Hogyan lehet felgyorsítani a csoportházirend-frissítési folyamatot. GPUPDATE – Csoportházirend-frissítések végrehajtása a felhasználók és a számítógép számára Helyi biztonsági házirend frissítése

A GPUPDATE parancsot használják a frissítéshez csoportszabályzat a felhasználó és/vagy a számítógép számára.

GPU frissítés

Parancssori paraméterek:

/ Cél: (Számítógép | Felhasználó)- Frissítse a házirend-beállításokat a Csak felhasználó vagy a Csak számítógép számára. Ha nincs megadva, mindkét irányelv beállításai frissülnek.

/ Kényszerítés- Az összes házirend-beállítás alkalmazása. Ha nincs megadva, csak a módosított házirend-beállítások lesznek alkalmazva.

/ Várj: érték- Várakozási idő (másodpercben) a házirend-feldolgozás befejezésére. Az alapértelmezett a 600 másodperc várakozás. A "0" érték azt jelenti, hogy nincs várakozás. A "-1" érték azt jelenti, hogy a várakozás korlátlan. Az időkorlát túllépése esetén a Parancssor ablak újra aktiválódik, de a házirend-feldolgozás folytatódik.

/ Kijelentkezés- Kilépés a csoportházirend-beállítások frissítése után. Azokhoz a csoportházirend-ügyfélbővítményekhez szükséges, amelyek nem dolgozzák fel a házirendet háttér, de csak akkor dolgozza fel, amikor a felhasználó bejelentkezik, például programokat telepít a felhasználó számára vagy mappákat irányít át. Ennek a paraméternek nincs hatása, kivéve, ha olyan bővítményeket hívnak meg, amelyekhez a felhasználónak ki kell jelentkeznie.

/ Boot- A csoportházirend-beállítások alkalmazása után indítsa újra. Azoknál a csoportházirend-ügyfél-bővítményeknél szükséges, amelyek nem dolgozzák fel a házirendet a háttérben, hanem csak az indításkor dolgozzák fel, például szoftver telepítése esetén. Ennek a paraméternek nincs hatása, kivéve, ha olyan bővítményeket hívnak meg, amelyek a rendszer újraindítását igénylik.

/ Szinkron- A következő aktív irányelvérvényesítésnek szinkronban kell lennie. A házirend aktív betartatása a számítógép újraindításakor történik, vagy amikor a felhasználó bejelentkezik a rendszerbe. Ezt a paramétert felhasználón, számítógépen vagy mindkettőn használhatja a / Target paraméter megadásával. A / Force és / Wait opciók azonban kimaradnak, ha meg van adva.

Példák a felhasználásra:

gpupdate /?- Tipp megjelenítése a parancs használatára vonatkozóan.

gpupdate- a számítógépes és felhasználói szabályzatok frissítése folyamatban van. Csak a módosított irányelvek érvényesek.

gpupdate / Cél: számítógép- a házirendek frissítése csak a számítógépen történik.

gpupdate / Force- minden szabályzat frissítés alatt áll.

gpupdate / Boot- csoportházirendek frissítése számítógép újraindításával.

Összegzés: Microsoft Scripting Guy, Ed Wilson megmutatja, hogyan indíthat el csoportházirend-frissítést a PowerShell használatával.

Csoportházirend frissítése a tartományon

Néha módosítom a csoportházirendet a hálózaton, és a módosításokat minden számítógépen alkalmazni kell. És néha frissítenem kell a helyi csoportházirendet a számítógépemen.

A csoportházirend-beállítások frissítéséhez a segédprogramot használom GPU frissítés... Van néhány paramétere. Alapértelmezés szerint a segédprogram frissíti a számítógép és a felhasználó házirendjét is. De ez a paraméterrel szabályozható / cél... Például, ha unom, hogy csak a számítógépes szabályzatot frissítsem, akkor megadom / célpont: számítógép... Csak felhasználói szabályzat frissítése - / cél: felhasználó.

PS C: \> gpupdate / cél: számítógép

Szabályzat frissítése...

Alapértelmezett GPU frissítés csak a frissített csoportházirend-beállításokat alkalmazza. Az összes beállítás alkalmazásához használja a paramétert / Kényszerítés... Az alábbi parancs frissíti az összes csoportházirend-beállítást (függetlenül attól, hogy módosultak-e) a számítógép és a felhasználó számára.

PS C: \> gpupdate / force

Szabályzat frissítése...

A Computer Policy frissítése sikeresen befejeződött.

A felhasználói szabályzat frissítése sikeresen befejeződött.

