След промени в GPO отнема известно време (90 минути +/- 30), за да се разпространят в други системи, но ако трябва да бъдат приложени спешно, администраторът влиза в отдалечената система и изпълнява командата „ gpupdate" При голям брой компютри процесът отне известно време и самият процес беше неудобен. Сега можете да забравите за това. В конзолата за управление на групови правила (GPMC) контекстно менюдомейн и подразделение има нов елемент “ Актуализация на груповата политика” (Актуализация на групови правила) ви позволява да актуализирате системните политики, започвайки с Windows Vista/2008 с две кликвания на мишката. След активиране на задачата ще бъде получен списък с компютри и регистрирани потребители, след което задачата “ Gpupdate.exe /force" За да се избегне претоварване на мрежата, то ще се извършва с произволно закъснение в диапазона от 0-10 минути. Резултатът от задачата се показва в отделен прозорец; успехът на актуализацията може да се определи с помощта на получения съветник за политика.
Новата функция получи и собствен cmdlet - Invoke-GPUpdate, което ви позволява отдалечено да актуализирате GP и предоставя още по-големи възможности от GPMC. Между другото, сега 27 cmdlets са отговорни за груповите политики, т.е. още един (получи пълен списъкможете да въведете " Get-Command -Module GroupPolicy«).
За да актуализирате незабавно правилата на конкретна система, просто изпълнете:

PS> Invoke-GPUpdate -Компютър< имя компьютера>

Допълнителен ключ – Случайно закъснение в минутиви позволява да зададете интервал на изчакване, което е полезно, ако командата ще бъде изпълнена на множество системи.
Но основното е, че в конзолата на GPMC можете да изберете само разделение; там няма отделен контейнер за компютри. Тук на помощ идва Invoke-GPUpdate, който заедно с cmdlet Get-ADComputer ви позволява да избирате системи по всеки критерий:

PS> Get-ADComputer –filter * -Searchbase "cn=computers, dc=example,dc=org" | foreach( Invoke-GPUpdate –computer $_.name –force –-RandomDelayInMinutes 5)

| Повече ▼ важен момент, множество портове на защитна стена трябва да бъдат отворени на клиентски системи. За да улесни живота на администратора, MS предложи 2 нови първоначални политики (към 8-те съществуващи), което ви позволява бързо да създавате и разпространявате необходими настройки:

- Портове за защитна стена за отдалечена актуализациягрупова политика;
- Портове на защитната стена за отчети за групови правила.

Целта им е ясна от името. Ние се интересуваме от първото. Препоръчва се да се създаде нов обект Group Policy и го преместете най-отгоре, като по този начин му дадете по-висок приоритет от GPO на домейна по подразбиране.
Процесът е прост. Изберете домейна и изберете „Създаване на GPO в този домейн“ от менюто. В прозореца, който се показва, въведете името и изберете от списъка „Портове на защитната стена за отдалечено актуализиране на групови правила“. Като алтернатива можете да използвате PowerShell.

Реших, че трябва да напиша кратка статия, която може и трябва да бъде цитирана доста често. И темата за тази статия е как да актуализирате групова политика.

Защо е необходимо ръчно да актуализирате политика?

Кога това може да е полезно? Почти винаги, когато промените някой параметър в която и да е политика. Не, не мислете, че политиката трябва да се актуализира само ръчно. Всъщност той се актуализира автоматично. Веднъж на час и половина! Представете си, че сте променили някаква политика и изчакайте час и половина, за да проверите дали работи точно както искате. Брад, нали?

Естествено, глупости. Следователно има начин да принудите компютъра да актуализира груповите правила ръчно. И преди това малко теория. Както знаете, политиците се делят на две големи групи:

• компютърни политики
• потребителски политики

Политиките от първата група важат за всички потребители на компютъра, докато политиките от втората група важат само за отделните потребители. Така че, когато компютърът се стартира, груповите политики се зареждат незабавно. Освен това всички политики се четат от нулата, което гарантира, че се прилагат най-новите промени. Но потребителските политики се проверяват и зареждат, когато потребителят влезе в системата.

