Cum să accelerați procesul de actualizare a politicii de grup. GPUPDATE - Efectuarea actualizărilor politicii de grup pentru utilizatori și computer. Actualizarea politicii locale de securitate

Comanda GPUPDATE este folosită pentru a actualiza politici de grup pentru utilizator și/sau computer.

GPUpdate

Parametrii liniei de comandă:

/ Țintă: (Computer | Utilizator)- Actualizați setările politicii numai pentru utilizator sau numai pentru computer. Dacă nu este specificat, setările pentru ambele politici sunt actualizate.

/ Forta- Aplicarea tuturor setărilor politicii. Dacă nu este specificat, se aplică numai setările de politică modificate.

/ Așteptați: valoare- Timp de așteptare (în secunde) pentru finalizarea procesării politicii. Valoarea implicită este să așteptați 600 de secunde. Valoarea „0” înseamnă că nu aștepți. Valoarea „-1” înseamnă că așteptarea este nelimitată. Dacă timpul de expirare este depășit, fereastra Command Prompt este reactivată, dar procesarea politicii continuă.

/ Ieși din cont- Ieșiți după actualizarea setărilor politicii de grup. Necesar pentru acele extensii client pentru Politica de grup care nu procesează politica în fundal, dar procesează-l numai atunci când utilizatorul se conectează, cum ar fi instalarea de programe pentru utilizator sau redirecționarea folderelor. Acest parametru nu are efect decât dacă sunt apelate extensii care necesită deconectarea utilizatorului.

/ Boot- Reporniți după aplicarea setărilor politicii de grup. Necesar pentru acele extensii de client Politica de grup care nu procesează politica în fundal, ci o procesează numai la pornire, cum ar fi instalarea de software pentru un computer. Acest parametru nu are efect decât dacă sunt apelate extensii care necesită o repornire a sistemului.

/ Sincronizare- Următoarea aplicare activă a politicii trebuie să fie sincronă. Aplicarea activă a politicii are loc atunci când computerul este repornit sau când utilizatorul se conectează la sistem. Puteți utiliza acest parametru pe un utilizator, computer sau ambele prin specificarea parametrului / Țintă. Cu toate acestea, opțiunile / Forțare și / Așteptați, dacă sunt specificate, sunt omise.

Exemple de utilizare:

gpupdate /?- afișați un indiciu despre cum să utilizați comanda.

gpupdate- politicile computerului și politicile utilizatorilor sunt în curs de actualizare. Se aplică doar politicile modificate.

gpupdate / Țintă: computer- actualizarea politicilor se realizează numai pentru computer.

gpupdate / Force- toate politicile sunt actualizate.

gpupdate / Boot- actualizarea politicilor de grup cu o repornire a computerului.

rezumat: Microsoft Scripting Guy, Ed Wilson vă arată cum să declanșați o actualizare a politicii de grup folosind PowerShell.

Actualizarea politicii de grup pe domeniu

Uneori fac modificări politicii de grup în rețea și trebuie să aplic modificările tuturor computerelor. Și uneori trebuie să actualizez politica de grup local pe computerul meu.

Pentru a actualiza setările politicii de grup, folosesc utilitarul GPUpdate... Are niște parametri. În mod implicit, utilitarul actualizează politica atât a computerului, cât și a utilizatorului. Dar acest lucru poate fi controlat folosind parametrul / țintă... De exemplu, dacă m-am plictisit să actualizez doar politica computerului, voi specifica / țintă: computer... Pentru a actualiza numai politica utilizatorului - / țintă: utilizator.

PS C: \> gpupdate / target: computer

Se actualizează politica...

Mod implicit GPUpdate aplică numai setările actualizate ale politicii de grup. Pentru a aplica toate setările, utilizați parametrul / forta... Comanda de mai jos actualizează toate setările politicii de grup (indiferent dacă acestea au fost modificate) pentru computer și utilizator.

PS C: \> gpupdate / forță

Se actualizează politica...

Actualizarea politicii computerului s-a finalizat cu succes.

Actualizarea politicii utilizatorului s-a finalizat cu succes.