Először is megkapjuk a tartomány számítógépeinek listáját

Az első dolgom, hogy megszerezzem a tartomány összes számítógépének listáját. Ehhez a cmdlet-et használom Get-ADComputer szerepel a modulban Active Directory.

Megjegyzés: Az Active Directory modul az RSAT része.

A kapott számítógépes objektumokat a $ cn változóban tárolom.

$ cn = Get-ADComputer -filt *

Másodszor, távoli munkameneteket hozunk létre

A következő dolgom, hogy létrehozzam távoli munkamenetek minden számítógéppel. Ehhez meg kell adnom a hitelesítési adatokat a számítógépekhez való csatlakozáshoz, valamint létre kell hoznom magukat a munkameneteket a parancsmag segítségével. Új-PSSession.

Először a cmdlet-et használom Hitelesítési adatok beszerzéseés tárolja a visszaadott objektumot a $ cred változóban.

$ cred = Hitelesítési adatok beszerzése iammred \ rendszergazda

$ session = Új-PSSession -cn $ cn.name -cred $ cred

Kérjük, vegye figyelembe, hogy a tartományban leállított számítógépek lehetnek, így a parancs hibákat adhat vissza. A hibák ellenére azonban Windows PowerShell munkameneteket hoz létre a munkagépekkel.

A nagyszámú hiba jelenléte némi aggodalomra adhat okot. Mivel a munkamenet objektumok a $ sessions változóban vannak tárolva, könnyen ellenőrizhetem, hogy létrejöttek-e.

Most futtassuk a parancsot az összes távoli gépen

A parancs futtatásához GPU frissítés minden távoli gépen a parancsmagot használom Invoke-Command... A $ sessions változóban elmentett munkameneteket használja. Alias a cmdlet számára Invoke-Command – icm.

icm -Session $ session -ScriptBlock (gpupdate / erő)

A parancs futtatása után az eredmények megjelennek windows konzolok PowerShell.

Csoportházirend-frissítések ellenőrzése

Amikor bekapcsolva munkaállomás a csoportházirend-beállítások frissítése sikeresen megtörtént, az 1502-es eseményazonosító beírásra került a rendszernaplóba. Használhatom a parancsmagot Invoke-Command ehhez az információhoz.

icm -Session $ session -ScriptBlock (Get-EventLog -LogName rendszer -InstanceId 1502 -Legújabb 1)

A parancsot és annak eredményeit az alábbi ábra mutatja.

Egy másik jó dolog a csoportházirendről

Néha fel kell hívnom a műszaki támogatást, és kérik, hogy frissítsem a csoportházirendet a helyi számítógépemen. Ez nem probléma, mivel tudok futni GPU frissítés egyenesen a PowerShellből. A nehézség akkor adódik, amikor megkérnek, hogy 5 alkalommal frissítsem a csoportházirendet 5 perces időközönként. De ez egy sor kóddal megoldható.

1..5 | % ("GP $ frissítése (Get-Date)"; gpupdate / force; alvás 300)

Ed Wilson, Microsoft Scripting Guy

Eredeti:

Ebben a cikkben egy egyszerű módszert mutatunk be, amellyel távolról frissítheti a csoportházirendeket az Active Directory-tartományban lévő ügyfeleken (számítógépeken és kiszolgálókon), anélkül, hogy hozzá kellene férnie a távoli gép konzoljához, és a gpupdate parancs használata nélkül.

Az AD-csoportházirend-kezelés egyik legnehezebb kihívása a házirendek menet közbeni tesztelése a számítógép újraindítása vagy a helyi számítógép elérése és parancsok futtatása nélkül.

A távoli csoportházirend-frissítés lehetőséget biztosít egyetlen csoportházirend-objektum-kezelési konzol (GPMC.msc) használatára a csoportházirend létrehozásához, módosításához, alkalmazásához és teszteléséhez.

A csoportházirendek távoli frissítésének funkciója először a Microsoftnál jelent meg Windows Server 2012, minden további verzióban (Windows Server 2016, Microsoft Windows 10), ez a funkcionalitás és stabilitása fokozatosan javult.

A távoli csoportházirend-frissítés működésének követelményei:

Szerverkörnyezeti követelmények:

Windows Server 2012 és újabb
Vagy Windows 10-zel telepített szerszámok menedzsment RSAT (kezelési eszközök)

Követelmények az ügyfelekkel szemben:

Windows 7 és újabb

A szerver és a kliensek közötti hálózati kommunikáció (tűzfalak) követelményei

A 135-ös TCP-portnak nyitva kell lennie
A szolgáltatás benne van Windows-kezelés Műszerek (szerviz Windows kezelés)
Feladatütemező szolgáltatás (Feladatütemező szolgáltatás)

Ha a környezet megfelel ezeknek a követelményeknek, nyissa meg a Csoportházirend-kezelési konzolt (GPMC.msc), és válassza ki azt az OU-t (tárolót), amely tartalmazza azokat a célszámítógépeket, amelyeken a csoportházirend-objektum frissítését kényszeríteni kívánja.