Като знаете тези факти, ето вашето решение. За да влязат в сила промените в потребителската политика, излезте и влезте отново. Ако трябва да актуализирате правилата на компютъра си, рестартирайте компютъра си. шега.

Команда за актуализиране на местната групова политика

Описаните методи със сигурност ще доведат до желания резултат, но са доста глупави. В крайна сметка има една чудесна помощна програма командна линияозаглавен gpupdate.Като цяло, за да актуализирате груповата политика, е достатъчна следната команда:

Gpupdate /force

С това просто действие можете бързо да актуализирате правилата на вашия компютър.

В тази статия ще покажем лесен начин за дистанционно актуализиране на групови политики на клиенти (компютри и сървъри) на домейн Активна директория, без да се налага достъп до конзолата на отдалечената машина и без да използвате командата gpupdate.

Един от най-трудните проблеми при управлението на групови политики на AD е тестването на политики в движение, без рестартиране на компютъра или достъп до локалния компютър и изпълнение на командата.

Функцията Remote Group Policy Update предоставя възможност за използване на една конзола за управление на GPO (GPMC.msc) за създаване, редактиране, прилагане и тестване на групови правила.

Функционалността на отдалеченото актуализиране на групови правила се появи за първи път в Microsoft Windows Server 2012, всички следващи версии ( Windows сървър 2016, Microsoft Windows 10), тази функционалност и нейната стабилност са постепенно подобрени.

Изисквания за работа на актуализацията на отдалечената групова политика:

Изисквания към сървърната среда:

• Windows Server 2012 и по-нова версия
• Или Windows 10 с инсталирани инструменти за управление на RSAT

Изисквания към клиентите:

• Windows 7 и по-нова версия

Изисквания към работа в мрежа(защитни стени) между сървъра и клиентите

• TCP порт 135 трябва да е отворен
• Активирано Windows услугаИнструментариум за управление (услуга Управление на Windows)
• Услуга за планиране на задачи

Ако вашата среда отговаря на тези изисквания, отворете конзолата за управление на групови правила (GPMC.msc), изберете OU (контейнер), в който се намират целевите компютри, на които искате да принудите актуализацията на GPO.

Щракнете с десния бутон върху желания контейнер и изберете Актуализация на груповата политика.

В прозореца, който се отваря, ще се появи информация за броя на обектите в тази OU, на които ще се актуализира GPO. За да потвърдите действието, щракнете върху бутона „Да“.

В прозореца с резултати от актуализацията на отдалечена групова политика ще видите състоянието на актуализацията на политиката, както и състоянието на тази операция (успех/грешка, код на грешка). Естествено, ако компютърът е изключен или достъпът до него е ограничен от защитна стена, ще се появи съответната грешка.

· Без коментари

Актуализирането на настройките на Microsoft Windows Group Policy на локална машина не е много трудно да се направи с помощта на инструмент като Gpupdate, но актуализирането на тези правила на отдалечени компютрив домейн, не може да се направи с помощта на конзолата Управление на MicrosoftКонзола за управление (MMC), нито използване на налични днес продукти на Microsoft. В тази статия ще ви преведа през различни трикове, скриптове и безплатни инструменти, които ви позволяват да актуализирате настройките на груповата политика на отдалечени компютри в домейн.

Въведение

Повечето администратори са наясно с проблема с прилагането на групови политики към отдалечени компютри. След като конфигурираме някаква важна политика, понякога бихме искали груповата политика на GP да се появи на клиентските компютри незабавно. Но проблемът е, че по подразбиране т.нар фонова обработкасе случва само в интервала от 90 до 120 минути (произволно) - ако искаме да ускорим процеса на актуализиране, тогава тук сме оставени на произвола. Разбира се, има причина политиките да не се актуализират просто на всеки пет минути или дори в реално време. Натоварването на домейн контролерите и мрежата ще бъде твърде голямо за справяне в повечето среди. Но ако има нужда от бързо използване на много важна настройказа безопасността на голям брой клиенти би било добра идея да се подготвите за такава ситуация.

Това, от което наистина се нуждаем, е да предоставим възможност на администратора да актуализира политиките на Computer1, Computer2 и/или Computer3 - както и политиките за потребители A, B и C - от централизирана точка - работната станция на администратора - ако администраторът счита за необходимо. Вижте фигура 1.

