit et sélectionnez Nouveau - Paramètre DWORD (32 bits)... Le paramètre nouvellement créé apparaîtra sur le côté droit de la fenêtre, nommez-le AUOptions... De la même manière, en survolant la section AU, créez trois autres paramètres et nommez le premier Pas de mise à jour automatique, seconde Jour d'installation programmé et le troisième Heure d'installation programmée(optionnel NoAutoRebootWithLoggedOnUsers). Maintenant, ces quatre nouveaux paramètres doivent changer la valeur.

Pour le paramètre AUOptions

2 - Soyez averti avant d'installer et de télécharger des mises à jour.
3 - Recevez automatiquement les mises à jour et les notifications concernant leur préparation à l'installation.
4 - Recevez et installez automatiquement les mises à jour selon un calendrier spécifié.
5 - Autoriser les administrateurs locaux à choisir le mode de mise à jour et les notifications.

Pour le paramètre NoAutoUpdate

0 - Activé installation automatique mises à jour qui seront téléchargées et installées en fonction des paramètres définis dans le paramètre AUOptions.
1 - L'installation automatique des mises à jour est désactivée.

Pour le paramètre ScheduledInstallDay

0 - les mises à jour seront installées quotidiennement avec une valeur de 4 pour le paramètre AUOptions.
1 - les mises à jour seront installées tous les lundis avec une valeur de 4 pour le paramètre AUOptions.
2 - les mises à jour seront installées tous les mardis avec une valeur de 4 pour le paramètre AUOptions.
3 - les mises à jour seront installées tous les mercredis avec une valeur de 4 pour le paramètre AUOptions.
4 - les mises à jour seront installées tous les jeudis avec une valeur de 4 pour le paramètre AUOptions.
5 - les mises à jour seront installées tous les vendredis avec une valeur de 4 pour le paramètre AUOptions.
6 - les mises à jour seront installées tous les samedis avec une valeur de 4 pour le paramètre AUOptions.
7 - les mises à jour seront installées tous les dimanches avec une valeur de 4 pour le paramètre AUOptions.

Pour le paramètre ScheduledInstallTime

De 0 à 23, les mises à jour seront installées à ce nombre d'heures, en fonction du paramètre défini et si la valeur est 4 du paramètre AUOptions.

Pour le paramètre NoAutoRebootWithLoggedOnUsers

0 - Une fois l'installation des mises à jour terminée, l'ordinateur redémarrera automatiquement, il fonctionne avec une valeur de 4 pour le paramètre AUOptions.
1 - Une fois l'installation des mises à jour terminée, l'ordinateur ne redémarrera pas automatiquement, il fonctionne avec la valeur 4 du paramètre AUOptions.

· Sans commentaires

Mise à jour des paramètres de stratégie Groupes Microsoft La stratégie de groupe Windows sur une machine locale n'est pas très difficile à faire avec un outil comme Gpupdate, mais la mise à jour de ces stratégies sur ordinateurs distants dans le domaine, il est impossible de faire soit à l'aide de la console Gestion Microsoft Management Console (MMC), ni aucun produit Microsoft actuellement disponible. Dans cet article, je vais vous guider à travers diverses astuces, scénarios et outils gratuits qui vous permettent de mettre à jour les paramètres de stratégie de groupe sur les ordinateurs distants du domaine.

introduction

La plupart des administrateurs sont conscients du problème de l'application de stratégies de groupe aux ordinateurs distants. Après avoir configuré une stratégie importante, nous souhaitons parfois que cette stratégie de groupe GP apparaisse immédiatement sur les ordinateurs clients. Mais le problème est que par défaut, le soi-disant traitement en arrière-plan ne se produit que dans l'intervalle de 90 à 120 minutes (au hasard) - si nous voulons accélérer le processus de mise à jour, alors nous sommes seuls. Bien sûr, il y a une raison pour laquelle les stratégies ne sont tout simplement pas mises à jour toutes les cinq minutes ou même en temps réel. La charge sur les contrôleurs de domaine et le réseau dans la plupart des environnements sera trop lourde à gérer. Mais si le besoin s'en fait sentir d'une application rapide, très paramètre important pour la sécurité pour un grand nombre clients, ce serait bien de se préparer à une telle situation.

Ce dont nous avons vraiment besoin, c'est de fournir à l'administrateur la possibilité de mettre à jour les politiques sur Ordinateur1, Ordinateur2 et/ou Ordinateur3 - ainsi que les politiques pour les utilisateurs A, B et C à partir d'un point centralisé - le poste de travail de l'administrateur, au cas où l'administrateur juge c'est nécessaire. ... Jetez un œil à la figure 1.