În primul rând, obținem o listă de computere din domeniu

Primul lucru pe care trebuie să-l fac este să obțin o listă cu toate computerele din domeniu. Pentru asta folosesc cmdletul Get-ADComputer incluse în modul Director activ.

Notă: Modulul Active Directory face parte din RSAT.

Stochez obiectele computer rezultate în variabila $ cn.

$ cn = Get-ADComputer -filt *

În al doilea rând, creăm sesiuni la distanță

Următorul lucru pe care trebuie să-l fac este să creez sesiuni la distanță cu toate computerele. Pentru a face acest lucru, trebuie să ofer acreditări pentru a vă conecta la computere, precum și să creez sesiunile în sine folosind cmdletul Noua-PSSession.

În primul rând, voi folosi cmdletul Obțineți acredităriși stocați obiectul returnat în variabila $ cred.

$ cred = Obține-Credential immred \ administrator

$ sesiune = New-PSSession -cn $ cn.name -cred $ cred

Vă rugăm să fiți conștienți de faptul că domeniul poate avea computere oprite, astfel încât comanda poate returna erori. Cu toate acestea, în ciuda greșelilor, Windows PowerShell creează sesiuni cu calculatoarele de lucru.

Prezența unui număr mare de erori poate inspira o anumită îngrijorare. Deoarece obiectele de sesiune sunt stocate în variabila $ sessions, pot verifica cu ușurință dacă sunt create.

Acum să rulăm comanda pe toate mașinile de la distanță

Pentru a rula comanda GPUpdate pe toate mașinile la distanță folosesc cmdletul Invocare-Comandă... Utilizează sesiunile pe care le-am salvat în variabila $ sessions. Alias pentru cmdlet Invocare-Comandă – icm.

icm -Sesiune $ sesiune -ScriptBlock (gpupdate / forță)

După rularea comenzii, rezultatele sunt afișate în console Windows PowerShell.

Verificarea actualizărilor politicii de grup

Când este pornit stație de lucru setările politicii de grup sunt actualizate cu succes, ID-ul evenimentului 1502 este scris în jurnalul de sistem. Pot folosi cmdletul Invocare-Comandă pentru aceste informații.

icm -Session $ sesiune -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Cel mai nou 1)

Comanda și rezultatele acesteia sunt prezentate în figura de mai jos.

Un alt lucru interesant despre politica de grup

Uneori trebuie să sun la asistența tehnică și ei îmi cer să actualizez politica de grup pe computerul meu local. Aceasta nu este o problemă, deoarece pot alerga GPUpdate direct din PowerShell. Dificultatea apare atunci când îmi cer să actualizez Politica de grup de 5 ori cu un interval de 5 minute. Dar acest lucru poate fi rezolvat cu o singură linie de cod.

1..5 | % („Reîmprospătare GP $ (Get-Date)”; gpupdate/force; sleep 300)

Ed Wilson, tip Microsoft Scripting

Original:

În acest articol, vă vom arăta o modalitate simplă de a actualiza de la distanță politicile de grup pe clienți (calculatoare și servere) dintr-un domeniu Active Directory, fără a fi nevoie să accesați consola de pe mașina de la distanță și fără a utiliza comanda gpupdate.

Una dintre cele mai grele provocări în gestionarea politicilor de grup AD este testarea politicilor din mers, fără a reporni computerul sau a accesa computerul local și a rula o comandă.

Actualizarea la distanță a politicii de grup oferă posibilitatea de a utiliza o singură consolă de management GPO (GPMC.msc) atât pentru a crea, a modifica și a aplica și a testa politica de grup.

Funcționalitatea actualizării de la distanță a politicilor de grup a apărut pentru prima dată în Microsoft Windows Server 2012, în toate versiunile ulterioare (Windows Server 2016, Microsoft Windows 10), această funcționalitate și stabilitatea ei s-au îmbunătățit treptat.

Cerințe pentru ca actualizarea politicii de grup la distanță să funcționeze:

Cerințe de mediu server:

Windows Server 2012 și versiuni ulterioare
Sau Windows 10 cu instrumente instalate management RSAT (instrumente de management)

Cerințe pentru clienți:

Windows 7 și versiuni ulterioare

Cerințe pentru comunicarea în rețea (paravane de protecție) între server și clienți

Portul TCP 135 trebuie să fie deschis
Serviciu inclus Gestionare Windows Instrumentare (serviciu Gestionare Windows)
Serviciul Task Scheduler (Serviciul Task Scheduler)

Dacă mediul dvs. îndeplinește aceste cerințe, deschideți Consola de gestionare a politicilor de grup (GPMC.msc), selectați OU (containerul) care conține computerele țintă pe care doriți să forțați actualizarea GPO.

