پس از تغییر GPO، مدتی طول می کشد (90 دقیقه +/- 30) تا آنها به سیستم های دیگر منتشر شوند، اما اگر نیاز به اعمال فوری داشته باشند، مدیر به سیستم راه دور وارد می شود و دستور " را اجرا می کند. gpupdate" با تعداد زیادی رایانه شخصی، این فرآیند مدتی طول کشید و این فرآیند به خودی خود ناخوشایند است. حالا می توانید آن را فراموش کنید. در کنسول مدیریت خط مشی گروه (GPMC) منوی زمینهدامنه و تقسیم یک مورد جدید وجود دارد " به روز رسانی خط مشی گروه” (Group Policy Update) به شما این امکان را می دهد که با دو کلیک ماوس، سیاست های سیستم را از Windows Vista/2008 شروع کنید. پس از فعال سازی کار، لیستی از رایانه ها و کاربران ثبت نام شده دریافت می شود و پس از آن وظیفه " Gpupdate.exe /force" برای جلوگیری از ازدحام شبکه، با تاخیر تصادفی در محدوده 0-10 دقیقه انجام می شود. نتیجه کار در یک پنجره جداگانه نمایش داده می شود؛ موفقیت به روز رسانی را می توان با استفاده از ویزارد خط مشی حاصل تعیین کرد.
تابع جدید نیز cmdlet خود را دریافت کرد - فراخوانی-GPU به روز رسانی، که به شما امکان می دهد GP را از راه دور به روز کنید و حتی توانایی های بیشتری نسبت به GPMC ارائه می دهد. به هر حال، اکنون 27 cmdlet مسئول سیاست های گروه هستند، یعنی. یکی دیگر (دریافت کنید لیست کاملمی توانید وارد کنید " Get-Command -Module GroupPolicy«).
برای به‌روزرسانی فوری سیاست‌ها در یک سیستم خاص، فقط کافی است:

PS> Invoke-GPUpdate -Computer< имя компьютера>

کلید اضافی -تاخیر تصادفی در دقیقهبه شما امکان می دهد یک فاصله زمانی تعیین کنید، که در صورتی مفید است که دستور در چندین سیستم اجرا شود.
اما نکته اصلی این است که در کنسول GPMC شما فقط می توانید یک بخش را انتخاب کنید؛ هیچ ظرف کامپیوتر جداگانه ای در آنجا وجود ندارد. اینجاست که Invoke-GPUpdate به کمک می آید، که همراه با cmdlet Get-ADComputer به شما امکان می دهد سیستم ها را با هر معیاری انتخاب کنید:

PS> Get-ADComputer –filter * -Searchbase "cn=computers, dc=example,dc=org" | foreach( Invoke-GPUpdate – computer $_.name –force – RandomDelayInMinutes 5)

بیشتر نکته مهم، چندین پورت فایروال باید در سیستم های مشتری باز شوند. برای آسان‌تر کردن زندگی مدیر، MS 2 خط‌مشی اولیه جدید (به 8 خط‌مشی موجود) ارائه کرد که به شما امکان می‌دهد به سرعت ایجاد و توزیع کنید. تنظیمات مورد نیاز:

- پورت های فایروال برای به روز رسانی از راه دورخط مشی گروه؛
- پورت های فایروال برای گزارش های Group Policy.

هدف آنها از نام مشخص است. ما به اولین مورد علاقه مندیم. توصیه می کنیم یک GPO جدید ایجاد کنید و آن را به بالای صفحه منتقل کنید و به آن اولویت بیشتری نسبت به GPO پیش فرض دامنه بدهید.
فرآیند ساده است. دامنه را انتخاب کنید و از منو "Create a GPO in this domain" را انتخاب کنید. در پنجره‌ای که ظاهر می‌شود، نام را وارد کرده و از لیست «پورت‌های دیوار آتش برای به‌روزرسانی سیاست گروه از راه دور» را انتخاب کنید. همچنین می توانید از PowerShell استفاده کنید.

به این نتیجه رسیدم که باید مقاله کوتاهی بنویسم که بتواند و باید اغلب به آن ارجاع داده شود. و موضوع این مقاله نحوه به روز رسانی است خط مشی گروه.