Figure 1 : Scénario

Nous avons un excellent outil appelé Gpupdate qui est intégré à Microsoft Windows XP et aux systèmes d'exploitation plus récents - et nous avons également un outil appelé Secedit pour le système d'exploitation. Systèmes Windows 2000 - mais malheureusement, la commande Gpresult pour les outils Gpupdate et Secedit ne peut être traitée que sur des machines locales. Bien sûr, nous avons déjà un système d'installation configuré, comme Microsoft Systems Management Server (SMS), nous pouvons utiliser ce système pour envoyer de petits scripts qui exécuteront la commande requise pour un groupe d'utilisateurs ou d'ordinateurs.

Si votre réseau ne dispose pas d'un tel système, vous devriez essayer des approches plus créatives. l'alternative est d'aller à tous ordinateurs requisà l'aide d'un outil comme l'assistance à distance, ou envoyer à tous les utilisateurs e-mail avec une demande d'exécution de la commande Gpupdate ... Recherchez donc des approches plus créatives.

Problèmes

Avant de plonger dans les détails, je tiens à mentionner problèmes communs que les gens rencontrent lorsqu'ils essaient d'utiliser les méthodes mentionnées dans cet article.

Problèmes de pare-feu :

Comme pour les autres connexions initiées sur le réseau, les paquets qui tentent de mettre à jour les paramètres de stratégie sur les ordinateurs distants ne pourront pas traverser le pare-feu local sur les ordinateurs distants (comme le pare-feu intégré au système d'exploitation Windows, à partir du service Windows XP Pack 2 ou version ultérieure) si le pare-feu n'est pas configuré pour autoriser un tel trafic entrant (à partir du sous-réseau sélectionné, IP ou similaire). Le pare-feu intégré du système d'exploitation Windows doit être configuré pour autoriser le trafic entrant que nous générons à l'aide d'un objet de stratégie de groupe. Aussi ironique que cela puisse paraître, cette stratégie est la seule que nous ne pouvons pas utiliser pour les ordinateurs distants avec le pare-feu activé.

Les paramètres de stratégie qui doivent être définis pour toutes les méthodes mentionnées dans cet article sont les suivants :

Les autres appareils qui agissent comme pare-feu entre l'ordinateur central et les ordinateurs distants doivent également respecter les paramètres ci-dessus (voir le test d'aide pour la politique mentionnée dans GPEDIT.MSC).

Droits d'administrateur :

L'utilisateur qui lance le processus sur l'ordinateur distant doit disposer des droits d'administrateur local - sinon, tout ne fonctionnera pas comme prévu.

Après avoir pris soin de tout cela, passons en revue les méthodes elles-mêmes.

Script

Les scripts sont gratuits et largement diffusés auprès des spécialistes du logiciel. informatique sur Internet est vraiment « Open Source ». Microsoft nous a fourni plusieurs fonctionnalités intégrées pour nous permettre système opérateur et environnements - dans cet article, nous allons vous montrer comment vous pouvez utiliser ces fonctionnalités pour mettre à jour à distance les stratégies GP.

Gpupdate & Secedit

Il faut d'abord mentionner les outils Gpupdate et Secedit, sans ces outils, rien de ce qui suit ne serait possible. Les scripts et outils mentionnés ici supposent tous que l'un de ces outils est installé sur le client distant, selon la version du système d'exploitation. Comme mentionné ci-dessus, l'outil Secedit est inclus avec le système d'exploitation Windows 2000, et l'outil Gpupdate a été extrait du système d'exploitation Windows XP et au-dessus, il est même présent dans le système d'exploitation Longhorn tel qu'il est actuellement. Dans les scripts suivants, je me concentrerai sur Gpupdate - nous pouvons vérifier la version du système d'exploitation avant d'exécuter Gpupdate ou Secedit, mais cette vérification peut être ajoutée ultérieurement sans trop de difficulté.