Фигура 1: Сценарий

Имаме страхотен инструмент, наречен Gpupdate, който е вграден в Microsoft Windows XP и по-нови операционни системи - и имаме също инструмент, наречен Secedit за операционна система Windows 2000 - но за съжаление Екип на Gpresultза инструментите Gpupdate и Secedit могат да се обработват само на локални компютри. Разбира се, имаме вече конфигурирана инсталационна система, като сървър за управление системи на MicrosoftСървър за управление на системи (SMS), можем да използваме тази система за предаване на малки скриптове, които ще изпълнят необходимата команда на група потребители или компютри.

Ако вашата мрежа няма такава система, тогава трябва да опитате по-креативни подходи - защото... алтернативата е да отидеш на всичко необходими компютрис помощта на инструмент като отдалечена помощ ( Дистанционна помощ), или изпратете всички на потребителите електронна пощас молба да изпълните командата Gpupdate... Така че потърсете по-креативни подходи.

проблеми

Преди да навлезем в подробности, искам да спомена общи проблемипроблеми, които хората срещат, когато се опитват да използват методите, споменати в тази статия.

Проблеми със защитната стена:

Както при други връзки, които се инициират в мрежа, пакетите, които се опитват да актуализират настройките на правилата на отдалечени компютри, няма да могат да проникнат през локалната защитна стена на отдалечените компютри (като защитната стена, която е вградена в операционната система Windows, започваща с Windows XP Service Pack 2 и по-нова), освен ако защитната стена не е конфигурирана да позволява такъв входящ трафик (от избрана подмрежа, IP или нещо подобно). Вграден в операционната система Защитна стена на Windowsтрябва да бъде конфигуриран да позволява входящ трафик, който оформяме с помощта на обекта на груповата политика, така че по ирония на съдбата тази политика е единствената, която не можем да използваме за отдалечени компютри с активирана защитна стена.

Настройките на правилата, които трябва да бъдат зададени за всички методи, споменати в тази статия, са както следва:

Настройки на компютъра | Административни шаблони | Мрежа | Мрежови връзки | Защитна стена на Windows| Профил на домейн | „Защитна стена на Windows: Разрешаване на изключение за отдалечено администриране.“

Други устройства, които действат като защитна стена между централен компютъри отдалечените компютри също трябва да спазват горните настройки (вижте Помощния тест за споменатата политика в GPEDIT.MSC).

Администраторски права:

Потребителят, който инициира процеса на отдалечения компютър, трябва да има права на локален администратор на него - в противен случай нещата няма да работят както очаквате.

Сега, след като сте се погрижили за всичко това, нека да разгледаме самите методи.

Писане на сценарий

Скриптовете са безплатни и широко достъпни сред софтуерните специалисти. информационни технологииИнтернет е наистина „Отворен код“. Microsoft ни предостави няколко вградени възможности за разширяване на възможностите на операционната система и средата - в тази статия ще говорим за това как можете да използвате тези възможности за отдалечено актуализиране на груповите правила на GP.

Gupdate & Secedit

Първо трябва да споменем инструментите Gpupdate и Secedit, без тези инструменти нито едно от следните не би било възможно. Всички скриптове и инструменти, които са споменати тук, предполагат, че един от тези инструменти е инсталиран на отдалечения клиент, в зависимост от версията на операционната система. Както бе споменато по-горе, инструментът Secedit е включен в операционната зала Windows системи 2000 г. и инструментът Gpupdate е взет от операционната система Windows XP и по-нови, дори присъства в операционната система Longhorn, както е сега. В следващите сценарии ще се съсредоточа върху Gpupdate - можем да проверим версията на операционната система, преди да стартираме Gpupdate или Secedit, но тази проверка може да бъде добавена по-късно без много затруднения.