Faceți clic dreapta pe recipientul doritși selectați elementul Actualizare politică de grup.

În fereastra care se deschide, vor apărea informații despre numărul de obiecte din această OU pe care va fi actualizat GPO. Pentru a confirma acțiunea, faceți clic pe butonul „Da”.

În fereastra cu rezultatele actualizării politicii de grup la distanță, veți vedea starea actualizării politicii, precum și starea acestei operațiuni (succes / eroare, cod de eroare). Desigur, dacă un computer este oprit sau accesul la acesta este restricționat de un firewall, va apărea o eroare corespunzătoare.

Configurarea politicii de actualizare Windows 10 este configurarea modului în care Windows 10 primește actualizări. În Windows 10, setările de actualizare au fost mutate din Panoul de control în Setările de sistem. Windows 10 nu are aceleași setări ca și în Panoul de control și, prin urmare, a devenit imposibil să dezactivați actualizările sau să alegeți cum să le primiți. Cu toate acestea, puteți utiliza Editorul de registru și Editorul de politici de grup local pentru a dezactiva actualizările și a seta modul în care sunt primite.

Configurarea actualizărilor utilizând Editorul de politici de grup local

Lansați Editorul de politici de grup local apăsând simultan două taste de pe tastatură WIN + R gpedit.mscși faceți clic pe OK.

Politica de grup de upgrade la Windows 10

Configurare computer - Șabloane administrative - Componentele Windows- Windows Update... Faceți clic pe ultimul element Windows Update și apoi găsiți articolul în partea dreaptă Personalizare actualizare automata și modificați setările acestuia.

Configurarea politicii de grup de actualizări Windows 10

Pentru a face acest lucru, în fereastra care se deschide, trebuie să puneți un punct în partea de sus la elementul Activat și apoi să setați setările de actualizare de mai jos. Faceți clic pe OK. Apoi, pentru a face setările pe care le-ați făcut să funcționeze, deschideți Setări de sistem - Actualizare și securitate - Actualizare Windowsși apăsați butonul Se verifică actualizări.

Când ați terminat de setat Politici Windows 10, rulați actualizarea

După aceea, setările pe care le-ați făcut în Editorul de politici de grup local vor intra în vigoare.

Configurarea actualizărilor utilizând Editorul de registru

Lansați Editorul Registrului apăsând simultan două taste de pe tastatură WIN + R... Se va deschide fereastra Run în care introduceți comanda regeditși faceți clic pe OK.

Deschideți Editorul de registru și creați acolo patru parametri de control Actualizări Windows 10

În partea din stânga a ferestrei editor care se deschide, deschideți HKEY_LOCAL_MACHINE - SOFTWARE - Politici - Microsoft - Windows... Plasați cursorul peste ultimul element Windows și faceți clic dreapta. În meniul contextual care se deschide, selectați Creare - Secțiune. Secțiune nouă Nume Windows Update.
Apoi plasați cursorul peste secțiunea WindowsUpdate nou creată și creați din nou o secțiune numită AU.
Apoi plasați cursorul peste secțiunea AU nou creată și faceți clic dreapta și selectați Nou - Parametru DWORD (32 de biți)... Parametrul nou creat va apărea în partea dreaptă a ferestrei, denumește-l AUOpțiuni... În același mod, trecând peste secțiunea AU, creați încă trei parametri și numiți primul NoAutoUpdate, al doilea Ziua de instalare programată iar al treilea ScheduledInstallTime(optional NoAutoRebootWithLoggedOnUsers). Acum acești patru parametri noi trebuie să schimbe valoarea.

Pentru parametrul AUOptions

2 - Primiți notificări înainte de a instala și descărca orice actualizări.
3 - Primiți automat actualizări și notificări despre pregătirea lor pentru instalare.
4 - Primiți și instalați automat actualizări într-un program specificat.
5 - Permiteți administratorilor locali să aleagă modul de actualizare și notificări.