Kattintson jobb gombbal a kívánt tartálytés válassza ki az elemet Csoportházirend frissítés.

A megnyíló ablakban információ jelenik meg az adott szervezeti egységben található objektumok számáról, amelyeken a csoportházirend-objektum frissül. A művelet megerősítéséhez kattintson az "Igen" gombra.

A Távoli csoportházirend-frissítés eredményei ablakban láthatja a házirend-frissítés állapotát, valamint a művelet állapotát (siker / hiba, hibakód). Természetesen, ha egy számítógépet kikapcsolnak, vagy a hozzáférést tűzfal korlátozza, akkor egy megfelelő hibaüzenet jelenik meg.

A Windows 10 frissítési házirendjének konfigurálása azt jelenti, hogy a Windows 10 hogyan fogadja a frissítéseket. A Windows 10 rendszerben a frissítési beállítások a Vezérlőpultról a Rendszerbeállítások közé kerültek. A Windows 10 nem rendelkezik ugyanazokkal a beállításokkal, mint a Vezérlőpulton, ezért lehetetlenné vált a frissítések letiltása vagy a fogadás módjának kiválasztása. Használhatja azonban a Rendszerleíróadatbázis-szerkesztőt és a Helyi Csoportházirend-szerkesztőt a frissítések letiltásához és a fogadás módjának beállításához.

Frissítések konfigurálása a helyi csoportházirend-szerkesztővel

Indítsa el a Helyi csoportházirend-szerkesztőt a billentyűzet két billentyűjének egyszerre történő megnyomásával WIN + R gpedit.mscés kattintson az OK gombra.

Windows 10 frissítési csoportházirend

Számítógép konfiguráció - Felügyeleti sablonok - Windows összetevők- Windows Update... Kattintson az utolsó elemre a Windows Update, majd a jobb oldalon keresse meg az elemet Testreszabás automatikus frissítés és módosítsa a beállításait.

A Windows 10 frissítések csoportházirendjének konfigurálása

Ehhez a megnyíló ablakban az Engedélyezve elemnél felül kell egy pontot tenni, majd lent be kell állítani a frissítési beállításokat. Kattintson az OK gombra. Ezután a beállított beállítások működéséhez nyissa meg Rendszerbeállítások - Frissítés és biztonság - Windows Updateés nyomja meg a gombot Frissítések keresése.

Amikor befejezte a beállítást Windows házirendek 10, futtassa a frissítést

Ezt követően a Helyi csoportházirend-szerkesztőben végzett beállítások lépnek életbe.

Frissítések konfigurálása a Rendszerleíróadatbázis-szerkesztővel

Indítsa el a Rendszerleíróadatbázis-szerkesztőt a billentyűzet két billentyűjének egyszerre történő megnyomásával WIN + R... Megnyílik a Futtatás ablak, amelyben be kell írni a parancsot regedités kattintson az OK gombra.

Nyissa meg a Rendszerleíróadatbázis-szerkesztőt, és hozzon létre négy paramétert a vezérléshez Windows frissítések 10

A megnyíló szerkesztőablak bal oldalán nyissa meg HKEY_LOCAL_MACHINE - SZOFTVER - Irányelvek - Microsoft - Windows... Vigye az egérmutatót az utolsó Windows-elemre, és kattintson a jobb gombbal. A megnyíló helyi menüben válassza a lehetőséget Létrehozás – szakasz. Új szakasz név Windows Update.
Ezután vigye az egérmutatót az újonnan létrehozott WindowsUpdate szakasz fölé, és hozzon létre ismét egy szakaszt AU.
Ezután vigye az egérmutatót az újonnan létrehozott AU szakasz fölé, kattintson a jobb gombbal, és válassza ki Új – Duplaszó-paraméter (32 bites)... Az újonnan létrehozott paraméter az ablak jobb oldalán fog megjelenni, nevezze el AUOopciók... Ugyanígy, az AU szakasz fölé mozgatva hozzon létre további három paramétert, és nevezze meg az elsőt Nincs automatikus frissítés, második ScheduledInstallDayés a harmadik ScheduledInstallTime(választható NoAutoRebootWithLoggedOnUsers). Most ennek a négy új paraméternek módosítania kell az értéket.