Файлът Gpupdate.exe се намира в папката „%windir%\system32“ по подразбиране, така че не е необходимо да знаем абсолютния път до местоположението му на отдалечената машина. Инструментът може да бъде извикан с набор от различни ключове:

Синтаксис: Gpupdate

В нашите Направи си сам скриптове за HTML приложение (HTA) и инструменти за управление на Windows (WMI) ще се съсредоточим върху стартирането на Gpupdate без превключватели – или с превключвателите „/Taget:Computer“ (за актуализиране на специфични за компютъра правила) или „/ Target :Потребител” (за актуализиране на специфични за потребителя политики). Други опции могат да бъдат активирани с малко работа - но наистина ли имаме нужда от "/Logoff" или "/Boot"? Това означава, че потребителите могат да излязат, ако е необходимо (настройка софтуер, промяна на папки и т.н.) или дори може да изисква рестартиране на компютъра, докато потребителят работи. Това наистина ли ни трябва? Във всеки случай можем да използваме и инструмент като Shutdown.exe за тези цели - така че моето мнение е, че няма да е много популярен.

PsExec

Първият метод, за който искам да говоря, е много лесен за използване и на практика не изисква умения за програмиране. Защо да измисляме нещо, което вече е измислено, нали? Инструментът, наречен PsExec, е разработен от Марк Русинович, бивш собственик на Sysinternals, която беше придобита от Microsoft през юли 2006 г. В момента е налична версия 1.73 и може да бъде изтеглена от уебсайта на Microsoft Technet.

Инструментът PsExec е страхотен, когато става въпрос за дистанционно изпълнение, главно поради факта, че не изисква инсталиране на агенти на отдалечения компютър. Просто трябва да посочите името на компютъра и командата, която да се изпълни заедно с превключвателите на командния ред - това е!

Малък трик е да поставите файла PsExec.exe в директорията „%windir%“, защото в този случай не е необходимо да посочваме пълния път до този файл, когато го изпълняваме от командния ред.

За да актуализираме груповите правила на отдалечена машина, всичко, което трябва да направим, е да посочим „Име на компютъра“ в следната команда: „PsExec \\Име на компютъра Gpupdate“. Потребителят, който работи на отдалечената машина, дори няма да разбере какво се е случило, но заден планКомандата Gpupdate ще актуализира правилата за потребителя и компютъра и ще приложи всички загубени настройки. Може да мислите, че командата PsExec трябва да се изпълни с превключвателя -i, за да актуализира специфичните за потребителя правила за отдалечени потребители, но тестването показва, че това не е необходимо.

Скрипт FLEX COMMAND

И така, методът, споменат по-горе, ви позволява да актуализирате политиките за отделен потребител или компютър, но какво ще кажете за актуализирането на цялата организационна единица (OU) благодарение на споделяне PsExec и Gpupdate? За тези цели създадох демонстрационен скрипт, за да покажа някои от възможностите, от които можем да се възползваме чрез скриптове. Скриптът се нарича FLEX COMMAND и може да бъде изтеглен от тук. Можете лесно да отворите файл с разширение HTA, като използвате текстов редакторхаресайте Notepad и вижте кода, няма скрита магия.

Когато FLEX COMMAND стартира, той се свързва с домейна на Active Directory AD на компютъра, на който работи. Следователно трябва да се изпълни на компютър, който е член на домейн, в противен случай OU няма да бъде намерен.

Изберете OU, инструментът трябва да се обработва на машини, които са „на живо“ (отговарящи на WMI заявки). Последното нещо, което трябва да направите, е да поставите командния ред, на който искаме да изпълним локален компютър, за всеки обект, разположен в избраната организационна единица ОУ. Текстовият ред „(C)“ трябва да бъде оставен, защото то ще бъде заменено от името на компютъра, когато скриптът се изпълни.

Фигура 2: FLEX COMMAND в действие

Да приемем, че OU, наречено „MyComputers“, съдържа само 3 компютъра: Computer1, Computer2 и Computer3. Командата, която въведохме, “psexec \\(C) gpupdate” след това се превежда в следните 3 команди: “psexec \\computer1 gpupdate”, “psexec \\computer2 gpupdate”, “psexec \\computer3 gpupdate” - всички команди ще се изпълняват последователно (ако компютрите са „живи“) и изтритите политики ще бъдат актуализирани.

Инструментът може да бъде модифициран по такъв начин, че списъкът с компютри да идва от файл (txt, csv, xls и т.н.), база данни, специална група за сигурност в AD, като се използва ръчен избор от списъка. Начинът на стартиране на скрипта също може да бъде променен; това е просто демо скрипт, чиято основна цел е да покаже възможностите, които имаме.