Pentru parametrul NoAutoUpdate

0 - Activat instalare automată actualizări care vor fi descărcate și instalate în funcție de setările făcute în parametrul AUOptions.
1 - Instalarea automată a actualizărilor este dezactivată.

Pentru parametrul ScheduledInstallDay

0 - actualizările vor fi instalate zilnic cu o valoare de 4 pentru parametrul AUOptions.
1 - actualizările vor fi instalate în fiecare luni cu o valoare de 4 pentru parametrul AUOptions.
2 - actualizările vor fi instalate în fiecare marți cu o valoare de 4 pentru parametrul AUOptions.
3 - actualizările vor fi instalate în fiecare miercuri cu o valoare de 4 pentru parametrul AUOptions.
4 - actualizările vor fi instalate în fiecare joi cu o valoare de 4 pentru parametrul AUOptions.
5 - actualizările vor fi instalate în fiecare vineri cu o valoare de 4 pentru parametrul AUOptions.
6 - actualizările vor fi instalate în fiecare sâmbătă cu o valoare de 4 pentru parametrul AUOptions.
7 - actualizările vor fi instalate în fiecare duminică cu o valoare de 4 pentru parametrul AUOptions.

Pentru parametrul ScheduledInstallTime

De la 0 la 23, actualizările vor fi instalate la acel număr de ore, în funcție de parametrul setat și când parametrul AUOptions este setat la 4.

Pentru parametrul NoAutoRebootWithLoggedOnUsers

0 - După ce instalarea actualizărilor este finalizată, computerul se va reporni automat, funcționează cu o valoare de 4 pentru parametrul AUOptions.
1 - După ce instalarea actualizărilor este finalizată, computerul nu se va reporni automat, funcționează cu o valoare de 4 pentru parametrul AUOptions.

· Fara comentarii

Se actualizează setările politicii grupuri Microsoft Politica de grup Windows pe o mașină locală nu este foarte dificil de realizat cu un instrument precum Gpupdate, dar actualizarea acestor politici pe calculatoare la distanțăîn domeniu, nu se poate face folosind consola management Microsoft Management Console (MMC) sau orice produs Microsoft disponibil în prezent. În acest articol, vă voi ghida prin diverse trucuri, scenarii și instrumente gratuite care vă permit să actualizați setările politicii de grup pe computerele aflate la distanță din domeniu.

Introducere

Majoritatea administratorilor sunt conștienți de problema aplicării politicilor de grup pe computerele de la distanță. După configurarea unei politici importante, uneori am dori ca această politică de grup GP să apară imediat pe computerele client. Dar problema este că, implicit, așa-numita procesare în fundal are loc doar în intervalul de la 90 la 120 de minute (aleatoriu) - dacă dorim să grăbim procesul de actualizare, atunci iată-ne pe cont propriu. Desigur, există un motiv pentru care politicile pur și simplu nu se actualizează la fiecare cinci minute sau chiar în timp real. Sarcina controlerelor de domeniu și a rețelei în majoritatea mediilor va fi prea grea pentru a fi gestionată. Dar dacă este nevoie de o aplicare rapidă, foarte setare importantă pentru siguranta pentru un numar mare clienți, ar fi bine să ne pregătim pentru o astfel de situație.

Ceea ce ne trebuie cu adevărat este să dăm posibilitatea administratorului să actualizeze politicile pe computerele Computer1, Computer2 și/sau Computer3 - precum și politicile pentru utilizatorii A, B și C dintr-un punct centralizat - stația de lucru a administratorului, în cazul în care administratorul consideră că este necesar. ... Aruncă o privire la Figura 1.

Figura 1: Scenariu

Avem un instrument grozav numit Gpupdate, care este încorporat în Microsoft Windows XP și sisteme de operare mai noi - și avem, de asemenea, un instrument numit Secedit pentru sistemul de operare. sisteme Windows 2000 - dar, din păcate, comanda Gpresult pentru instrumentele Gpupdate și Secedit poate fi procesată doar pe mașinile locale. Desigur, avem deja un sistem de instalare configurat, cum ar fi Microsoft Systems Management Server (SMS), putem folosi acest sistem pentru a trimite mici scripturi care vor rula comanda necesară pentru un grup de utilizatori sau computere.

