Ako urýchliť proces aktualizácie skupinovej politiky. GPUPDATE – Vykonanie aktualizácií skupinovej politiky pre používateľov a počítača Aktualizácia miestnej bezpečnostnej politiky

Na aktualizáciu sa používa príkaz GPUPDATE skupinové politiky pre používateľa a/alebo počítač.

GPUpdate

Parametre príkazového riadku:

/ Cieľ: (Počítač | Používateľ)- Aktualizujte nastavenia politiky iba pre používateľa alebo iba pre počítač. Ak nie je zadané, aktualizujú sa nastavenia pre obe politiky.

/ Sila- Použitie všetkých nastavení politiky. Ak nie je zadané, použijú sa iba zmenené nastavenia politiky.

/ Počkajte: hodnota- Čas čakania (v sekundách) na dokončenie spracovania politiky. Predvolená hodnota je 600 sekúnd. Hodnota "0" znamená žiadne čakanie. Hodnota "-1" znamená, že čakanie je neobmedzené. Ak sa časový limit prekročí, okno príkazového riadka sa znova aktivuje, ale spracovanie politiky pokračuje.

/ Odhlásiť sa- Ukončite po aktualizácii nastavení skupinovej politiky. Vyžaduje sa pre klientske rozšírenia skupinovej politiky, ktoré túto politiku nespracúvajú pozadie, ale spracovať ho iba vtedy, keď sa používateľ prihlási, ako je napríklad inštalácia programov pre používateľa alebo presmerovanie priečinkov. Tento parameter nemá žiadny účinok, pokiaľ nie sú volané rozšírenia, ktoré vyžadujú odhlásenie používateľa.

/ Boot- Reštartujte po použití nastavení skupinovej politiky. Vyžaduje sa pre tie klientske rozšírenia skupinovej politiky, ktoré nespracúvajú politiku na pozadí, ale spracúvajú ju iba pri spustení, ako je napríklad inštalácia softvéru do počítača. Tento parameter nemá žiadny účinok, pokiaľ nie sú volané rozšírenia vyžadujúce reštart systému.

/ Synchronizovať- Ďalšie aktívne presadzovanie politiky musí byť synchrónne. Aktívne presadzovanie zásad nastáva pri reštartovaní počítača alebo pri prihlásení používateľa do systému. Tento parameter môžete použiť na používateľovi, počítači alebo oboch zadaním parametra / Target. Možnosti / Force a / Wait, ak sú špecifikované, sa však preskočia.

Príklady použitia:

gpupdate /?- zobraziť nápovedu, ako použiť príkaz.

gpupdate- Aktualizujú sa zásady počítača a zásady používateľov. Použijú sa iba zmenené zásady.

gpupdate / Cieľ: počítač- aktualizácia politík sa vykonáva iba pre počítač.

gpupdate / Force- všetky zásady sa aktualizujú.

gpupdate / Boot- aktualizácia skupinových zásad reštartovaním počítača.

Zhrnutie: Microsoft Scripting Guy, Ed Wilson vám ukáže, ako spustiť aktualizáciu skupinovej politiky pomocou PowerShell.

Aktualizácia skupinovej politiky na doméne

Niekedy vykonám zmeny v skupinovej politike v sieti a potrebujem tieto zmeny aplikovať na všetky počítače. A niekedy potrebujem aktualizovať politiku miestnej skupiny na svojom počítači.

Na aktualizáciu nastavení skupinovej politiky používam pomôcku GPUpdate... Má nejaké parametre. V predvolenom nastavení nástroj aktualizuje politiku počítača aj používateľa. To sa však dá ovládať pomocou parametra / cieľ... Napríklad, ak ma nudí aktualizovať iba politiku počítača, upresním / cieľ: počítač... Ak chcete aktualizovať iba pravidlá pre používateľov - / cieľ: používateľ.

PS C: \> gpupdate / cieľ: počítač

Aktualizujú sa pravidlá...

Predvolené GPUpdate použije iba aktualizované nastavenia skupinovej politiky. Ak chcete použiť všetky nastavenia, použite parameter / sila... Nasledujúci príkaz aktualizuje všetky nastavenia skupinovej politiky (bez ohľadu na to, či boli zmenené) pre počítač a používateľa.

PS C: \> gpupdate / force

Aktualizujú sa pravidlá...

Aktualizácia zásad počítača bola úspešne dokončená.

Aktualizácia pravidiel pre používateľov bola úspešne dokončená.