Le fichier Gpupdate.exe se trouve par défaut dans le dossier "% windir% \ system32", nous n'avons donc pas besoin de connaître le chemin absolu de son emplacement sur la machine distante. L'outil peut être appelé avec un jeu de touches différentes :

Syntaxe : Gpupdate

Dans nos scripts de bricolage pour les applications HTML (HTA) et Windows Management Instrumentations (WMI), nous nous concentrerons sur l'exécution de Gpupdate sans clés - soit avec "/ Taget: Computer" (pour mettre à jour les politiques spécifiques à l'ordinateur) ou "/ Cible : Utilisateur » (pour mettre à jour les politiques spécifiques à l'utilisateur). D'autres options peuvent être activées avec un peu de travail - mais avons-nous vraiment besoin de "/ Logoff" ou "/ Boot" ? Cela signifie que les utilisateurs peuvent se déconnecter si nécessaire (réglage Logiciel, changement de dossier, etc.) ou vous pouvez même exiger un redémarrage de l'ordinateur pendant que l'utilisateur travaille. Est-ce vraiment ce dont nous avons besoin ? Quoi qu'il en soit, nous pouvons également utiliser un outil comme Shutdown.exe à cette fin - mon opinion ne sera donc pas trop populaire.

PsExec

La première méthode dont je veux parler est très facile à utiliser et nécessite peu ou pas de compétences en programmation. Pourquoi proposer quelque chose qui a déjà été inventé, non ? Un outil appelé PsExec a été développé par Mark Russinovich, l'ancien propriétaire de Sysinternals, qui a été racheté par Microsoft en juillet 2006. La version 1.73 est maintenant disponible et peut être téléchargée à partir du site Web Microsoft Technet.

L'outil PsExec est génial quand ça arriveÀ propos exécution à distance, principalement en raison du fait qu'il ne nécessite pas l'installation d'agents sur l'ordinateur distant. Il vous suffit de spécifier le nom de l'ordinateur et la commande que vous devez exécuter avec les commutateurs de la ligne de commande - et c'est tout !

Une petite astuce consiste à mettre le fichier PsExec.exe dans le répertoire "% windir%" car dans ce cas, nous n'avons pas besoin de spécifier le chemin complet de ce fichier lors de son exécution à partir de la ligne de commande.

Afin de mettre à jour les stratégies de groupe sur une machine distante, il suffit de définir « Computername » (nom de l'ordinateur) dans la commande suivante : « PsExec \\ Computername Gpupdate ». L'utilisateur qui travaille sur la machine distante ne saura même pas ce qui s'est passé, mais en arrière-plan, la commande Gpupdate mettra à jour les politiques de l'utilisateur et de l'ordinateur et appliquera tous les paramètres perdus. Vous pourriez penser que la commande PsExec doit être exécutée avec le commutateur -i pour mettre à jour les stratégies spécifiques à l'utilisateur pour les utilisateurs distants, mais les tests montrent que ce n'est pas nécessaire.

Script de COMMANDE FLEX

Ainsi, la méthode mentionnée ci-dessus vous permet de mettre à jour les stratégies pour un seul utilisateur ou ordinateur, mais qu'en est-il de la mise à jour d'une unité organisationnelle (OU) entière en utilisant PsExec et Gpupdate ensemble ? À cette fin, j'ai créé un script de démonstration pour montrer certaines des possibilités dont nous pouvons tirer parti grâce au script. Le script s'appelle FLEX COMMAND et peut être téléchargé à partir d'ici. Vous pouvez facilement ouvrir un fichier avec l'extension HTA avec éditeur de texte tapez Bloc-notes et voyez le code, pas de magie cachée.

Lorsque FLEX COMMAND démarre, il se connecte au domaine AD Active Directory de l'ordinateur sur lequel il s'exécute. Par conséquent, il doit être exécuté sur un ordinateur membre du domaine, sinon l'unité d'organisation ne sera pas trouvée.

Sélectionnez OU, l'outil doit être traité sur des machines « vivantes » (répondant aux requêtes WMI). La dernière chose à faire est d'insérer la ligne de commande que nous voulons exécuter sur la machine locale pour chaque objet de l'unité d'organisation sélectionnée. La ligne de texte « (C) » doit être laissée telle quelle. il sera remplacé par le nom de l'ordinateur lors de l'exécution du script.

Figure 2 : FLEX COMMAND en action

Supposons que l'unité d'organisation nommée « MyComputers » ne contienne que 3 ordinateurs : Computer1, Computer2 et Computer3. La commande que nous avons tapée « psexec \\ (C) gpupdate » est ensuite traduite en 3 commandes suivantes : « psexec \\ computer1 gpupdate », « psexec \\ computer2 gpupdate », « psexec \\ computer3 gpupdate » - toutes les commandes seront séquentielles exécutées (si les ordinateurs sont « vivants ») et les stratégies supprimées seront mises à jour.