Скриптът се разпространява безплатно и можете да го тествате, използвате и модифицирате по свое усмотрение - подробности.

Инструментариум за управление на Windows (WMI)

Добре, инструментът PsExec е наистина страхотен, но има ли някакви ръчни методи, които мога да използвам, за да персонализирам по-добре решението за моята среда? Да, всъщност има! WMI е много мощен и доста лесен за използване след няколко часа обучение. Ако притежавате WMI и сте добре с разрешенията на защитната стена и администраторските права, тогава трябва да можете да правите почти всичко в Windows средасреда – даже дистанционно изключванекомпютър, рестартиране и изпълнение на дистанционни команди.

Създадох друг скрипт за демонстрационни цели, наречен OU GPUPDATE. Този HTA скрипт използва няколко различни техники - всъщност е лека модификация на скрипта FLEX COMMAND. Първо, анализира структурата на OU в AD (горния падащ списък), дава на потребителите опцията да избират компютри от OU, да стартира Gpupdate с параметъра „/Target:User“ или „/Target:Computer“ или без параметри изобщо. Само "живи" машини (които отговарят на WMI заявки) ще бъдат засегнати по подразбиране.

Фигура 3: Изберете дали да актуализирате потребителските настройки, настройките на компютъра или и двете

Този скрипт е безплатен и можете да го тествате, използвате и модифицирате както желаете от тук.

Дистанционно писане на скриптове

В допълнение към WMI имаме възможност да използваме обикновен отдалечен скрипт (VBScript). Това може да бъде активирано чрез задаване само на една стойност в HKLM частта на системния регистър на компютъра и скриптовата машина трябва да поддържа отдалечено скриптиране и от този момент всичко останало става доста очевидно. Процедурата е да копирате файла със скрипта на отдалечения компютър (този скрипт трябва да използва Gpupdate) и след това да изпратите команда VBScript, която изпълнява скрипта от разстояние.

RGPREFRESH

RGPREFRESH е инструмент, разработен от Daren Mar-El. Неговият инструмент използва WMI и изпълнява Secedit или Gpupdate в зависимост от операционната система на отдалечения компютър, с ключове, избрани от потребителя. Тези ключове ви предоставят същите възможности като с локална употребатози инструмент.

Този инструмент обработва една машина наведнъж, но заедно с инструмент, наречен FLEX COMMAND (като обвивка), този инструмент може да се използва за цяла организационна единица (OU) само с няколко щраквания на мишката... Както RGPREFRESH и инструментите PsExec също могат да се използват заедно с помощните програми DSQUERY, FOR и други помощни програми за команден ред на повече от един компютър едновременно.

Фигура 4: Опции за RGPREFRESH

Този инструмент може да бъде изтеглен безплатно от тази страница.

Specops Gpupdate

Софтуер за специални операции, Specops, международен производител на софтуер, предлага продукти за Активно управлениеДиректория, базирана на технология за групова политика. Компанията пусна собствено решение за дистанционни актуализации на политики, като най-хубавото е, че е напълно безплатно. Текущата версия на Specops Gpupdate е 1.0.2.13 (2006-10-25) и самата помощна програма може да бъде изтеглена от тук. Този инструмент не само има функционалността, която разработихме в скриптовете, споменати по-горе, но също така добавя няколко възможности за управление. Нека да разгледаме тази чудесна помощна програма...

Инсталиране на Specops Gpupdate

Инсталирането на MSI приложение е много просто - всичко, което изисква, е MMC потребител на Active Directory Users & Computers (ADUC) и Microsoft . NET Frameworkверсия 2.0.

Фигура 5: Процесът на инсталиране е толкова прост, колкото инсталацията MSI пакети(щракнете върху следващия, следващия, следващия)

След монтажа MSI файлнищо не се променя в GUI на графичния интерфейс и само с помощта на „Добавяне/премахване на програми“ можем да разберем, че Specops е инсталиран на нашата машина. Следователно трябва да свършим допълнителна работа за магическата трансформация...