Az AUOptions paraméterhez

2 – Kérjen értesítést a frissítések telepítése és letöltése előtt.
3 - Automatikus frissítések és értesítések fogadása a telepítésre való felkészülésükről.
4 - A frissítések automatikus fogadása és telepítése meghatározott ütemezés szerint.
5 - Engedélyezze a helyi rendszergazdáknak a frissítési mód és az értesítések kiválasztását.

A NoAutoUpdate paraméterhez

0 – Engedélyezve automatikus telepítés frissítések, amelyek az AUOptions paraméterben megadott beállításoktól függően lesznek letöltve és telepítve.
1 – A frissítések automatikus telepítése le van tiltva.

A ScheduledInstallDay paraméterhez

0 - A frissítések naponta 4-es AUOptions paraméterrel kerülnek telepítésre.
1 – A frissítések minden hétfőn telepítésre kerülnek, az AUOptions paraméter 4-es értékével.
2 – A frissítések minden kedden telepítésre kerülnek, az AUOptions paraméter 4-es értékével.
3 – A frissítések minden szerdán telepítésre kerülnek, az AUOptions paraméter 4-es értékével.
4 - A frissítések minden csütörtökön telepítésre kerülnek, az AUOptions paraméter 4-es értékével.
5 – A frissítések minden pénteken telepítésre kerülnek, az AUOptions paraméter 4-es értékével.
6 - A frissítések minden szombaton telepítésre kerülnek, az AUOptions paraméter 4-es értékével.
7 - A frissítések minden vasárnap telepítésre kerülnek, az AUOptions paraméter 4-es értékével.

A ScheduledInstallTime paraméterhez

0 és 23 között a frissítések a beállított paramétertől és az AUOptions paraméter 4-es értékétől függően ennyi óránként települnek.

A NoAutoRebootWithLoggedOnUsers paraméterhez

0 - A frissítések telepítése után a számítógép automatikusan újraindul, az AUOptions paraméter 4-es értékével működik.
1 - A frissítések telepítése után a számítógép nem indul automatikusan újra, az AUOptions paraméter 4-es értékével működik.

· Nincs hozzászólás

A házirend-beállítások frissítése Microsoft csoportok A Windows csoportházirend helyi gépeken nem túl nehéz megvalósítani egy olyan eszközzel, mint a Gpupdate, de ezeket a házirendeket frissíteni kell távoli számítógépek a tartományban nem végezhető el a konzol használatával Microsoft menedzsment Management Console (MMC) vagy bármely jelenleg elérhető Microsoft-termék. Ebben a cikkben különféle trükkökön, forgatókönyveken és ingyenes eszközök amelyek lehetővé teszik a csoportházirend-beállítások frissítését a tartomány távoli számítógépein.

Bevezetés

A legtöbb rendszergazda tisztában van a csoportházirendek távoli számítógépekre történő alkalmazásának problémájával. Néhány fontos házirend konfigurálása után néha azt szeretnénk, ha ez a GP csoportházirend azonnal megjelenne az ügyfélszámítógépeken. De a probléma az, hogy alapértelmezés szerint az úgynevezett háttérfeldolgozás csak 90-120 perces intervallumban (véletlenszerűen) történik - ha fel akarjuk gyorsítani a frissítési folyamatot, akkor itt vagyunk egyedül. Természetesen megvan az oka annak, hogy a házirendek egyszerűen nem frissülnek ötpercenként vagy akár valós időben. A tartományvezérlők és a hálózat terhelése a legtöbb környezetben túl nehéz lesz kezelni. De ha gyors alkalmazásra van szükség, nagyon fontos beállítás a biztonság kedvéért egy nagy számügyfelek, jó lenne felkészülni egy ilyen helyzetre.

Valójában arra van szükségünk, hogy az adminisztrátor frissíthesse házirendjeit a Számítógép1, Számítógép2 és/vagy Számítógép3 számítógépeken - valamint az A, B és C felhasználók házirendjeit egy központi pontról - a rendszergazda munkaállomásáról, ha a rendszergazda ezt szükségesnek tartja. ... Vessen egy pillantást az 1. ábrára.

1. ábra: Forgatókönyv

Van egy nagyszerű eszközünk, a Gpupdate, amely a Microsoft Windows XP-be és újabb operációs rendszerekbe van beépítve – és van egy Secedit nevű eszközünk is az operációs rendszerhez. Windows rendszerek 2000 - de sajnos a Gpresult parancs a Gpupdate és Secedit eszközökhöz csak helyi gépeken dolgozható fel. Természetesen már van egy konfigurált telepítőrendszerünk, mint például a Microsoft Systems Management Server (SMS), ezzel a rendszerrel tudunk kis szkripteket küldeni, amelyek lefuttatják a szükséges parancsot egy felhasználói csoport vagy számítógép számára.