Najprv získame zoznam počítačov v doméne

Prvá vec, ktorú musím urobiť, je získať zoznam všetkých počítačov v doméne. Na to používam cmdlet Get-ADComputer zahrnuté v module Aktívny adresár.

Poznámka: Modul Active Directory je súčasťou RSAT.

Výsledné počítačové objekty ukladám do premennej $ cn.

$ cn = Get-ADComputer -filt *

Po druhé, vytvoríme vzdialené relácie

Ďalšia vec, ktorú musím urobiť, je vytvoriť vzdialené relácie so všetkými počítačmi. Aby som to mohol urobiť, musím poskytnúť poverenia na pripojenie k počítačom, ako aj vytvoriť samotné relácie pomocou cmdlet New-PSSession.

Najprv použijem cmdlet Get-Credentials a uložte vrátený objekt do premennej $ cred.

$ cred = Get-Credential iammred \ administrátor

$ session = New-PSSession -cn $ cn.name -cred $ cred

Upozorňujeme, že doména môže mať vypnuté počítače, takže príkaz môže vrátiť chyby. Napriek chybám však Windows PowerShell vytvára relácie s pracovnými počítačmi.

Prítomnosť veľkého počtu chýb môže vyvolať určité obavy. Keďže objekty relácie sú uložené v premennej $ sessions, môžem ľahko overiť, či sú vytvorené.

Teraz spustite príkaz na všetkých vzdialených počítačoch

Na spustenie príkazu GPUpdate na všetkých vzdialených počítačoch používam cmdlet Invoke-Command... Používa relácie, ktoré sme uložili do premennej $ sessions. Alias pre cmdlet Invoke-Command – icm.

icm -Session $ session -ScriptBlock (gpupdate / force)

Po spustení príkazu sa výsledky zobrazia v konzoly windows PowerShell.

Overenie aktualizácií skupinovej politiky

Keď je zapnuté pracovná stanica nastavenia skupinovej politiky sú úspešne aktualizované, do systémového denníka je zapísaná udalosť ID 1502. Môžem použiť cmdlet Invoke-Command za túto informáciu.

icm -Session $ session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Najnovšie 1)

Príkaz a jeho výsledky sú znázornené na obrázku nižšie.

Ďalšia skvelá vec týkajúca sa skupinovej politiky

Niekedy musím zavolať na technickú podporu a požiadajú o aktualizáciu skupinovej politiky na mojom lokálnom počítači. To nie je problém, pretože môžem bežať GPUpdate priamo z PowerShell. Problém nastáva, keď ma požiadajú o aktualizáciu skupinovej politiky 5-krát s intervalom 5 minút. Ale to sa dá vyriešiť jedným riadkom kódu.

1..5 | % („Obnovenie GP $ (Get-Date)“; gpupdate / sila; spánok 300)

Ed Wilson, Microsoft Scripting Guy

originál:

V tomto článku vám ukážeme jednoduchý spôsob, ako vzdialene aktualizovať skupinové politiky na klientoch (počítačoch a serveroch) v doméne Active Directory bez toho, aby ste museli pristupovať ku konzole na vzdialenom počítači a bez použitia príkazu gpupdate.

Jednou z najťažších výziev v správe skupinovej politiky AD je testovanie politík za behu, bez reštartovania počítača alebo prístupu k lokálnemu počítaču a spustenia príkazu.

Vzdialená aktualizácia skupinovej politiky poskytuje možnosť používať jedinú GPO Management Console (GPMC.msc) na vytváranie, úpravu, aplikovanie a testovanie skupinovej politiky.

Funkcia vzdialenej aktualizácie skupinových politík sa prvýkrát objavila v spoločnosti Microsoft Windows Server 2012, vo všetkých nasledujúcich verziách (Windows Server 2016, Microsoft Windows 10), táto funkčnosť a jej stabilita sa postupne zlepšovali.

Požiadavky na fungovanie vzdialenej aktualizácie skupinovej politiky:

Požiadavky na prostredie servera:

Windows Server 2012 a vyšší
Alebo Windows 10 s nainštalované nástroje správa RSAT (nástroje na správu)

Požiadavky na klientov:

Windows 7 a vyššie

Požiadavky na sieťovú komunikáciu (firewally) medzi serverom a klientmi

TCP port 135 musí byť otvorený
Vrátane servisu Správa systému Windows Prístrojové vybavenie (servis Správa systému Windows)
Služba plánovača úloh (služba plánovača úloh)

Ak vaše prostredie spĺňa tieto požiadavky, otvorte Group Policy Management Console (GPMC.msc), vyberte OU (kontajner), ktorý obsahuje cieľové počítače, na ktorých chcete vynútiť aktualizáciu GPO.