Dacă rețeaua dvs. nu are un astfel de sistem, atunci ar trebui să încercați abordări mai creative. alternativa este sa mergi la toti calculatoarele necesare folosind un instrument precum Asistență de la distanță sau trimiteți tuturor utilizatorilor e-mail cu o solicitare de a rula comanda Gpupdate... Așa că căutați abordări mai creative.

Probleme

Înainte de a intra în detalii, vreau să menționez probleme comune pe care oamenii le întâlnesc atunci când încearcă să folosească metodele menționate în acest articol.

Probleme cu firewall:

Ca și în cazul altor conexiuni inițiate în rețea, pachetele care încearcă să actualizeze setările politicii pe computere la distanță nu vor putea traversa firewall-ul local pe computere la distanță (cum ar fi firewall-ul care este încorporat în sistemul de operare Windows, începând cu Windows XP Service). Pachetul 2 sau o versiune ulterioară) dacă firewall-ul nu este configurat să permită un astfel de trafic de intrare (din subrețeaua selectată, IP sau similar). Firewall-ul încorporat în Windows trebuie configurat pentru a permite traficul de intrare pe care îl generăm utilizând un obiect de politică de grup, așa că, oricât de ironic ar suna, această politică este singura pe care nu o putem folosi pentru computerele de la distanță cu firewall-ul activat.

Setările politicii care trebuie setate pentru toate metodele menționate în acest articol sunt următoarele:

Alte dispozitive care acționează ca firewall-uri între computerul central și computerele aflate la distanță trebuie să respecte și setările de mai sus (consultați Testul de ajutor pentru politica menționată în GPEDIT.MSC).

Drepturi de administrator:

Utilizatorul care inițiază procesul pe computerul de la distanță trebuie să aibă drepturi de administrator local asupra acestuia - în caz contrar, totul nu va funcționa așa cum vă așteptați.

După ce te-ai ocupat de toate acestea, să trecem peste metodele în sine.

Scripting

Scripturile sunt gratuite și sunt distribuite pe scară largă printre specialiștii în software. tehnologia de informație pe Internet este într-adevăr „Open Source”. Microsoft ne-a oferit mai multe capabilități încorporate pentru a ne împuternici sistem de operareși medii - În acest articol, vă vom arăta cum puteți utiliza aceste capabilități pentru a actualiza de la distanță politicile GP.

Gpupdate și secedit

Trebuie să menționăm mai întâi instrumentele Gpupdate și Secedit, fără aceste instrumente, niciunul dintre următoarele nu ar fi posibil. Scripturile și instrumentele care sunt menționate aici presupun că unul dintre aceste instrumente este instalat pe clientul de la distanță, în funcție de versiunea sistemului de operare. După cum am menționat mai sus, Secedit face parte din sistemul de operare Windows 2000, iar instrumentul Gpupdate a fost preluat de la Windows XP și mai sus, este chiar prezent în sistemul de operare Longhorn așa cum este astăzi. În următoarele scripturi, mă voi concentra pe Gpupdate - putem verifica versiunea sistemului de operare înainte de a rula Gpupdate sau Secedit, dar această verificare poate fi adăugată ulterior fără prea multe dificultăți.

Fișierul Gpupdate.exe se află în folderul „% windir% \ system32” în mod implicit, așa că nu trebuie să cunoaștem calea absolută către locația sa pe mașina de la distanță. Instrumentul poate fi apelat cu un set de taste diferite:

Sintaxă: Gpupdate

În scripturile noastre pentru aplicații HTML (HTA) și Windows Management Instrumentations (WMI), ne vom concentra pe rularea Gpupdate fără chei - fie cu „/ Taget: Computer” (pentru a actualiza politicile specifice computerului) fie „/ Țintă: utilizator ”(pentru a actualiza politicile specifice utilizatorului). Alte opțiuni pot fi activate cu puțină muncă - dar chiar avem nevoie de „/ Logoff” sau „/ Boot”? Aceasta înseamnă că utilizatorii se pot deconecta dacă este necesar (setarea software, schimbarea folderelor etc.) sau chiar puteți solicita o repornire a computerului în timp ce utilizatorul lucrează. Chiar de asta avem nevoie? Oricum, putem folosi și un instrument precum Shutdown.exe în acest scop - așa că părerea mea nu va fi prea populară.