چرا باید یک خط مشی را به صورت دستی به روز کنید؟

چه زمانی این ممکن است مفید باشد؟ تقریباً همیشه، وقتی هر پارامتری را در هر خط مشی تغییر می دهید. نه، فکر نکنید که این خط مشی فقط باید به صورت دستی به روز شود. در واقع به صورت خودکار آپدیت می شود. هر یک ساعت و نیم یک بار! تصور کنید برخی از سیاست ها را تغییر داده اید و یک ساعت و نیم صبر کنید تا بررسی کنید که آیا دقیقاً همانطور که می خواهید کار می کند یا خیر. براد، اینطور نیست؟

طبیعی است که مزخرف است. بنابراین، راهی وجود دارد که کامپیوتر را مجبور به آپدیت دستی خط مشی های گروه کند. و قبل از آن، یک نظریه کوچک. همانطور که می دانید سیاستمداران به دو گروه بزرگ تقسیم می شوند:

• سیاست های کامپیوتری
• سیاست های کاربر

خط‌مشی‌های گروه اول برای همه کاربران رایانه اعمال می‌شود، در حالی که خط‌مشی‌های گروه دوم فقط برای کاربران فردی اعمال می‌شوند. بنابراین، هنگامی که کامپیوتر بوت می شود، سیاست های گروه بلافاصله بارگیری می شوند. علاوه بر این، تمام خط مشی ها از ابتدا خوانده می شوند، که تضمین می کند که آخرین تغییرات اعمال می شود. اما سیاست های کاربر زمانی که کاربر وارد سیستم می شود بررسی و بارگذاری می شود.

با دانستن این حقایق، راه حل شما اینجاست. برای اعمال تغییرات سیاست کاربر، از سیستم خارج شوید و دوباره وارد شوید. اگر می خواهید خط مشی های رایانه خود را به روز کنید، رایانه خود را مجدداً راه اندازی کنید. شوخی

فرمان برای به روز رسانی خط مشی گروه محلی

روش های توصیف شده مطمئناً به نتیجه مطلوب منجر می شوند، اما آنها کاملا احمقانه هستند. پس از همه، یک ابزار فوق العاده وجود دارد خط فرمانتحت عنوان gpupdate.به طور کلی، برای به روز رسانی خط مشی گروه، دستور زیر کافی است:

Gpupdate /force

با این اقدام ساده می توانید به سرعت سیاست های رایانه خود را به روز کنید.

در این مقاله ما یک راه ساده برای به روز رسانی از راه دور سیاست های گروه در کلاینت ها (رایانه ها و سرورها) یک دامنه را نشان خواهیم داد. اکتیو دایرکتوری، بدون نیاز به دسترسی به کنسول دستگاه از راه دور و بدون استفاده از دستور gpupdate.

یکی از دشوارترین مشکلات در مدیریت خط‌مشی‌های گروه AD، آزمایش خط‌مشی‌ها در جریان است، بدون راه‌اندازی مجدد رایانه یا دسترسی به رایانه محلی و اجرای دستور.

ویژگی Remote Group Policy Update امکان استفاده از یک کنسول مدیریت GPO (GPMC.msc) را برای ایجاد، ویرایش، اعمال و آزمایش خط‌مشی‌های گروه فراهم می‌کند.

عملکرد به روز رسانی خط مشی گروه از راه دور اولین بار در ظاهر شد ویندوز مایکروسافتسرور 2012، در تمام نسخه های بعدی (ویندوز سرور 2016، مایکروسافت ویندوز 10) این قابلیت و پایداری آن به تدریج بهبود یافت.

الزامات برای کارکرد به‌روزرسانی خط‌مشی گروه از راه دور:

الزامات محیط سرور:

• ویندوز سرور 2012 و بالاتر
• یا ویندوز 10 با ابزارهای مدیریت RSAT نصب شده است

الزامات برای مشتریان:

• ویندوز 7 و بالاتر

الزامات ارتباط شبکه (فایروال) بین سرور و کلاینت ها

• پورت TCP 135 باید باز باشد
• فعال شد سرویس ویندوزابزار مدیریت (سرویس مدیریت ویندوز)
• سرویس زمانبندی وظایف

اگر محیط شما این الزامات را برآورده می کند، کنسول مدیریت خط مشی گروه (GPMC.msc) را باز کنید، OU (کانتینر) را انتخاب کنید که رایانه های هدفی که می خواهید به اجبار به روز رسانی GPO را در آن قرار دهید، انتخاب کنید.