Kliknite pravým tlačidlom myši požadovanú nádobu a vyberte položku Aktualizácia skupinovej politiky.

V okne, ktoré sa otvorí, sa objaví informácia o počte objektov v tomto OU, na ktorých sa bude GPO aktualizovať. Akciu potvrdíte kliknutím na tlačidlo „Áno“.

V okne Výsledky aktualizácie vzdialenej skupinovej politiky uvidíte stav aktualizácie politiky, ako aj stav tejto operácie (úspech / chyba, kód chyby). Prirodzene, ak je počítač vypnutý alebo je prístup k nemu obmedzený bránou firewall, objaví sa zodpovedajúca chyba.

Konfiguráciou politiky aktualizácií systému Windows 10 sa konfiguruje spôsob prijímania aktualizácií v systéme Windows 10. V systéme Windows 10 boli nastavenia aktualizácie presunuté z ovládacieho panela do časti Nastavenia systému. Windows 10 nemá rovnaké nastavenia ako v ovládacom paneli, a preto nebolo možné zakázať aktualizácie alebo zvoliť spôsob ich prijímania. Na vypnutie aktualizácií a nastavenie spôsobu ich prijímania však môžete použiť Editor databázy Registry a Editor miestnej politiky skupiny.

Konfigurácia aktualizácií pomocou Editora miestnej politiky skupiny

Spustite Editor miestnej politiky skupiny stlačením dvoch kláves na klávesnici naraz WIN + R gpedit.msc a kliknite na tlačidlo OK.

Zásady skupiny pre inováciu systému Windows 10

Konfigurácia počítača - Šablóny pre správu - súčasti systému Windows- Aktualizácia systému Windows... Kliknite na poslednú položku Windows Update a potom na pravej strane nájdite položku Prispôsobenie automatická aktualizácia a zmeniť jeho nastavenia.

Konfigurácia zásad skupiny aktualizácií systému Windows 10

Ak to chcete urobiť, v okne, ktoré sa otvorí, musíte umiestniť bodku hore na položku Povolené a potom nastaviť nastavenia aktualizácie nižšie. Kliknite na tlačidlo OK. Potom otvorte, aby nastavenia, ktoré ste vykonali, fungovali Systémové nastavenia - Aktualizácia a zabezpečenie - Windows Update a stlačte tlačidlo Hľadajú sa aktualizácie.

Po dokončení nastavenia Zásady systému Windows 10, spustite aktualizáciu

Potom sa prejavia nastavenia, ktoré ste vykonali v Editore lokálnych zásad skupiny.

Konfigurácia aktualizácií pomocou Editora databázy Registry

Spustite Editor databázy Registry stlačením dvoch kláves na klávesnici naraz WIN + R... Otvorí sa okno Spustiť, do ktorého zadáte príkaz regedit a kliknite na tlačidlo OK.

Otvorte Editor databázy Registry a vytvorte štyri parametre na ovládanie Aktualizácie systému Windows 10

V ľavej časti okna editora, ktoré sa otvorí, otvorte HKEY_LOCAL_MACHINE - SOFTWARE - Zásady - Microsoft - Windows... Umiestnite kurzor myši na poslednú položku systému Windows a kliknite pravým tlačidlom myši. V kontextovej ponuke, ktorá sa otvorí, vyberte Vytvoriť - Sekcia. Nová sekcia názov Aktualizácia systému Windows.
Potom umiestnite kurzor myši na novovytvorenú sekciu WindowsUpdate a znova vytvorte sekciu s názvom AU.
Potom umiestnite kurzor myši na novovytvorenú sekciu AU a kliknite pravým tlačidlom myši a vyberte Novinka – parameter DWORD (32-bitový)... Novovytvorený parameter sa zobrazí na pravej strane okna, pomenujte ho AUOptions... Rovnakým spôsobom, keď umiestnite kurzor myši na sekciu AU, vytvorte ďalšie tri parametre a pomenujte prvý Bez automatickej aktualizácie, druhý ScheduledInstallDay a tretí ScheduledInstallTime(voliteľné NoAutoRebootWithLoggedOnUsers). Teraz tieto štyri nové parametre potrebujú zmeniť hodnotu.