L'outil peut être modifié pour que la liste des ordinateurs provienne d'un fichier (txt, csv, xls, etc.), d'une base de données, d'un groupe de sécurité spécial dans AD, en utilisant une sélection manuelle dans la liste. La façon dont le script est exécuté peut également être modifiée, il s'agit simplement d'un script de démonstration, dont le but principal est de montrer les capacités dont nous disposons.

Le script est distribué gratuitement, et vous pouvez le tester, l'utiliser et le modifier à votre discrétion - détails.

Instrumentation de gestion Windows (WMI)

D'accord, l'outil PsExec est vraiment génial, mais existe-t-il des méthodes manuelles que je peux utiliser pour mieux personnaliser la solution pour mon environnement ? Oui, en fait il y a ! WMI est très puissant et facile à utiliser après quelques heures d'étude. Si vous possédez WMI et que vous êtes d'accord avec les autorisations de pare-feu et les droits d'administrateur, vous pouvez presque tout faire dans Environnement Windows environnement - même l'arrêt à distance de l'ordinateur, le redémarrage et l'exécution de commandes à distance.

J'ai créé un autre script à des fins de démonstration appelé OU GPUPDATE. Ce script HTA utilise plusieurs différentes techniques Est en fait une petite modification du script FLEX COMMAND. Tout d'abord, il analyse la structure de l'OU dans AD (liste déroulante du haut), donne aux utilisateurs la possibilité de sélectionner des ordinateurs dans l'OU, d'exécuter Gpupdate avec / Target : User ou / Target : Computer ou aucun paramètre. Seuls les ordinateurs actifs (qui répondent aux requêtes WMI) seront affectés par défaut.

Figure 3 : Sélectionnez ce qui doit être mis à jour : paramètres utilisateur, paramètres de l'ordinateur ou les deux

Ce script est gratuit et vous pouvez le tester, l'utiliser et le modifier comme bon vous semble à partir d'ici.

Script à distance

En plus de WMI, nous avons la possibilité d'utiliser des scripts à distance conventionnels (VBScript). Cela peut être activé en définissant une seule valeur dans la partie HKLM du registre de l'ordinateur, et le moteur de script doit prendre en charge les scripts à distance, et à partir de ce moment, tout le reste devient assez évident. La procédure consiste à copier le fichier de script sur un ordinateur distant (ce script doit utiliser Gpupdate), puis à envoyer une commande VBScript qui exécute le script à distance.

RGPRAFRAÎCHISSEMENT

RGPREFRESH est un outil développé par Daren Mar-El. Son outil utilise WMI et exécute Secedit ou Gpupdate selon le système d'exploitation sur la machine distante, avec des clés sélectionnées par l'utilisateur. Ces touches vous offrent les mêmes capacités que lorsque vous utilisez cet outil localement.

Cet outil traite une machine à la fois, mais avec un outil appelé FLEX COMMAND (en tant que shell), cet outil peut être utilisé pour une unité d'organisation entière en quelques clics de souris... RGPREFRESH et PsExec peuvent également être utilisés dans en conjonction avec les utilitaires DSQUERY, FOR et d'autres utilitaires de ligne de commande sur plusieurs ordinateurs à la fois.

Figure 4 : Paramètres de RGPREFRESH

Cet outil peut être téléchargé gratuitement à partir de cette page.

Specops Gpupdate

Logiciel d'opérations spéciales, Specops, une société internationale de logiciels, propose des produits logiciels Gestion active Répertoire basé sur la technologie de stratégie de groupe. La société a publié sa propre solution pour les mises à jour des politiques à distance, et la meilleure partie est qu'elle est entièrement gratuite. La version actuelle de Specops Gpupdate est la 1.0.2.13 (2006-10-25) et l'utilitaire lui-même peut être téléchargé à partir d'ici. Cet outil possède non seulement les fonctionnalités que nous avons développées dans les scénarios mentionnés ci-dessus, mais il ajoute également plusieurs capacités de contrôle. Jetons un coup d'œil à ce grand utilitaire ...

Installation de Specops Gpupdate

L'installation d'une application MSI est très simple : il suffit d'utilisateurs et d'ordinateurs MMC Active Directory & Computers (ADUC), ainsi que de Microsoft .NET Framework version 2.0.

Figure 5 : Le processus d'installation est aussi simple que l'installation Forfaits MSI(cliquez sur suivant, suivant, suivant)

Après l'installation fichier MSI v interface graphique rien ne change l'interface graphique, et ce n'est qu'avec l'aide de « Ajouter/Supprimer des programmes » que vous pouvez découvrir que Specops est installé sur notre machine. Par conséquent, nous devons faire un travail supplémentaire pour la transformation magique ...