PsExec

Prima metodă despre care vreau să vorbesc este foarte ușor de utilizat și necesită puțină sau deloc abilități de programare. De ce să vină cu ceva care a fost deja inventat, nu? Un instrument numit PsExec a fost dezvoltat de Mark Russinovici, fostul proprietar al Sysinternals, care a fost cumpărat de către Microsoftîn iulie 2006. Versiunea 1.73 este acum disponibilă și poate fi descărcată de pe site-ul Microsoft Technet.

Instrumentul PsExec este grozav când este vorba despre execuție la distanță, în principal datorită faptului că nu necesită instalarea de agenți pe computerul de la distanță. Trebuie doar să specificați numele computerului și comanda pe care trebuie să o rulați împreună cu comutatoarele din linia de comandă - și asta este!

Un mic truc este să puneți fișierul PsExec.exe în directorul „% windir%” deoarece în acest caz, nu trebuie să specificăm calea completă către acest fișier atunci când îl rulăm din linia de comandă.

Pentru a actualiza politicile de grup pe o mașină la distanță, tot ce trebuie să facem este să setăm „Computername” (nume computer) în următoarea comandă: „PsExec \\ Computername Gpupdate”. Utilizatorul care lucrează la mașina de la distanță nici nu va ști ce sa întâmplat, dar în fundal comanda Gpupdate va actualiza politicile pentru utilizator și pentru computer și va aplica orice setări pierdute. S-ar putea să credeți că comanda PsExec trebuie rulată cu comutatorul -i pentru a actualiza politicile specifice utilizatorului pentru utilizatorii la distanță, dar testele arată că acest lucru nu este necesar.

FLEX COMMAND Script

Deci, metoda menționată mai sus vă permite să actualizați politicile pentru un singur utilizator sau computer, dar cum rămâne cu actualizarea unei întregi Unități Organizaționale (OU) folosind PsExec și Gpupdate împreună? În acest scop, am creat un script demonstrativ pentru a arăta câteva dintre posibilitățile de care putem profita prin scripting. Scriptul se numește FLEX COMMAND și poate fi descărcat de aici. Puteți deschide cu ușurință un fișier cu extensia HTA cu editor de text tastați Notepad și vedeți codul, fără magie ascunsă.

Când pornește FLEX COMMAND, se conectează la domeniul Active Directory AD al computerului pe care rulează. Prin urmare, trebuie executat pe un computer care este membru al domeniului, altfel OU nu va fi găsit.

Selectați OU, instrumentul ar trebui să fie procesat pe mașini care sunt „în viață” (răspunzând la solicitările WMI). Ultimul lucru de făcut este să inserăm linia de comandă pe care dorim să o rulăm pe mașina locală pentru fiecare obiect aflat în OU selectat. Linia de text „(C)” trebuie lăsată așa cum este. va fi înlocuit cu numele computerului când scriptul rulează.

Figura 2: FLEX COMMAND în acțiune

Să presupunem că OU numită „MyComputers” conține doar 3 computere: Computer1, Computer2 și Computer3. Comanda pe care am tastat-o „psexec \\ (C) gpupdate” se traduce apoi în următoarele 3 comenzi: „psexec \\ computer1 gpupdate”, „psexec \\ computer2 gpupdate”, „psexec \\ computer3 gpupdate” - toate comenzile vor fi executate secvențial (dacă computerele sunt „vii”) și politicile șterse vor fi actualizate.

Instrumentul poate fi modificat astfel încât lista de calculatoare să provină dintr-un fișier (txt, csv, xls etc.), o bază de date, un grup special de securitate în AD, folosind selecția manuală din listă. Modul în care este rulat scriptul poate fi, de asemenea, schimbat, este doar un script demo, al cărui scop principal este să arătăm capacitățile pe care le avem.

Scriptul este distribuit gratuit și îl puteți testa, utiliza și modifica la discreția dvs. - detalii.