Pre parameter AUOptions

2 - Získajte upozornenia pred inštaláciou a stiahnutím akýchkoľvek aktualizácií.
3 - Automaticky dostávať aktualizácie a upozornenia o ich príprave na inštaláciu.
4 - Automaticky prijímať a inštalovať aktualizácie podľa určeného plánu.
5 - Umožnite miestnym správcom vybrať si režim aktualizácie a upozornenia.

Pre parameter NoAutoUpdate

0 - Povolené automatická inštalácia aktualizácie, ktoré sa stiahnu a nainštalujú v závislosti od nastavení vykonaných v parametri AUOptions.
1 - Automatická inštalácia aktualizácií je zakázaná.

Pre parameter ScheduledInstallDay

0 - aktualizácie budú inštalované denne s hodnotou 4 pre parameter AUOptions.
1 - aktualizácie budú inštalované každý pondelok s hodnotou 4 pre parameter AUOptions.
2 - aktualizácie budú inštalované každý utorok s hodnotou 4 pre parameter AUOptions.
3 - aktualizácie budú inštalované každú stredu s hodnotou 4 pre parameter AUOptions.
4 - aktualizácie budú inštalované každý štvrtok s hodnotou 4 pre parameter AUOptions.
5 - aktualizácie budú inštalované každý piatok s hodnotou 4 pre parameter AUOptions.
6 - aktualizácie budú inštalované každú sobotu s hodnotou 4 pre parameter AUOptions.
7 - aktualizácie budú inštalované každú nedeľu s hodnotou 4 pre parameter AUOptions.

Pre parameter ScheduledInstallTime

Od 0 do 23 sa aktualizácie nainštalujú v tomto počte hodín, v závislosti od nastaveného parametra a keď je parameter AUOptions nastavený na 4.

Pre parameter NoAutoRebootWithLoggedOnUsers

0 - Po dokončení inštalácie aktualizácií sa počítač automaticky reštartuje, pracuje s hodnotou 4 pre parameter AUOptions.
1 - Po dokončení inštalácie aktualizácií sa počítač automaticky nereštartuje, pracuje s hodnotou 4 pre parameter AUOptions.

· Bez komentára

Aktualizujú sa nastavenia zásad skupiny Microsoft Zásady skupiny systému Windows na lokálnom počítači nie je veľmi ťažké vykonať pomocou nástroja, ako je Gpupdate, ale aktualizovať tieto zásady na vzdialené počítače v doméne, nemožno vykonať pomocou konzoly Vedenie spoločnosti Microsoft Management Console (MMC) alebo akýkoľvek produkt spoločnosti Microsoft, ktorý je momentálne dostupný. V tomto článku vás prevediem rôznymi trikmi, scenármi a bezplatné nástroje ktoré vám umožňujú aktualizovať nastavenia skupinovej politiky na vzdialených počítačoch v doméne.

Úvod

Väčšina administrátorov si uvedomuje problém uplatňovania skupinovej politiky na vzdialené počítače. Po nakonfigurovaní niektorých dôležitých zásad by sme niekedy chceli, aby sa táto skupinová politika GP okamžite objavila na klientskych počítačoch. Problém je ale v tom, že takzvané spracovanie na pozadí prebieha štandardne iba v intervale od 90 do 120 minút (náhodne) – ak chceme urýchliť proces aktualizácie, tak sme tu sami. Samozrejme, existuje dôvod, prečo sa pravidlá jednoducho neaktualizujú každých päť minút alebo dokonca v reálnom čase. Zaťaženie radičov domény a siete vo väčšine prostredí bude príliš ťažké na zvládnutie. Ak však vznikne potreba rýchlej aplikácie, veľmi dôležité nastavenie pre bezpečnosť pre Vysoké číslo klientov, bolo by fajn sa na takúto situáciu pripraviť.

Čo skutočne potrebujeme, je umožniť správcovi aktualizovať politiky na počítačoch Počítač1, Počítač2 a/alebo Počítač3 – ako aj politiky pre používateľov A, B a C z centralizovaného bodu – pracovnej stanice správcu, v prípade, že to bude správca považovať za potrebné. .... Pozrite si obrázok 1.

Obrázok 1: Scenár

Máme skvelý nástroj s názvom Gpupdate, ktorý je zabudovaný do Microsoft Windows XP a novších operačných systémov – a tiež máme nástroj s názvom Secedit pre operačný systém. systémy Windows 2000 - ale bohužiaľ príkaz Gpresult pre nástroje Gpupdate a Secedit je možné spracovať iba na lokálnych počítačoch. Samozrejme, už máme nakonfigurovaný inštalačný systém, ako je Microsoft Systems Management Server (SMS), môžeme tento systém použiť na odosielanie malých skriptov, ktoré spustia požadovaný príkaz pre skupinu používateľov alebo počítačov.