روی ظرف مورد نظر کلیک راست کرده و انتخاب کنید به روز رسانی خط مشی گروه.

در پنجره ای که باز می شود، اطلاعاتی در مورد تعداد اشیاء در این OU ظاهر می شود که GPO بر روی آنها به روز می شود. برای تایید عمل، روی دکمه "بله" کلیک کنید.

در پنجره نتایج به‌روزرسانی سیاست گروه از راه دور، وضعیت به‌روزرسانی خط‌مشی و همچنین وضعیت این عملیات (موفقیت/خطا، کد خطا) را مشاهده خواهید کرد. طبیعتاً اگر رایانه خاموش باشد یا دسترسی به آن توسط فایروال محدود شود، خطای مربوطه ظاهر می شود.

· بدون نظر

به‌روزرسانی تنظیمات Group Policy Microsoft Windows در دستگاه محلی با استفاده از ابزاری مانند Gpupdate چندان دشوار نیست، اما به‌روزرسانی این خط‌مشی‌ها در کامپیوترهای راه دوردر یک دامنه را نمی توان با استفاده از کنسول مدیریت مایکروسافت (MMC) یا با استفاده از هر یک از محصولات مایکروسافت موجود امروز انجام داد. در این مقاله، شما را با ترفندها، اسکریپت‌ها و ابزارهای رایگانی آشنا می‌کنم که به شما امکان می‌دهد تنظیمات خط‌مشی گروه را در رایانه‌های راه دور در یک دامنه به‌روزرسانی کنید.

معرفی

اکثر مدیران از مشکل اعمال خط مشی های گروهی برای رایانه های راه دور آگاه هستند. پس از پیکربندی برخی از خط مشی های مهم، گاهی اوقات ما می خواهیم آن خط مشی گروه GP بلافاصله در رایانه های مشتری ظاهر شود. اما مشکل این است که به طور پیش فرض، به اصطلاح پردازش پس زمینهفقط در بازه زمانی 90 تا 120 دقیقه (به طور تصادفی) رخ می دهد - اگر بخواهیم روند به روز رسانی را تسریع کنیم، در اینجا ما به دستگاه خود واگذار می شویم. البته دلیلی وجود دارد که سیاست ها به سادگی هر پنج دقیقه یا حتی در زمان واقعی به روز نمی شوند. بار روی کنترل‌کننده‌های دامنه و شبکه در اکثر محیط‌ها بسیار زیاد است. اما اگر نیاز به استفاده سریع وجود دارد بسیار تنظیم مهمبرای ایمنی تعداد زیادی از مشتریان، ایده خوبی است که برای چنین وضعیتی آماده شوید.

آنچه ما واقعاً به آن نیاز داریم این است که توانایی به‌روزرسانی خط‌مشی‌ها در Computer1، Computer2، و/یا Computer3 را برای یک مدیر فراهم کنیم - و همچنین خط‌مشی‌هایی برای کاربران A، B و C - از یک نقطه متمرکز - ایستگاه کاری مدیر - در صورتی که مدیر لازم می داند. به شکل 1 نگاه کنید.

شکل 1: سناریو

ما یک ابزار فوق العاده به نام Gpupdate داریم که در ویندوز XP و سیستم عامل های جدیدتر تعبیه شده است - و همچنین ابزاری به نام Secedit برای سیستم عاملویندوز 2000 - اما متاسفانه تیم Gpresultبرای ابزارهای Gpupdate و Secedit فقط در رایانه های محلی قابل پردازش هستند. البته ما یک سیستم نصب از قبل پیکربندی شده داریم، مانند یک سرور مدیریت سیستم های مایکروسافتسرور مدیریت سیستم (SMS)، ما می توانیم از این سیستم برای انتقال اسکریپت های کوچکی استفاده کنیم که دستور مورد نیاز را روی گروهی از کاربران یا رایانه ها اجرا می کند.