Windows Management Instrumentation (WMI)

Ok, instrumentul PsExec este cu adevărat grozav, dar există metode manuale pe care le pot folosi pentru a personaliza mai bine soluția pentru mediul meu? Da, de fapt, există! WMI este foarte puternic și ușor de utilizat după câteva ore de studiu. Dacă dețineți WMI și sunteți de acord cu permisiunile de firewall și drepturile de administrator, atunci puteți face aproape totul în Mediul Windows mediu - chiar și închiderea de la distanță a computerului, repornirea și executarea comenzilor de la distanță.

Am creat un alt script în scopuri demonstrative numit OU GPUPDATE. Acest script HTA folosește mai multe tehnici diferite Este de fapt o mică modificare a scriptului FLEX COMMAND. În primul rând, analizează structura OU în AD (lista derulantă de sus), oferă utilizatorilor posibilitatea de a selecta computere din OU, de a rula Gpupdate cu / Target: User sau / Target: Computer sau fără parametri. Doar computerele active (care răspund la solicitările WMI) vor fi afectate implicit.

Figura 3: Selectați ceea ce trebuie actualizat - Setări utilizator, Setări computer sau ambele

Acest script este gratuit și îl puteți testa, utiliza și modifica după cum credeți de cuviință de aici.

Scripturi de la distanță

În plus față de WMI, avem capacitatea de a folosi scripturi convenționale la distanță (VBScript). Acest lucru poate fi activat prin setarea unei singure valori în partea HKLM a registrului computerului, iar motorul de scripting trebuie să accepte scripting la distanță și, din acel moment, totul devine destul de evident. Procedura este să copiați fișierul script pe computerul de la distanță (acest script trebuie să folosească Gpupdate) și apoi să trimiteți o comandă VBScript care rulează scriptul de la distanță.

RGPREFRESH

RGPREFRESH este un instrument dezvoltat de Daren Mar-El. Instrumentul său folosește WMI și rulează fie Secedit, fie Gpupdate, în funcție de sistemul de operare de pe mașina de la distanță, cu cheile selectate de utilizator. Aceste taste vă oferă aceleași capacități ca atunci când utilizați acest instrument la nivel local.

Acest instrument procesează câte o mașină la un moment dat, dar împreună cu un instrument numit FLEX COMMAND (ca shell), acest instrument poate fi folosit pentru o întreagă OU cu doar câteva clicuri... Atât RGPREFRESH, cât și PsExec pot fi utilizate și cu DSQUERY , FOR și alte utilitare de linie de comandă pe mai multe computere simultan.

Figura 4: Parametrii pentru RGPREFRESH

Acest instrument poate fi descărcat gratuit de pe această pagină.

Specops Gpupdate

Special Operations Software, Specops, un producător internațional de software, oferă produse software Management activ Director bazat pe tehnologia politicii de grup. Compania și-a lansat propria soluție pentru actualizările de politici de la distanță, iar cea mai bună parte este că este complet gratuită. Versiunea actuală de Specops Gpupdate este 1.0.2.13 (2006-10-25) și utilitarul în sine poate fi descărcat de aici. Acest instrument nu numai că are funcționalitatea pe care am dezvoltat-o în scenariile menționate mai sus, dar adaugă și mai multe capacități de control. Să aruncăm o privire la această mare utilitate...

Instalarea Specops Gpupdate

Instalarea unei aplicații MSI este foarte ușoară - tot ce are nevoie sunt utilizatorii și computerele MMC Active Directory Users & Computers (ADUC), precum și Microsoft .NET Framework versiunea 2.0.

Figura 5: Procesul de instalare este la fel de ușor ca și instalarea Pachete MSI(click pe următorul, următorul, următorul)

După instalare Fișierul MSI v interfata grafica nimic nu schimbă GUI și doar cu ajutorul „Add / Remove Programs” poți afla că Specops este instalat pe mașina noastră. Prin urmare, trebuie să facem o muncă suplimentară pentru transformarea magică...