Ak vaša sieť takýto systém nemá, mali by ste vyskúšať kreatívnejšie prístupy. alternatívou je ísť ku všetkým požadované počítače pomocou nástroja, ako je Pomoc na diaľku, alebo rozoslanie všetkým používateľom email s požiadavkou na spustenie príkazu Gpupdate ... Hľadajte teda kreatívnejšie prístupy.

Problémy

Predtým, ako sa ponorím do podrobností, chcem spomenúť bežné problémy s ktorými sa ľudia stretávajú, keď sa pokúšajú použiť metódy uvedené v tomto článku.

Problémy s bránou firewall:

Rovnako ako pri iných pripojeniach iniciovaných v sieti, pakety, ktoré sa pokúšajú aktualizovať nastavenia politiky na vzdialených počítačoch, nebudú môcť prejsť lokálnou bránou firewall na vzdialených počítačoch (ako je brána firewall zabudovaná v operačnom systéme Windows, počnúc službou Windows XP Service Pack 2 alebo novší), ak brána firewall nie je nakonfigurovaná tak, aby umožňovala takúto prichádzajúcu komunikáciu (z vybranej podsiete, adresy IP alebo podobne). Vstavaná brána firewall v systéme Windows musí byť nakonfigurovaná tak, aby umožňovala prichádzajúcu komunikáciu, ktorú generujeme pomocou objektu skupinovej politiky, takže akokoľvek ironicky to znie, táto zásada je jediná, ktorú nemôžeme použiť pre vzdialené počítače s povolenou bránou firewall.

Nastavenia politiky, ktoré je potrebné nastaviť pre všetky metódy uvedené v tomto článku, sú nasledovné:

Ostatné zariadenia, ktoré fungujú ako firewally medzi centrálnym počítačom a vzdialenými počítačmi, musia tiež rešpektovať vyššie uvedené nastavenia (pozri test pomocníka pre spomínanú politiku v GPEDIT.MSC).

Správcovské práva:

Používateľ, ktorý iniciuje proces na vzdialenom počítači, musí mať na ňom práva lokálneho správcu – inak nebude všetko fungovať tak, ako očakávate.

Potom, čo ste sa o toto všetko postarali, prejdime k samotným metódam.

Skriptovanie

Skripty sú bezplatné a široko distribuované medzi softvérovými špecialistami. informačné technológie na internete je skutočne „Open Source“. Spoločnosť Microsoft nám poskytla niekoľko vstavaných funkcií, ktoré nás posilňujú operačný systém a prostredia – v tomto článku vám ukážeme, ako môžete použiť tieto možnosti na vzdialenú aktualizáciu pravidiel GP.

Gpupdate & secedit

Ako prvé musíme spomenúť nástroje Gpupdate a Secedit, bez týchto nástrojov by nebolo možné nič z nasledujúceho. Všetky skripty a nástroje, ktoré sú tu uvedené, predpokladajú, že jeden z týchto nástrojov je nainštalovaný na vzdialenom klientovi v závislosti od verzie operačného systému. Ako už bolo spomenuté vyššie, nástroj Secedit je súčasťou operačného systému Windows 2000 a nástroj Gpupdate bol prevzatý z operačného systému Windows XP a vyššie, dokonca je prítomný aj v operačnom systéme Longhorn ako teraz. V nasledujúcich skriptoch sa zameriam na Gpupdate – pred spustením Gpupdate alebo Secedit môžeme skontrolovať verziu operačného systému, no túto kontrolu je možné bez väčších problémov pridať aj neskôr.

Súbor Gpupdate.exe sa štandardne nachádza v priečinku „% windir% \ system32“, takže nepotrebujeme poznať absolútnu cestu k jeho umiestneniu na vzdialenom počítači. Nástroj je možné vyvolať pomocou súboru rôznych kláves:

Syntax: Gpupdate

V našich skriptoch typu „urob si sám“ pre aplikácie HTML (HTA) a Windows Management Instrumentations (WMI) sa zameriame na spustenie Gpupdate bez kľúčov – buď s „/ Taget: Computer“ (na aktualizáciu politík špecifických pre počítač) alebo „/ Cieľ: Používateľ “(na aktualizáciu pravidiel špecifických pre používateľa). Iné možnosti je možné povoliť s trochou práce - ale skutočne potrebujeme „/ Logoff“ alebo „/ Boot“? To znamená, že používatelia sa môžu v prípade potreby odhlásiť (nastavenie softvér, zmena priečinkov atď.) alebo môžete dokonca vyžadovať reštart počítača, kým používateľ pracuje. Je toto naozaj to, čo potrebujeme? V každom prípade môžeme na tento účel použiť aj nástroj ako Shutdown.exe - takže môj názor nebude príliš populárny.