اگر شبکه شما چنین سیستمی ندارد، پس باید رویکردهای خلاقانه تری را امتحان کنید - زیرا... جایگزین این است که به همه چیز بروید کامپیوترهای لازمبا استفاده از ابزاری مانند Remote Assistance ( کمک از راه دور، یا همه را برای کاربران ارسال کنید پست الکترونیکاز شما می خواهد دستور Gpupdate را اجرا کنید... بنابراین به دنبال رویکردهای خلاقانه تری باشید.

چالش ها و مسائل

قبل از اینکه به جزئیات بپردازیم، می‌خواهم مشکلات رایجی را که افراد در تلاش برای استفاده از روش‌های ذکر شده در این مقاله با آن‌ها مواجه می‌شوند، ذکر کنم.

مشکلات فایروال:

مانند سایر اتصالاتی که از طریق شبکه راه اندازی می شوند، بسته هایی که سعی می کنند تنظیمات خط مشی را در رایانه های راه دور به روز کنند، نمی توانند به فایروال محلی رایانه های راه دور نفوذ کنند (مانند فایروالی که در سیستم عامل ویندوز با شروع ویندوز شروع می شود). XP Service Pack 2 و بالاتر) مگر اینکه فایروال به گونه ای پیکربندی شده باشد که به چنین ترافیک ورودی اجازه دهد (از یک زیر شبکه انتخاب شده، IP یا چیزی شبیه به آن). در سیستم عامل تعبیه شده است دیوار آتش ویندوزباید به گونه‌ای پیکربندی شود که به ترافیک ورودی که با استفاده از شیء خط مشی گروه شکل می‌دهیم اجازه دهد، بنابراین، از قضا، این خط‌مشی تنها سیاستی است که نمی‌توانیم برای رایانه‌های راه دور با فایروال فعال استفاده کنیم.

تنظیمات خط مشی که باید برای همه روش های ذکر شده در این مقاله تنظیم شود به شرح زیر است:

تنظیمات کامپیوتر | قالب های اداری | شبکه | اتصالات شبکه | دیوار آتش ویندوز| نمایه دامنه | "Windows Firewall: Allow Administration Exception از راه دور."

سایر دستگاه هایی که به عنوان دیوار آتش بین رایانه مرکزی و رایانه های راه دور عمل می کنند نیز باید تنظیمات فوق را رعایت کنند (آزمون راهنما برای خط مشی ذکر شده در GPEDIT.MSC را ببینید).

حقوق مدیر:

کاربری که فرآیند را در رایانه راه دور آغاز می کند باید حقوق سرپرست محلی را بر روی آن داشته باشد - در غیر این صورت، همه چیز آنطور که انتظار دارید کار نخواهد کرد.

اکنون که به همه اینها رسیدگی کرده اید، بیایید به خود روش ها نگاه کنیم.

فیلمنامه نویسی

اسکریپت ها رایگان هستند و به طور گسترده در بین متخصصان نرم افزار توزیع می شوند. فناوری اطلاعاتاینترنت واقعاً "منبع باز" است. مایکروسافت چندین قابلیت داخلی برای گسترش قابلیت های سیستم عامل و محیط در اختیار ما قرار داده است - در این مقاله در مورد نحوه استفاده از این قابلیت ها برای به روز رسانی از راه دور خط مشی های گروه GP صحبت خواهیم کرد.

Gpupdate & Secedit

ابتدا باید به ابزارهای Gpupdate و Secedit اشاره کنیم که بدون این ابزارها هیچ یک از موارد زیر امکان پذیر نخواهد بود. اسکریپت ها و ابزارهایی که در اینجا ذکر شده اند، همگی فرض می کنند که یکی از این ابزارها بسته به نسخه سیستم عامل، بر روی کلاینت راه دور نصب شده است. همانطور که در بالا ذکر شد، ابزار Secedit در اتاق عمل گنجانده شده است سیستم های ویندوز 2000، و ابزار Gpupdate از سیستم عامل ویندوز XP و بالاتر گرفته شده است، حتی در سیستم عامل Longhorn نیز مانند اکنون وجود دارد. در سناریوهای زیر روی Gpupdate تمرکز می‌کنم - می‌توانیم نسخه سیستم عامل را قبل از اجرای Gpupdate یا Secedit بررسی کنیم، اما این بررسی را می‌توان بعداً بدون مشکل زیاد اضافه کرد.