Ha az Ön hálózata nem rendelkezik ilyen rendszerrel, próbálkozzon kreatívabb megközelítésekkel. az alternatíva az, hogy mindenkihez menjen szükséges számítógépek egy olyan eszközzel, mint a Távsegítség, vagy küldje el az összes felhasználónak email a Gpupdate parancs futtatására vonatkozó kéréssel... Tehát keressen kreatívabb megközelítéseket.

Problémák

Mielőtt belemerülnék a részletekbe, szeretném megemlíteni gyakori problémák amelyekkel az emberek találkoznak, amikor megpróbálják használni a cikkben említett módszereket.

Tűzfal problémák:

Más hálózaton kezdeményezett kapcsolatokhoz hasonlóan a távoli számítógépeken lévő házirend-beállításokat frissíteni próbáló csomagok nem képesek átjutni a távoli számítógépek helyi tűzfalán (például a Windows operációs rendszerbe beépített tűzfalon, kezdve a Windows XP szolgáltatással). 2. vagy újabb csomag), ha a tűzfal nincs konfigurálva az ilyen bejövő forgalom engedélyezésére (a kiválasztott alhálózatról, IP-címről vagy hasonlóról). A Windows beépített tűzfalát úgy kell konfigurálni, hogy engedélyezze a csoportházirend-objektum segítségével általunk generált bejövő forgalmat, így bármilyen ironikusnak is hangzik, ez az egyetlen házirend, amelyet nem használhatunk a tűzfallal rendelkező távoli számítógépeken.

Az alábbi házirend-beállításokat kell beállítani a jelen cikkben említett összes módszerhez:

A központi számítógép és a távoli számítógépek között tűzfalként működő egyéb eszközöknek is tiszteletben kell tartaniuk a fenti beállításokat (lásd az említett házirend súgótesztjét a GPEDIT.MSC-ben).

Rendszergazdai jogok:

A távoli számítógépen a folyamatot kezdeményező felhasználónak helyi rendszergazdai jogokkal kell rendelkeznie rajta – különben nem minden úgy fog működni, ahogyan azt elvárná.

Miután mindezt megoldotta, nézzük át magukat a módszereket.

Szkriptelés

A szkriptek ingyenesek és széles körben terjeszthetők a szoftverspecialisták között. információs technológia az interneten valóban „Open Source”. A Microsoft számos beépített képességet biztosított számunkra, hogy felhatalmazzon bennünket operációs rendszerés környezetek – Ebben a cikkben bemutatjuk, hogyan használhatja ezeket a képességeket a háziorvosi házirendek távoli frissítésére.

Gpupdate & secedit

Először is meg kell említenünk a Gpupdate és a Secedit eszközöket, ezek nélkül az alábbiak egyike sem lenne lehetséges. Az itt említett szkriptek és eszközök mindegyike feltételezi, hogy ezen eszközök valamelyike telepítve van a távoli kliensre, az operációs rendszer verziójától függően. Ahogy fentebb említettük, a Secedit eszközt a Windows 2000 operációs rendszer tartalmazza, a Gpupdate eszközt pedig a Windows XP operációs rendszertől vettük át, és még a Longhorn operációs rendszerben is jelen van, ahogy most van. A következő szkriptekben a Gpupdate-re fogok koncentrálni – a Gpupdate vagy a Secedit futtatása előtt ellenőrizhetjük az operációs rendszer verzióját, de ezt az ellenőrzést később is hozzáadhatjuk különösebb nehézség nélkül.

A Gpupdate.exe fájl alapértelmezés szerint a „% windir% \ system32” mappában található, így nem kell tudnunk a távoli gépen található helyének abszolút elérési útját. Az eszköz különböző billentyűkkel hívható meg:

Szintaxis: Gpupdate

A HTML Application (HTA) és a Windows Management Instrumentations (WMI) „csináld magad” szkriptjeinkben a Gpupdate kulcsok nélküli futtatására fogunk összpontosítani – akár a „/ Taget: Computer” (számítógép-specifikus házirendek frissítése) vagy a „/” használatával. Cél: Felhasználó ”(felhasználóspecifikus házirendek frissítése). Kis munkával más opciók is engedélyezhetők – de valóban szükségünk van a „/ Logoff” vagy a „/ Boot” feliratra? Ez azt jelenti, hogy a felhasználók szükség esetén kijelentkezhetnek (beállítás szoftver, mappák módosítása stb.), vagy akár a számítógép újraindítását is megkövetelheti, miközben a felhasználó dolgozik. Valóban erre van szükségünk? Amúgy egy olyan eszközt is használhatunk erre a célra, mint a Shutdown.exe - így véleményem nem lesz túl népszerű.