PsExec

Prvá metóda, o ktorej chcem hovoriť, je veľmi jednoduchá na použitie a vyžaduje len malé alebo žiadne programátorské zručnosti. Načo vymýšľať niečo, čo už je vymyslené, že? Nástroj s názvom PsExec vyvinul Mark Russinovich, bývalý vlastník spoločnosti Sysinternals, ktorá bola odkúpená spoločnosťou Microsoft v júli 2006. Verzia 1.73 je teraz k dispozícii a možno si ju stiahnuť z webovej lokality Microsoft Technet.

Nástroj PsExec je skvelý, keď prichádza o vzdialené vykonávanie, hlavne kvôli tomu, že nevyžaduje inštaláciu agentov na vzdialený počítač. Stačí zadať názov počítača a príkaz, ktorý musíte spustiť spolu s prepínačmi v príkazovom riadku - a je to!

Malý trik je vložiť súbor PsExec.exe do adresára "% windir%", pretože v tomto prípade pri spúšťaní z príkazového riadku nemusíme zadávať úplnú cestu k tomuto súboru.

Aby sme mohli aktualizovať skupinové politiky na vzdialenom počítači, všetko, čo musíme urobiť, je nastaviť „Computername“ (názov počítača) v nasledujúcom príkaze: „PsExec \\ Computername Gpupdate“. Používateľ, ktorý pracuje na vzdialenom počítači, ani nebude vedieť, čo sa stalo, ale na pozadí príkaz Gpupdate aktualizuje politiky pre používateľa a pre počítač a použije všetky stratené nastavenia. Možno si myslíte, že príkaz PsExec je potrebné spustiť s prepínačom -i, aby sa aktualizovali pravidlá špecifické pre používateľov pre vzdialených používateľov, ale testovanie ukazuje, že to nie je potrebné.

Skript FLEX COMMAND

Vyššie uvedená metóda vám teda umožňuje aktualizovať zásady pre jedného používateľa alebo počítač, ale čo tak aktualizovať celú organizačnú jednotku (OU) pomocou PsExec a Gpupdate spolu? Na tento účel som vytvoril demo skript, aby som ukázal niektoré z možností, ktoré môžeme využiť prostredníctvom skriptovania. Skript sa volá FLEX COMMAND a môžete si ho stiahnuť tu. Súbor s príponou HTA môžete jednoducho otvoriť pomocou textový editor napíšte Poznámkový blok a uvidíte kód, žiadna skrytá mágia.

Keď sa FLEX COMMAND spustí, pripojí sa k AD doméne Active Directory počítača, na ktorom je spustený. Preto musí byť vykonaný na počítači, ktorý je členom domény, inak sa OU nenájde.

Vyberte OU, nástroj by mal byť spracovaný na strojoch, ktoré sú „živé“ (reagujú na požiadavky WMI). Posledná vec, ktorú treba urobiť, je vložiť príkazový riadok, ktorý chceme spustiť na lokálnom počítači pre každý objekt nachádzajúci sa vo vybranej OU. Textový riadok „(C)“ musí zostať tak, ako je. pri spustení skriptu bude nahradený názvom počítača.

Obrázok 2: FLEX COMMAND v akcii

Predpokladajme, že OU s názvom „Moje počítače“ obsahuje iba 3 počítače: Počítač1, Počítač2 a Počítač3. Príkaz, ktorý sme zadali „psexec \\ (C) gpupdate“ sa potom preloží do 3 nasledujúcich príkazov: „psexec \\ computer1 gpupdate“, „psexec \\ computer2 gpupdate“, „psexec \\ computer3 gpupdate“ – všetky príkazy sa vykonajú postupne (ak sú počítače "nažive") a vymazané politiky budú aktualizované.

Nástroj je možné upraviť tak, že zoznam počítačov bude pochádzať zo súboru (txt, csv, xls atď.), databázy, špeciálnej bezpečnostnej skupiny v AD, pomocou manuálneho výberu zo zoznamu. Zmeniť sa dá aj spôsob spúšťania skriptu, ide len o demo skript, ktorého hlavným účelom je ukázať schopnosti, ktorými disponujeme.