فایل Gpupdate.exe به طور پیش فرض در پوشه "%windir%\system32" قرار دارد، بنابراین ما نیازی به دانستن مسیر مطلق مکان آن در دستگاه راه دور نداریم. این ابزار را می توان با مجموعه ای از کلیدهای مختلف فراخوانی کرد:

نحو: Gpupdate

در اسکریپت های DIY خود برای برنامه های کاربردی HTML (HTA) و ابزارهای مدیریت ویندوز (WMI)، ما بر اجرای Gpupdate بدون سوئیچ تمرکز خواهیم کرد — یا با سوئیچ های "/Taget:Computer" (برای به روز رسانی خط مشی های خاص کامپیوتر) یا "/ Target" :User” (برای به روز رسانی سیاست های خاص کاربر). گزینه های دیگر را می توان با کمی کار فعال کرد - اما آیا واقعاً به "/Logoff" یا "/Boot" نیاز داریم؟ این بدان معنی است که کاربران می توانند در صورت لزوم از سیستم خارج شوند (تنظیم نرم افزار، تغییر پوشه ها، و غیره) یا حتی ممکن است نیاز به راه اندازی مجدد کامپیوتر در حالی که کاربر در حال کار است داشته باشد. آیا این واقعا همان چیزی است که ما نیاز داریم؟ در هر صورت، ما همچنین می توانیم از ابزاری مانند Shutdown.exe برای این اهداف استفاده کنیم - بنابراین نظر من این است که خیلی محبوب نخواهد بود.

PsExec

اولین روشی که می خواهم در مورد آن صحبت کنم استفاده از آن بسیار آسان است و عملاً به هیچ مهارت برنامه نویسی نیاز ندارد. چرا چیزی را اختراع کنیم که قبلاً اختراع شده است، درست است؟ این ابزار که PsExec نام دارد توسط Mark Russinovich، مالک سابق Sysinternals که در جولای 2006 توسط مایکروسافت خریداری شد، توسعه داده شد. نسخه 1.73 در حال حاضر در دسترس است و می توانید آن را از وب سایت Microsoft Technet دانلود کنید.

ابزار PsExec وقتی صحبت می‌شود عالی است اجرای از راه دور، عمدتاً به دلیل این واقعیت است که نیازی به نصب عوامل بر روی رایانه راه دور ندارد. فقط باید نام کامپیوتر و دستوری که باید همراه با سوئیچ های خط فرمان اجرا شود را مشخص کنید - همین!

یک ترفند کوچک این است که فایل PsExec.exe را در فهرست "%windir%" قرار دهید، زیرا در این حالت، هنگام اجرای آن از خط فرمان، نیازی به تعیین مسیر کامل این فایل نداریم.

برای به‌روزرسانی خط‌مشی‌های گروه در یک ماشین راه دور، تنها کاری که باید انجام دهیم این است که «نام رایانه» را در دستور زیر مشخص کنیم: «PsExec \\Computername Gpupdate». کاربری که روی دستگاه از راه دور کار می کند حتی نمی داند چه اتفاقی افتاده است، اما زمینهدستور Gpupdate خط‌مشی‌ها را برای کاربر و رایانه به‌روزرسانی می‌کند و تنظیمات از دست رفته را اعمال می‌کند. ممکن است فکر کنید که دستور PsExec باید با گزینه -i اجرا شود تا کاربران راه دور را با سیاست های کاربری سفارشی به روز کند، اما آزمایش نشان می دهد که این کار ضروری نیست.

اسکریپت FLEX Command

بنابراین، روش ذکر شده در بالا به شما امکان می‌دهد تا سیاست‌ها را برای یک کاربر یا رایانه به‌روزرسانی کنید، اما به‌روزرسانی کل واحد سازمانی (OU) به لطف اشتراک گذاری PsExec و Gpupdate؟ برای این منظور، من یک اسکریپت دمو ایجاد کرده ام تا برخی از امکاناتی را که می توانیم از طریق اسکریپت نویسی استفاده کنیم را نشان دهم. این اسکریپت FLEX COMMAND نام دارد و از اینجا قابل دانلود است. شما به راحتی می توانید یک فایل با پسوند HTA را با استفاده از آن باز کنید ویرایشگر متنمانند Notepad و مشاهده کد، بدون جادوی پنهان.