Extensie pentru utilizatori și computere Active Directory

După instalarea Specops Gpupdate în AD Forest, trebuie să rulați o comandă specială

„% CommonProgramFiles% \ Specopssoft \ Specops ADUC Extension \ SpecopsAducMenuExtensionInstaller.exe” / adăugați

Aceasta nu este o actualizare a schemei, deși trebuie să aveți drepturi de administrator corporativ pentru a rula această comandă. Această comandă este complet reversibilă, doar rulați-o din nou cu comutatorul „/ remove”. Tot ce face este să înregistreze așa-numiții „Display Specifiers” pentru a îmbunătăți vizualizarea cu ADUC.

Apoi faceți clic dreapta pe obiectul OU sau Computer și veți vedea că apar patru comenzi noi: Gpupdate, Restart, Shut down și Start. Este posibil să faceți o selecție a mai multor computere și OU ținând apăsată tasta și apăsând butonul din dreapta al mouse-ului pe obiectele necesare.

Figura 6: ADUC MMC extins

Dacă, ca și mine, aveți o întrebare dacă modificările pot fi aplicate și controlerelor de domeniu non-DC, atunci răspunsul este da! După Instalări Windows Server 2003 Admin Pack Service Pack 1 Administration Tools Pack activat Client Windows XP Professional, .NET Framework 2.0 și Specops Gpupdate, consola de management arată la fel ca pe un DC și are aceleași capacități.

Opțiuni Gpupdate

Primul parametru pe care îl avem ne permite să rulăm comanda Gpupdate de la distanță pe computerele selectate. După selectarea Gpupdate, trebuie să confirmăm selecția, așa cum se arată în Figura 7, și să verificăm opțiunea de folosire a forței dacă dorim să folosim setarea câștig.

Figura 7

După ce faceți clic pe butonul OK, va apărea un grafic dinamic, vezi Figura 8, precum și un raport privind starea progresului actualizării.

Figura 8

Opțiuni de repornire și oprire

Următorii doi parametri, „Restart” și „Shutdown”, sunt foarte importanți de controlat, așa că avem nevoie de ei chiar în ADUC. Putem rula comanda de repornire sau de oprire și, de asemenea, putem seta intervalul de timp în secunde care este oferit utilizatorului pentru a opri totul. rulează aplicații... Scrierea unui script care face la fel nu este foarte dificilă folosind WMI sau folosirea comenzii Shutdown.exe cu tastele corecte, dar datorită Specops Gpupdate, obținem această funcționalitate complet gratuit, fără timp sau efort.

Figura 9: Caseta de dialog Repornire mesaj

Parametrul de pornire Ultimul dintre cei patru parametri se numește „Start” și este de fapt funcționalitatea Wake on LAN sau WOL încorporată în ADUC. După selectarea și confirmarea acestui parametru, vezi Figura 10, așa-numitul pachet Magic va fi trimis către adrese MAC calculatoare client iar descărcările vor începe. Pentru ca WOL să funcționeze, trebuie să fie acceptată funcționalitatea corespunzătoare BIOS-ul computerelor... Specops Gpupdate interacționează cu serverele Microsoft DHCP din corporație pentru a găsi informațiile necesare pentru a începe acest proces, astfel încât este posibil să treziți clienți DHCP și numai într-o rețea cu servere instalate Microsoft DHCP.

Figura 10: Confirmați Start Remote WOL

Apropo, puteți folosi și scripturi pentru WOL, exemplele de astfel de coduri depășesc domeniul de aplicare al acestui articol.

Concluzie

Am analizat mai multe moduri în care puteți aplica politici de grup computerelor de la distanță. Ce metodă este cea mai potrivită pentru dvs. depinde de mediul dvs. Personal, îmi place să scriu scenarii, dar de ce să lucrez din greu la ceea ce alți oameni au creat deja? Am două răspunsuri la această întrebare. În primul rând, în timp ce scriem astfel de scenarii, învățăm, iar al doilea - conditii speciale sau la comandă. Scriptarea ne îmbunătățește abilitățile ca profesioniști IT și permite, de asemenea, personalizarea soluții gata făcute pentru a se potrivi mai bine condițiilor specifice.

Specops a dezvoltat un foarte bun utilitate gratuită, care îndeplinește principalele funcții de actualizare a politicilor pe clienți de rețea... Vă recomand să încercați!

Sursa www.windowsecurity.com