Skript je distribuovaný bezplatne a môžete ho testovať, používať a upravovať podľa vlastného uváženia - podrobnosti.

Windows Management Instrumentation (WMI)

Ok, nástroj PsExec je naozaj skvelý, ale existujú nejaké manuálne metódy, ktoré môžem použiť na lepšie prispôsobenie riešenia pre moje prostredie? Áno, v skutočnosti existuje! WMI je veľmi výkonný a ľahko použiteľný po niekoľkých hodinách štúdia. Ak vlastníte WMI a máte v poriadku oprávnenia brány firewall a práva správcu, môžete v ňom robiť takmer všetko Prostredie Windows prostredie - aj vzdialené vypnutie počítača, reštart a vykonávanie vzdialených príkazov.

Vytvoril som ďalší skript na účely ukážky s názvom OU GPUPDATE. Tento skript HTA používa niekoľko rôzne techniky Je to vlastne malá modifikácia skriptu FLEX COMMAND. Najprv analyzuje štruktúru OU v AD (horný rozbaľovací zoznam), dáva používateľom možnosť vybrať si počítače z OU, spustiť Gpupdate s „/ Target: User“ alebo „/ Target: Computer“ alebo bez parametrov na všetky. Predvolene budú ovplyvnené iba živé počítače (ktoré reagujú na požiadavky WMI).

Obrázok 3: Vyberte, čo je potrebné aktualizovať – Používateľské nastavenia, Nastavenia počítača alebo oboje

Tento skript je zadarmo a môžete ho testovať, používať a upravovať podľa vlastného uváženia.

Vzdialené skriptovanie

Okrem WMI máme možnosť využívať konvenčné vzdialené skriptovanie (VBScript). Dá sa to povoliť nastavením len jednej hodnoty v časti HKLM registra počítača a skriptovací mechanizmus musí podporovať vzdialené skriptovanie a od tohto bodu je všetko ostatné celkom zrejmé. Postup je skopírovať súbor skriptu do vzdialeného počítača (tento skript musí používať Gpupdate) a potom odoslať príkaz VBScript, ktorý spustí skript na diaľku.

RGPREFRESH

RGPREFRESH je nástroj vyvinutý Darenom Mar-Elom. Jeho nástroj používa WMI a spúšťa buď Secedit alebo Gpupdate v závislosti od operačného systému na vzdialenom počítači, pričom kľúče si vyberie používateľ. Tieto klávesy vám poskytujú rovnaké možnosti ako pri lokálnom používaní tohto nástroja.

Tento nástroj spracováva jeden stroj naraz, ale spolu s nástrojom s názvom FLEX COMMAND (ako shell) je možné tento nástroj použiť pre celú OU pomocou niekoľkých kliknutí ... RGPREFRESH aj PsExec je možné použiť aj s DSQUERY , FOR a ďalšie pomocné programy príkazového riadku na viac ako jednom počítači súčasne.

Obrázok 4: Parametre pre RGPREFRESH

Tento nástroj si môžete bezplatne stiahnuť z tejto stránky.

Specops Gpupdate

Special Operations Software, Specops, medzinárodný výrobca softvéru, ponúka softvérové produkty Aktívne riadenie Adresár založený na technológii skupinovej politiky. Spoločnosť vydala svoje vlastné riešenie pre vzdialené aktualizácie zásad a najlepšie na tom je, že je úplne zadarmo. Aktuálna verzia Specops Gpupdate je 1.0.2.13 (2006-10-25) a samotný nástroj si môžete stiahnuť tu. Tento nástroj má nielen funkcie, ktoré sme vyvinuli v scenároch uvedených vyššie, ale pridáva aj niekoľko možností ovládania. Poďme sa pozrieť na túto skvelú pomôcku...

Inštalácia Specops Gpupdate

Inštalácia aplikácie MSI je veľmi jednoduchá – všetko, čo potrebuje, sú používatelia a počítače MMC Active Directory Users & Computers (ADUC), ako aj Microsoft .NET Framework verzie 2.0.

Obrázok 5: Proces inštalácie je rovnako jednoduchý ako inštalácia balíky MSI(kliknite na ďalší, ďalší, ďalší)

Po inštalácii súbor MSI v grafické rozhranie nič nezmení GUI a iba pomocou „Pridať / odstrániť programy“ môžete zistiť, že na našom počítači je nainštalovaný Specops. Preto musíme urobiť ďalšiu prácu pre magickú transformáciu ...