هنگامی که FLEX COMMAND شروع می شود، به دامنه Active Directory AD رایانه ای که روی آن در حال اجرا است متصل می شود. بنابراین، باید در رایانه ای که عضو یک دامنه است اجرا شود، در غیر این صورت OU پیدا نمی شود.

OU را انتخاب کنید، ابزار باید روی ماشین‌هایی که "زنده" هستند (به درخواست‌های WMI) پردازش شود. آخرین کاری که باید انجام دهیم این است که خط فرمانی را که می‌خواهیم روی آن اجرا کنیم، قرار دهیم کامپیوتر محلی، برای هر شی واقع در واحد سازمانی انتخاب شده OU. خط متن "(C)" باید باقی بماند زیرا هنگامی که اسکریپت اجرا می شود با نام کامپیوتر جایگزین می شود.

شکل 2: فرمان FLEX در عمل

بیایید فرض کنیم که OU به نام MyComputers فقط شامل 3 کامپیوتر است: Computer1، Computer2 و Computer3. دستوری که ما تایپ کردیم، "psexec \\(C) gpupdate" سپس به 3 دستور زیر ترجمه می شود: "psexec \\computer1 gpupdate"، "psexec \\computer2 gpupdate"، "psexec \\computer3 gpupdate" - همه دستورات انجام خواهند شد. be sequential اجرا می شوند (اگر رایانه ها "زنده" باشند) و خط مشی های حذف شده به روز می شوند.

این ابزار را می توان به گونه ای تغییر داد که لیست رایانه ها از یک فایل (txt، csv، xls، و غیره)، یک پایگاه داده، یک گروه امنیتی ویژه در AD با استفاده از انتخاب دستی از لیست آمده باشد. نحوه راه اندازی اسکریپت نیز قابل تغییر است؛ این فقط یک اسکریپت دمو است که هدف اصلی آن نشان دادن قابلیت هایی است که داریم.

اسکریپت به صورت رایگان توزیع می شود و شما می توانید آن را به صلاحدید خود تست، استفاده و اصلاح کنید - جزئیات.

ابزار مدیریت ویندوز (WMI)

بسیار خوب، ابزار PsExec واقعا عالی است، اما آیا روش های دستی وجود دارد که بتوانم برای شخصی سازی بهتر راه حل برای محیط خود استفاده کنم؟ بله، در واقع وجود دارد! WMI بسیار قدرتمند است و پس از چند ساعت یادگیری، استفاده از آن بسیار آسان است. اگر صاحب WMI هستید، و با مجوزهای فایروال و حقوق سرپرست مشکلی ندارید، تقریباً باید بتوانید هر کاری را در این زمینه انجام دهید. محیط ویندوزمحیط - حتی خاموش شدن از راه دورکامپیوتر، راه اندازی مجدد و اجرای دستورات از راه دور.

من اسکریپت دیگری را برای اهداف نمایشی به نام OU GPUPDATE ایجاد کردم. این اسکریپت HTA از چند تکنیک مختلف استفاده می کند - در واقع یک تغییر جزئی در اسکریپت FLEX COMMAND است. ابتدا، ساختار OU در AD (لیست کشویی بالا) را تجزیه می کند، به کاربران این امکان را می دهد که کامپیوترها را از OU انتخاب کنند، Gpupdate را با پارامتر "/Target:User" یا "/Target:Computer" یا بدون پارامتر اجرا کنند. اصلا فقط ماشین‌های زنده (که به درخواست‌های WMI پاسخ می‌دهند) به‌طور پیش‌فرض تحت تأثیر قرار خواهند گرفت.

شکل 3: انتخاب کنید که آیا تنظیمات کاربر، تنظیمات رایانه یا هر دو به روز شوند

این اسکریپت رایگان است و می توانید از اینجا آن را به دلخواه تست، استفاده و اصلاح کنید.

اسکریپت از راه دور

علاوه بر WMI، ما این امکان را داریم که از برنامه نویسی از راه دور معمولی (VBScript) استفاده کنیم. این را می توان با تنظیم فقط یک مقدار در بخش HKLM رجیستری رایانه فعال کرد و موتور برنامه نویسی باید از برنامه نویسی از راه دور پشتیبانی کند و از این نقطه همه چیز نسبتاً واضح می شود. روش کار به این صورت است که فایل اسکریپت را در رایانه راه دور کپی کنید (این اسکریپت باید از Gpupdate استفاده کند)، و سپس یک دستور VBScript ارسال می شود که اسکریپت را از راه دور اجرا می کند.