Extension pour les utilisateurs et ordinateurs Active Directory

Après avoir installé Specops Gpupdate dans la forêt AD, vous devez exécuter une commande spéciale

"% CommonProgramFiles% \ Specopssoft \ Specops ADUC Extension \ SpecopsAducMenuExtensionInstaller.exe" / ajouter

Il ne s'agit pas d'une mise à jour de schéma, bien que vous deviez disposer des droits d'administrateur d'entreprise pour exécuter cette commande. Cette commande est complètement réversible, il suffit de la relancer avec le commutateur "/ remove". Tout ce qu'il fait est d'enregistrer des "spécificateurs d'affichage" pour améliorer la vue avec ADUC.

Cliquez ensuite avec le bouton droit sur l'objet OU ou Ordinateur et vous verrez apparaître quatre nouvelles commandes : Gpupdate, Redémarrer, Arrêter et Démarrer. Il est possible de faire une sélection de plusieurs ordinateurs et UO en maintenant la touche enfoncée et en appuyant sur le bouton droit de la souris sur les objets nécessaires.

Figure 6 : ADUC MMC agrandi

Si, comme moi, vous vous demandez si les modifications peuvent également être appliquées aux contrôleurs de domaine non DC, la réponse est oui ! Après Installations Windows Pack d'administration Server 2003 Service Pack 1 Pack d'outils d'administration activé Client Windows XP Professional, .NET Framework 2.0 et Specops Gpupdate, la console de gestion a la même apparence que sur un contrôleur de domaine et possède les mêmes capacités.

Options de mise à jour Gp

Le premier paramètre dont nous disposons nous permet d'exécuter la commande Gpupdate à distance sur des ordinateurs sélectionnés. Après avoir sélectionné Gpupdate, nous devons confirmer la sélection, comme le montre la figure 7, et cocher l'option use force si nous voulons utiliser le paramètre de gain.

Figure 7

Après avoir cliqué sur le bouton OK, un graphique dynamique apparaîtra, voir Figure 8, ainsi qu'un rapport sur l'état de la progression de la mise à jour.

Figure 8

Options de redémarrage et d'arrêt

Les deux paramètres suivants, « Restart » et « Shutdown », sont très importants à contrôler, nous en avons donc besoin directement dans ADUC. Nous pouvons exécuter la commande de redémarrage ou d'arrêt, et également définir l'intervalle de temps en secondes qui est donné à l'utilisateur pour tout arrêter. applications en cours d'exécution... Écrire un script qui fait tout de même n'est pas très difficile en utilisant WMI ou en utilisant la commande Shutdown.exe avec les bonnes clés, mais grâce à Specops Gpupdate, nous obtenons cette fonctionnalité totalement gratuitement, sans temps ni effort.

Figure 9 : Boîte de dialogue du message de redémarrage

Paramètre de démarrage Le dernier des quatre paramètres est appelé « Démarrer » et est en fait la fonctionnalité Wake on LAN ou WOL intégrée à l'ADUC. Après avoir sélectionné et confirmé ce paramètre, voir Figure 10, le soi-disant paquet magique sera envoyé à Adresses MAC ordinateurs clients, et leur téléchargement commencera. Pour que WOL fonctionne, la fonctionnalité correspondante doit être prise en charge BIOS des ordinateurs... Specops Gpupdate interagit avec les serveurs DHCP Microsoft dans l'entreprise pour trouver les informations nécessaires pour démarrer ce processus, il est donc possible de réveiller les clients DHCP et uniquement sur un réseau avec serveurs installés Microsoft DHCP.

Figure 10 : Confirmez le démarrage du WOL à distance

Soit dit en passant, les scripts peuvent également être utilisés pour WOL, des exemples de ce code dépassent le cadre de cet article.

Conclusion

Nous avons examiné plusieurs manières d'appliquer des stratégies de groupe à des ordinateurs distants. La méthode qui vous convient le mieux dépend de votre environnement. Personnellement, j'adore écrire des scripts, mais pourquoi travailler dur sur ce que d'autres ont déjà créé ? J'ai deux réponses à cette question. Premièrement, en écrivant de tels scripts, nous apprenons, et le second - conditions spéciales ou sur mesure. Les scripts améliorent nos compétences en tant que professionnels de l'informatique et permettent également la personnalisation des solutions toutes faites pour mieux répondre à des conditions particulières.

Specops a développé une très bonne utilitaire gratuit, qui remplit les principales fonctions de mise à jour des politiques sur clients du réseau... Je vous recommande de l'essayer !

Source www.windowsecurity.com