Rozšírenie pre používateľov a počítače služby Active Directory

Po inštalácii Specops Gpupdate v AD Forest musíte spustiť špeciálny príkaz

“% CommonProgramFiles% \ Specopssoft \ Specops ADUC Extension \ SpecopsAducMenuExtensionInstaller.exe” / add

Toto nie je aktualizácia schémy, aj keď na spustenie tohto príkazu musíte mať práva podnikového správcu. Tento príkaz je úplne reverzibilný, stačí ho znova spustiť pomocou prepínača „/ remove“. Všetko, čo robí, je registrovať takzvané „Display Specifiers“ na zlepšenie zobrazenia pomocou ADUC.

Potom kliknite pravým tlačidlom myši na objekt OU alebo Počítač a zobrazia sa štyri nové príkazy: Gpupdate, Reštartovať, Vypnúť a Spustiť. Podržaním klávesu a stlačením pravého tlačidla myši na potrebných objektoch je možné vykonať výber viacerých počítačov a OU.

Obrázok 6: ADUC MMC rozšírené

Ak máte, rovnako ako ja, otázku, či je možné zmeny aplikovať aj na radiče domény bez DC, odpoveď je áno! Po inštalácie systému Windows Server 2003 Admin Pack Service Pack 1 Balík nástrojov na správu zapnutý Windows klient XP Professional, .NET Framework 2.0 a Specops Gpupdate, konzola na správu vyzerá rovnako ako na DC a má rovnaké možnosti.

Možnosti Gpupdate

Prvý parameter, ktorý máme, nám umožňuje spustiť príkaz Gpupdate na diaľku na vybraných počítačoch. Po výbere Gpupdate musíme potvrdiť výber, ako je znázornené na obrázku 7, a zaškrtnúť možnosť použiť silu, ak chceme použiť nastavenie zisku.

Obrázok 7

Po kliknutí na tlačidlo OK sa zobrazí dynamický graf, viď obrázok 8, ako aj správa o stave priebehu aktualizácie.

Obrázok 8

Možnosti reštartu a vypnutia

Nasledujúce dva parametre, 'Restart' a 'Shutdown', sú veľmi dôležité na ovládanie, takže ich potrebujeme priamo v ADUC. Môžeme spustiť príkaz reštart alebo vypnutie a tiež nastaviť časový interval v sekundách, ktorý je daný používateľovi na vypnutie všetkého. spustených aplikácií... Napísať skript, ktorý robí všetko to isté, nie je veľmi ťažké pomocou WMI alebo pomocou príkazu Shutdown.exe so správnymi kľúčmi, ale vďaka Specops Gpupdate túto funkciu získame úplne zadarmo, bez času a námahy.

Obrázok 9: Dialógové okno Reboot Message

Parameter spustenia Posledný zo štyroch parametrov sa nazýva „Štart“ a v skutočnosti ide o funkciu Wake on LAN alebo WOL zabudovanú do ADUC. Po výbere a potvrdení tohto parametra, pozri obrázok 10, bude odoslaný tzv. Magic packet MAC adresy klientske počítače a sťahovanie začne. Aby WOL fungovala, musí byť podporovaná zodpovedajúca funkčnosť BIOS počítačov... Specops Gpupdate spolupracuje so servermi Microsoft DHCP v spoločnosti, aby našiel informácie potrebné na spustenie tohto procesu, takže je možné prebudiť klientov DHCP a iba v sieti s nainštalované servery Microsoft DHCP.

Obrázok 10: Potvrďte Start Remote WOL

Mimochodom, pre WOL môžete použiť aj skripty, príklady takéhoto kódu sú nad rámec tohto článku.

Záver

Pozreli sme sa na niekoľko spôsobov, ako môžete aplikovať skupinové politiky na vzdialené počítače. Ktorá metóda je pre vás najlepšia, závisí od vášho prostredia. Osobne milujem skriptovanie, ale prečo tvrdo pracovať na tom, čo už vytvorili iní ľudia? Na túto otázku mám dve odpovede. Po prvé, pri písaní takýchto skriptov sa učíme a po druhé - špeciálne podmienky alebo na mieru. Skriptovanie zlepšuje naše zručnosti ako IT profesionálov a tiež umožňuje prispôsobenie hotové riešenia aby lepšie vyhovovali konkrétnym podmienkam.

Specops sa vyvinul veľmi dobre bezplatná pomôcka, ktorý vykonáva hlavné funkcie aktualizácie politík na sieťových klientov... Odporúčam vyskúšať!

Zdroj www.windowsecurity.com