RGPREFRESH

RGPREFRESH ابزاری است که توسط Daren Mar-El توسعه یافته است. ابزار او از WMI استفاده می کند و Secedit یا Gpupdate را بسته به سیستم عامل روی رایانه راه دور با کلیدهایی که کاربر انتخاب می کند اجرا می کند. این کلیدها همان قابلیت هایی را در اختیار شما می گذارند که با استفاده محلیاین ابزار

این ابزار در یک زمان یک ماشین را پردازش می کند، اما همراه با ابزاری به نام FLEX COMMAND (به عنوان یک wrapper)، این ابزار را می توان برای کل واحد سازمانی (OU) تنها با چند کلیک ماوس استفاده کرد... هر دو ابزار RGPREFRESH و PsExec همچنین می تواند همراه با ابزارهای DSQUERY، FOR و سایر ابزارهای خط فرمان در بیش از یک رایانه در یک زمان استفاده شود.

شکل 4: گزینه های RGPREFRESH

این ابزار را می توان به صورت رایگان از این صفحه دانلود کرد.

Specops Gpupdate

نرم افزار عملیات ویژه، Specops، سازنده نرم افزار بین المللی، محصولاتی را برای مدیریت فعالدایرکتوری مبتنی بر فناوری خط مشی گروه. این شرکت راه حل خود را برای به روز رسانی سیاست از راه دور منتشر کرده است و بهترین چیز این است که کاملا رایگان است. نسخه فعلی Specops Gpupdate 1.0.2.13 (2006-10-25) است و خود برنامه را می توانید از اینجا دانلود کنید. این ابزار نه تنها دارای عملکردی است که ما در اسکریپت های ذکر شده در بالا توسعه داده ایم، بلکه چندین قابلیت مدیریتی را نیز اضافه می کند. بیایید نگاهی به این ابزار فوق العاده بیندازیم...

نصب Specops Gpupdate

نصب یک برنامه MSI بسیار ساده است - تنها چیزی که نیاز دارد یک کاربر MMC Active Directory Users & Computers (ADUC) و یک Microsoft است. چارچوب خالصنسخه 2.0.

شکل 5: فرآیند نصب به سادگی نصب است بسته های MSI(روی بعدی، بعدی، بعدی کلیک کنید)

پس از نصب فایل MSIهیچ چیز در رابط گرافیکی رابط گرافیکی تغییر نمی کند و تنها با کمک "افزودن/حذف برنامه ها" می توانیم متوجه شویم که Specops روی دستگاه ما نصب شده است. بنابراین، ما باید کار اضافی برای تحول جادویی انجام دهیم...

برنامه افزودنی برای کاربران و رایانه های Active Directory

پس از نصب Specops Gpupdate در AD Forest، باید دستور خاصی را اجرا کنید

"%CommonProgramFiles%\Specopssoft\Specops ADUC Extension\SpecopsAducMenuExtensionInstaller.exe" /add

این یک به روز رسانی طرحواره نیست، اگرچه برای اجرای این دستور باید حقوق Enterprise Administrator را داشته باشید. این دستور کاملاً قابل برگشت است، فقط کافی است دوباره آن را با سوئیچ "/remove" اجرا کنید. تمام کاری که انجام می دهد این است که به اصطلاح "مشخص کننده های نمایشگر" را ثبت می کند تا مشاهده را با استفاده از ADUC بهبود بخشد.

سپس بر روی شیء OU یا کامپیوتر کلیک راست کرده و خواهید دید که چهار دستور جدید ظاهر می شود: Gpupdate، Restart، Shut down و Start. انتخاب چندین کامپیوتر و OU با نگه داشتن کلید و کلیک راست ماوس بر روی اشیاء مورد نیاز امکان پذیر است.