PsExec

Az első módszer, amelyről beszélni szeretnék, nagyon könnyen használható, és kevés vagy semmilyen programozási ismeretet nem igényel. Minek olyasmivel előállni, amit már kitaláltak, nem? A PsExec nevű eszközt Mark Russinovich, a kivásárolt Sysinternals korábbi tulajdonosa fejlesztette ki. a Microsoft által 2006 júliusában. Az 1.73-as verzió már elérhető, és letölthető a Microsoft Technet webhelyéről.

A PsExec eszköz nagyszerű, ha jön ról ről távoli végrehajtás, főleg annak a ténynek köszönhető, hogy nem szükséges ügynökök telepítése a távoli számítógépre. Csak meg kell adnia a számítógép nevét és a parancsot, amelyet a kapcsolókkal együtt kell futtatnia a parancssorban - és kész!

Egy kis trükk az, hogy a PsExec.exe fájlt a "% windir%" könyvtárba helyezzük, mert ebben az esetben nem kell megadnunk a fájl teljes elérési útját, amikor parancssorból futtatjuk.

Ahhoz, hogy frissítsük a csoportházirendeket egy távoli gépen, nem kell mást tennünk, mint beállítani a „Számítógépnév”-t (számítógép neve) a következő parancsban: „PsExec \\ Computername Gpupdate”. A távoli gépen dolgozó felhasználó nem is tudja, mi történt, de a háttérben a Gpupdate parancs frissíti a házirendeket a felhasználó és a számítógép számára, és alkalmazza az elveszett beállításokat. Azt gondolhatja, hogy a PsExec parancsot az -i kapcsolóval kell futtatni a távoli felhasználók felhasználóspecifikus házirendjének frissítéséhez, de a tesztelés azt mutatja, hogy erre nincs szükség.

FLEX COMMAND Script

Tehát a fent említett módszer lehetővé teszi egyetlen felhasználó vagy számítógép házirendjének frissítését, de mi a helyzet egy teljes szervezeti egység (OU) frissítésével a PsExec és a Gpupdate együttes használatával? Ebből a célból készítettem egy demó szkriptet, hogy bemutassam azokat a lehetőségeket, amelyeket a szkriptelésen keresztül kihasználhatunk. A szkript neve FLEX COMMAND, és innen tölthető le. Könnyen megnyithat egy HTA kiterjesztésű fájlt szöveg szerkesztőírja be a Jegyzettömböt, és nézze meg a kódot, nincs rejtett varázslat.

Amikor a FLEX COMMAND elindul, csatlakozik annak a számítógépnek az Active Directory AD-tartományához, amelyen fut. Ezért olyan számítógépen kell végrehajtani, amely a tartomány tagja, különben a szervezeti egység nem található.

Válassza ki az OU-t, az eszközt olyan gépeken kell feldolgozni, amelyek "élnek" (a WMI-kérésekre válaszolva). Az utolsó teendő az, hogy beszúrja azt a parancssort, amelyet a helyi gépen futtatni akarunk a kiválasztott szervezeti egységben található minden egyes objektumhoz. A „(C)” szövegsort úgy kell hagyni, ahogy van. a szkript futása közben a számítógép nevére cserélődik.

2. ábra: FLEX COMMAND működés közben

Tegyük fel, hogy a „MyComputers” nevű szervezeti egység csak 3 számítógépet tartalmaz: Számítógép1, Számítógép2 és Számítógép3. A „psexec \\ (C) gpupdate” parancsot a következő 3 parancsra fordítjuk: „psexec \\ computer1 gpupdate”, „psexec \\ computer2 gpupdate”, „psexec \\ computer3 gpupdate” – minden parancs szekvenciálisan végrehajtásra kerül. (ha a számítógépek "élnek"), és a törölt házirendek frissülnek.

Az eszköz úgy módosítható, hogy a számítógépek listája fájlból (txt, csv, xls stb.), adatbázisból, AD speciális biztonsági csoportjából származzon, a listából való kézi kiválasztással. A szkript futási módja is változtatható, ez csak egy demó szkript, melynek fő célja, hogy megmutassa, milyen képességeink vannak.

A szkriptet ingyenesen terjesztjük, és saját belátása szerint tesztelheti, felhasználhatja és módosíthatja - részletek.