Разширение за потребители и компютри на Active Directory

След като инсталирате Specops Gpupdate в AD Forest, трябва да изпълните специална команда

„%CommonProgramFiles%\Specopssoft\Specops ADUC Extension\SpecopsAducMenuExtensionInstaller.exe“ /add

Това не е актуализация на схема, въпреки че трябва да имате права на корпоративния администратор, за да изпълните тази команда. Тази команда е напълно обратима, просто я стартирайте отново с превключвателя „/remove“. Всичко, което прави, е да регистрира така наречените „Display Specifiers“ за подобряване на гледането с помощта на ADUC.

След това щракнете с десния бутон върху OU или компютърен обект и ще видите да се появяват четири нови команди: Gpupdate, Restart, Shut down и Start. Възможно е да изберете няколко компютъра и OU, като задържите клавиша и щракнете с десния бутон на мишката върху необходимите обекти.

Фигура 6: Разширен ADUC MMC

Ако и вие като мен имате въпрос дали промените могат да се приложат и към домейн контролери, които не са DC, тогава отговорът е да! След Windows инсталации Server 2003 Admin Pack Service Pack 1 Пакет с инструменти за администриране на Windows клиент XP Professional, .NET Framework 2.0 и Specops Gpupdate, конзолата за управление изглежда по същия начин като на DC домейн контролер и има същите възможности.

Опции на Gpupdate

Първата опция ни позволява да стартираме командата Gpupdate дистанционно на избрани компютри. След като изберем Gpupdate, трябва да потвърдим избора, както е показано на фигура 7, и да поставим отметка в квадратчето за опция за използване на сила, ако искаме да използваме настройката за усилване.

Фигура 7

След като щракнете върху бутона OK, ще се появи динамична графика, вижте Фигура 8, както и отчет за състоянието на актуализацията.

Фигура 8

Опции за рестартиране и изключване

Следващите два параметъра „Рестартиране“ и „Изключване“ са много важни за управлението, така че се нуждаем от тях директно в ADUC. Можем да изпълним командата за рестартиране (рестартиране) или изключване (изключване) и също така да зададем интервала от време в секунди, който се дава на потребителя, за да затвори всичко работещи приложения. Написването на скрипт, който да прави всички същите неща, не е много трудно с помощта на WMI или с помощта на командата Shutdown.exe с правилните превключватели, но благодарение на Specops Gpupdate получаваме тази функционалност напълно безплатно без инвестиция на време и усилия.

Фигура 9: Диалогов прозорец за съобщение за рестартиране

Стартов параметър Последният от четирите параметъра се нарича "Старт" и всъщност е функцията Wake on LAN или WOL, вградена в ADUC. След като изберете и потвърдите този параметър, вижте Фигура 10, така нареченият магически пакет ще бъде изпратен до MAC адресиклиентски компютри и те ще започнат да се изтеглят. За да работи WOL, трябва да се поддържа съответната функционалност BIOS на компютъра. Specops Gpupdate взаимодейства с DHCP сървърите на Microsoft в корпорацията, за да намери информацията, необходима за стартиране на този процес, така че е възможно да се събудят DHCP клиенти и само в мрежа с инсталирани DHCP сървъри на Microsoft.

Фигура 10: Потвърждаване на стартирането на отдалечен WOL

Между другото, скриптовете могат да се използват и за WOL; примерите за такъв код са извън обхвата на тази статия.

Заключение

Разгледахме няколко начина, по които можете да приложите групови правила към отдалечени компютри. Кой метод е най-подходящ за вас зависи от вашата среда. Лично аз обичам да пиша сценарии, но защо да си правя труда да работя усилено върху нещо, което други хора вече са създали? Имам два отговора на този въпрос. Първото е, че се учим, докато пишем такива скриптове, а второто са специални условия или производство по поръчка. Писането на скриптове подобрява нашите умения като професионалисти в информационните технологии и също така ни позволява да персонализираме готови решенияза по-добро изпълнение на конкретни условия.

Specops е разработил много добро безплатна помощна програма, който изпълнява основните функции за актуализиране на политики на мрежови клиенти. Препоръчвам ви да опитате!

Източник www.windowsecurity.com