شکل 6: ADUC MMC گسترش یافته است

اگر شما هم مثل من سوالی در مورد اینکه آیا این تغییرات را می توان روی دامین کنترلرهای غیر DC نیز اعمال کرد، دارید، پاسخ مثبت است! بعد از نصب ویندوز Server 2003 Admin Pack Service Pack 1 Administration Tools Pack on کلاینت ویندوز XP Professional، .NET Framework 2.0 و Specops Gpupdate، کنسول مدیریتی مانند کنترل کننده دامنه DC به نظر می رسد و دارای قابلیت های یکسانی است.

گزینه های Gpupdate

اولین گزینه ای که داریم به ما اجازه می دهد تا دستور Gpupdate را از راه دور بر روی رایانه های انتخاب شده اجرا کنیم. پس از انتخاب Gpupdate، باید انتخاب را مطابق شکل 7 تایید کنیم و اگر می‌خواهیم از تنظیم بهره استفاده کنیم، کادر گزینه use force را علامت بزنیم.

شکل 7

پس از کلیک بر روی دکمه OK، یک نمودار پویا ظاهر می شود، به شکل 8 و همچنین گزارشی از پیشرفت به روز رسانی را ببینید.

شکل 8

گزینه های Restart و Shutdown

دو پارامتر بعدی "Restart" و "Shutdown" برای کنترل بسیار مهم هستند، بنابراین ما مستقیماً به آنها در ADUC نیاز داریم. می‌توانیم دستور restart (راه‌اندازی مجدد) یا shutdown (shutdown) را اجرا کنیم و همچنین فاصله زمانی را که به کاربر داده می‌شود را بر حسب ثانیه تنظیم کنیم تا همه چیز را ببندد. در حال اجرا برنامه های کاربردی. نوشتن یک اسکریپت که همه کارها را انجام دهد، با استفاده از WMI یا استفاده از دستور Shutdown.exe با سوئیچ‌های صحیح، چندان دشوار نیست، اما به لطف Specops Gpupdate، ما این قابلیت را کاملاً رایگان و بدون صرف زمان و تلاش دریافت می‌کنیم.

شکل 9: جعبه گفتگوی پیام راه اندازی مجدد

پارامتر شروع آخرین مورد از چهار پارامتر "شروع" نامیده می شود و در واقع قابلیت Wake on LAN یا WOL است که در ADUC تعبیه شده است. پس از انتخاب و تایید این پارامتر، به شکل 10 مراجعه کنید، بسته به اصطلاح Magic به آدرس های مککامپیوترهای مشتری، و آنها شروع به دانلود خواهند کرد. برای اینکه WOL کار کند، عملکرد مربوطه باید پشتیبانی شود بایوس کامپیوتر. Specops Gpupdate برای یافتن اطلاعات مورد نیاز برای اجرای این فرآیند با سرورهای DHCP مایکروسافت در شرکت تعامل دارد، بنابراین می‌توان کلاینت‌های DHCP را بیدار کرد و فقط در شبکه‌ای با سرورهای DHCP مایکروسافت نصب شده است.

شکل 10: راه اندازی WOL راه دور را تأیید کنید

به هر حال، اسکریپت ها را می توان برای WOL نیز استفاده کرد؛ نمونه هایی از این کدها خارج از حوصله این مقاله است.

نتیجه

ما چندین روش را بررسی کرده‌ایم که می‌توانید خط‌مشی‌های گروهی را برای رایانه‌های راه دور اعمال کنید. اینکه کدام روش برای شما بهترین است بستگی به محیط شما دارد. من شخصاً از فیلمنامه نویسی لذت می برم، اما چرا به سختی روی چیزی کار می کنم که دیگران قبلاً ساخته اند؟ من برای این سوال دو جواب دارم. اول اینکه در حین نوشتن چنین اسکریپت هایی یاد می گیریم و دوم شرایط خاص یا تولید سفارشی. نوشتن اسکریپت مهارت های ما را به عنوان متخصصان فناوری اطلاعات بهبود می بخشد و همچنین به ما امکان سفارشی سازی را می دهد راه حل های آمادهبرای برآوردن بهتر شرایط خاص

Specops بسیار خوب توسعه داده است ابزار رایگان، که عملکردهای اصلی به روز رسانی سیاست ها را در مشتریان شبکه انجام می دهد. من توصیه می کنم آن را امتحان کنید!

منبع www.windowsecurity.com