Windows Management Instrumentation (WMI)

Rendben, a PsExec eszköz valóban nagyszerű, de vannak olyan manuális módszerek, amelyek segítségével jobban testreszabhatom a megoldást a környezetemhez? Igen, valóban van! A WMI nagyon erős és könnyen használható néhány óra tanulás után. Ha rendelkezik WMI-vel, és rendelkezik tűzfal- és rendszergazdai jogokkal, akkor szinte mindent megtehet Windows környezet környezet - akár a számítógép távoli leállítása, újraindítás és távoli parancsok végrehajtása is.

Demó célokra létrehoztam egy másik szkriptet, OU GPUPDATE néven. Ez a HTA-szkript többféle különböző technikák Valójában a FLEX COMMAND szkript egy kis módosítása. Először is elemzi az OU struktúráját az AD-ben (felső legördülő lista), lehetővé teszi a felhasználók számára, hogy számítógépeket válasszanak ki az OU-ból, futtassák a Gpupdate-t a / Target: User vagy a / Target: Computer paraméterekkel, vagy egyáltalán nem adnak meg paramétereket. Alapértelmezés szerint csak az élő számítógépek (amelyek válaszolnak a WMI-kérésekre) lesznek hatással.

3. ábra: Válassza ki, hogy mit kell frissíteni – Felhasználói beállítások, Számítógépbeállítások vagy mindkettő

Ez a szkript ingyenes, és innen tesztelheti, használhatja és módosíthatja, ahogy jónak látja.

Távoli szkriptelés

A WMI-n kívül lehetőségünk van a hagyományos távoli parancsfájlok (VBScript) használatára. Ezt úgy lehet engedélyezni, hogy csak egy értéket adunk meg a számítógép-nyilvántartás HKLM részében, és a szkriptmotornak támogatnia kell a távoli szkriptet, és innentől kezdve minden más meglehetősen nyilvánvaló. Az eljárás a szkriptfájl másolása egy távoli számítógépre (ennek a szkriptnek Gpupdate-et kell használnia), majd el kell küldenie egy VBScript-parancsot, amely távolról futtatja a szkriptet.

RGPREFRESH

Az RGPREFRESH egy Daren Mar-El által kifejlesztett eszköz. Eszköze WMI-t használ, és a távoli gép operációs rendszerétől függően a Secedit vagy a Gpupdate futtatását végzi, a felhasználó által kiválasztott kulcsokkal. Ezek a billentyűk ugyanazokat a lehetőségeket biztosítják, mint az eszköz helyi használatakor.

Ez az eszköz egyszerre egy gépet dolgoz fel, de a FLEX COMMAND nevű eszközzel (mint shell) együtt ez az eszköz egy egész szervezeti egységhez használható mindössze néhány egérkattintással... Az RGPREFRESH és a PsExec is használható DSQUERY , FOR és más parancssori segédprogramok egyszerre több számítógépen.

4. ábra: Az RGPREFRESH paraméterei

Ez az eszköz ingyenesen letölthető erről az oldalról.

Specops Gpupdate

A Special Operations Software, a Specops nemzetközi szoftvergyártó szoftvertermékeket kínál Aktív menedzsment Csoportházirend-technológián alapuló címtár. A cég kiadta saját megoldását a távoli házirend-frissítésekhez, és a legjobb az egészben az, hogy teljesen ingyenes. A Specops Gpupdate jelenlegi verziója 1.0.2.13 (2006-10-25), maga a segédprogram pedig letölthető innen. Ez az eszköz nemcsak a fent említett forgatókönyvekben kifejlesztett funkciókkal rendelkezik, hanem számos vezérlési képességgel is rendelkezik. Vessünk egy pillantást erre a nagyszerű segédprogramra...

A Specops Gpupdate telepítése

Az MSI-alkalmazások telepítése nagyon egyszerű – csak Active Directory Users & Computers (ADUC) MMC-felhasználókra és számítógépekre, valamint a Microsoft .NET-keretrendszer 2.0-s verziójára van szükség.

5. ábra: A telepítési folyamat ugyanolyan egyszerű, mint a telepítés MSI csomagok(kattints a következőre, következőre, következőre)

Telepítés után MSI fájl v grafikus felület semmi sem változtatja meg a grafikus felhasználói felületet, és csak a „Programok hozzáadása/eltávolítása” segítségével tudhatja meg, hogy a Specops telepítve van a gépünkre. Ezért további munkát kell végeznünk a mágikus átalakulás érdekében ...

Bővítmény az Active Directory felhasználókhoz és számítógépekhez

A Specops Gpupdate telepítése után az AD Forestben egy speciális parancsot kell futtatnia

"% CommonProgramFiles% \ Specopssoft \ Specops ADUC Extension \ SpecopsAducMenuExtensionInstaller.exe" / add

Ez nem sémafrissítés, bár a parancs futtatásához vállalati rendszergazdai jogokkal kell rendelkeznie. Ez a parancs teljesen visszafordítható, csak futtassa újra a „/eltávolítás” kapcsolóval. Mindössze annyit tesz, hogy regisztrálja az úgynevezett „megjelenítési specifikációkat”, hogy javítsa a nézetet az ADUC segítségével.

Ezután kattintson a jobb gombbal a szervezeti egység vagy a számítógép objektumra, és négy új parancs jelenik meg: Gpupdate, Restart, Shut down és Start. Lehetőség van több számítógép és szervezeti egység kiválasztására a billentyű lenyomva tartása és a jobb egérgomb megnyomásával a szükséges objektumokon.

6. ábra: ADUC MMC bővítve

Ha Önnek, hozzám hasonlóan, olyan kérdése van, hogy a változtatások nem DC tartományvezérlőkre is vonatkoztathatók-e, akkor a válasz igen! Után Windows telepítések A Server 2003 Admin Pack Service Pack 1 Administration Tools Pack bekapcsolva Windows kliens XP Professional, .NET Framework 2.0 és Specops Gpupdate, a felügyeleti konzol ugyanúgy néz ki, mint egy DC-n, és ugyanazokkal a képességekkel rendelkezik.

Gpupdate beállítások

Az első rendelkezésünkre álló paraméter lehetővé teszi a Gpupdate parancs távoli futtatását a kiválasztott számítógépeken. A Gpupdate kiválasztása után meg kell erősíteni a választást, ahogy az a 7. ábrán is látható, és be kell jelölnünk a use force opciót, ha az erősítés beállítást szeretnénk használni.

7. ábra

Az OK gombra kattintás után megjelenik egy dinamikus grafikon, lásd a 8. ábrát, valamint egy jelentés a frissítés állapotáról.

8. ábra

Újraindítási és leállítási lehetőségek

A következő két paraméter, az „Újraindítás” és a „Leállítás” nagyon fontosak a vezérléshez, ezért szükségünk van rájuk az ADUC-ban. Lefuttathatjuk a restart vagy shutdown parancsot, és beállíthatjuk azt az időintervallumot is másodpercben, ami a felhasználónak adott, hogy mindent leállítson. futó alkalmazások... A WMI-vel vagy a Shutdown.exe paranccsal a megfelelő billentyűkkel olyan szkriptet írni nem túl nehéz, de a Specops Gpupdate-nek köszönhetően teljesen ingyenesen, idő és erőfeszítés nélkül kapjuk meg ezt a funkciót.

9. ábra: Újraindítási üzenet párbeszédpanel

Indítási paraméter A négy paraméter közül az utolsót „Start”-nak hívják, és valójában az ADUC-ba beépített Wake on LAN vagy WOL funkció. A paraméter kiválasztása és megerősítése után, lásd a 10. ábrát, az ún. Magic csomag elküldésre kerül MAC címek kliens számítógépekés elindul a letöltés. A WOL működéséhez a megfelelő funkciót támogatni kell számítógépek BIOS-a... A Specops Gpupdate kölcsönhatásba lép a vállalaton belüli Microsoft DHCP szerverekkel, hogy megtalálja a folyamat elindításához szükséges információkat, így lehetséges a DHCP kliensek felébresztése és csak olyan hálózaton telepített szerverek Microsoft DHCP.

10. ábra: Erősítse meg a Távoli WOL indítását

Egyébként a WOL-hoz is használhatsz szkripteket, az ilyen kódokra vonatkozó példák túlmutatnak e cikk keretein.

Következtetés

Több módszert is megvizsgáltunk, amelyek segítségével csoportházirendeket alkalmazhat távoli számítógépeken. Az Ön számára legmegfelelőbb módszer a környezetétől függ. Én személy szerint szeretem a forgatókönyvírást, de miért dolgoznék keményen azon, amit mások már létrehoztak? Két válaszom van erre a kérdésre. Először is, miközben ilyen forgatókönyveket írunk, tanulunk, a második pedig - különleges körülmények vagy egyedi gyártású. A szkriptelés fejleszti IT-szakemberek készségeit, és lehetővé teszi a testreszabást is kész megoldások hogy jobban megfeleljenek az adott feltételeknek.

Specops kifejlesztett egy nagyon jó ingyenes segédprogram, amely ellátja a házirendek frissítésének fő funkcióit hálózati kliensek... Azt javaslom, próbáld ki!

Forrás www.windowsecurity.com