Po GPO pakeitimų užtrunka šiek tiek laiko (90 minučių +/- 30), kol jie persikelia į kitas sistemas, tačiau jei juos reikia taikyti skubiai, administratorius prisijungia prie nuotolinės sistemos ir paleidžia komandą „ gpupdate“ Turint daug kompiuterių, procesas užtruko, o pats procesas yra nepatogus. Dabar galite apie tai pamiršti. Grupės strategijos valdymo pulte (GPMC) kontekstinis meniu domenas ir skyrius yra naujas elementas “ Grupės politikos atnaujinimas“ (Grupės politikos naujinimas) leidžia atnaujinti sistemos strategijas pradedant nuo Windows Vista/2008 dviem pelės paspaudimais. Suaktyvinus užduotį, bus gautas kompiuterių ir registruotų vartotojų sąrašas, po kurio užduotis „ Gpupdate.exe /force“ Siekiant išvengti tinklo perkrovos, jis bus atliekamas su atsitiktiniu uždelsimu 0–10 minučių intervale. Užduoties rezultatas rodomas atskirame lange, atnaujinimo sėkmę galima nustatyti naudojant gautą politikos vedlį.
Naujoji funkcija taip pat gavo savo cmdlet - Invoke-GPUpdate, kuri leidžia nuotoliniu būdu atnaujinti GP ir suteikia dar didesnes galimybes nei GPMC. Beje, dabar 27 cmdlet yra atsakingi už grupės politiką, t.y. dar vienas (gauti visas sąrašas galite įvesti " Get-Command -Module Group Policy«).
Norėdami nedelsiant atnaujinti konkrečios sistemos politiką, tiesiog paleiskite:

PS> Invoke-GPUpdate -Computer< имя компьютера>

Papildomas raktas -RandomDelayInMinutes leidžia nustatyti skirtojo laiko intervalą, kuris yra naudingas, jei komanda bus vykdoma keliose sistemose.
Bet svarbiausia yra tai, kad GPMC konsolėje galite pasirinkti tik skyrių, ten nėra atskiro kompiuterių konteinerio. Čia į pagalbą ateina Invoke-GPUpdate, kuri kartu su Get-ADComputer cmdlet leidžia pasirinkti sistemas pagal bet kokį kriterijų:

PS> Get-ADComputer –filtras * -Paieškos bazė "cn=kompiuteriai, dc=pavyzdys,dc=org" | foreach (Invoke-GPUpdate –kompiuteris $_.name –force –-RandomDelayInMinutes 5)

Daugiau svarbus punktas, klientų sistemose turi būti atidaryti keli ugniasienės prievadai. Kad administratoriui būtų lengviau gyventi, MS pasiūlė 2 naujas pradines strategijas (prie 8 esamų), leidžiančias greitai kurti ir platinti reikalingus nustatymus:

- Ugniasienės prievadai nuotolinis atnaujinimas grupės nuostatos;
- Ugniasienės prievadai grupės strategijos ataskaitoms.

Jų paskirtis aišku iš pavadinimo. Mus domina pirmasis. Rekomenduojame sukurti naują GPO ir perkelti jį į viršų, suteikiant jam didesnį prioritetą nei numatytajam domeno GPO.
Procesas paprastas. Pasirinkite domeną ir meniu pasirinkite „Sukurti GPO šiame domene“. Atsidariusiame lange įveskite pavadinimą ir iš sąrašo pasirinkite „Ugniasienės prievadai nuotoliniam grupės strategijos atnaujinimui“. Arba galite naudoti „PowerShell“.

Nusprendžiau, kad reikia parašyti trumpą straipsnį, į kurį būtų galima ir reikia gana dažnai kreiptis. O šio straipsnio tema – kaip atnaujinti grupės nuostatos.

Kodėl reikia rankiniu būdu atnaujinti politiką?

Kada tai gali praversti? Beveik visada, kai pakeičiate bet kurį bet kurios politikos parametrą. Ne, nemanykite, kad politiką reikia atnaujinti tik rankiniu būdu. Tiesą sakant, jis atnaujinamas automatiškai. Kartą per pusantros valandos! Įsivaizduokite, kad pakeitėte politiką ir palaukite pusantros valandos, kad patikrintumėte, ar ji veikia tiksliai taip, kaip norėjote. Bradai, ar ne?

Natūralu, nesąmonė. Todėl yra būdas priversti kompiuterį atnaujinti grupės strategijas rankiniu būdu. Ir prieš tai šiek tiek teorijos. Kaip žinote, politikai skirstomi į dvi dideles grupes:

• kompiuterių politika
• vartotojų politika

Pirmosios grupės politika taikoma visiems kompiuterio vartotojams, o antrosios grupės politika taikoma tik atskiriems vartotojams. Taigi, kai kompiuteris paleidžiamas, grupės strategijos įkeliamos nedelsiant. Be to, visos strategijos yra skaitomos nuo nulio, o tai užtikrina, kad bus taikomi naujausi pakeitimai. Tačiau vartotojo politika yra patikrinama ir įkeliama, kai vartotojas prisijungia prie sistemos.

Žinodami šiuos faktus, štai jūsų sprendimas. Kad naudotojo politikos pakeitimai įsigaliotų, atsijunkite ir vėl prisijunkite. Jei reikia atnaujinti kompiuterio politiką, paleiskite kompiuterį iš naujo. Pokštas.

Komanda atnaujinti vietinės grupės politiką

Aprašyti metodai tikrai leis pasiekti norimą rezultatą, tačiau jie yra gana kvaili. Juk yra vienas nuostabus naudingumas komandinė eilutė teisę gpupdate. Apskritai, norint atnaujinti grupės politiką, pakanka šios komandos:

Gpupdate /force

Atlikę šį paprastą veiksmą galite greitai atnaujinti kompiuterio politiką.

Šiame straipsnyje parodysime paprastą būdą nuotoliniu būdu atnaujinti domeno klientų (kompiuterių ir serverių) grupės strategijas. Active Directory, nereikia pasiekti nuotolinio kompiuterio konsolės ir nenaudojant komandos gpupdate.

Viena iš sunkiausių problemų tvarkant AD grupės strategijas yra strategijų testavimas sklandžiai, neperkraunant kompiuterio arba neprisijungiant prie vietinio kompiuterio ir nevykdant komandos.

Nuotolinio grupės strategijos naujinimo funkcija suteikia galimybę naudoti vieną GPO valdymo pultą (GPMC.msc) kuriant, redaguojant, taikant ir tikrinant grupės strategijas.

Pirmą kartą pasirodė nuotolinės grupės strategijos atnaujinimo funkcionalumas Microsoft Windows Server 2012, visose vėlesnėse versijose (Windows Server 2016, Microsoft Windows 10), ši funkcija ir jos stabilumas buvo palaipsniui tobulinami.

Reikalavimai, kad nuotolinio grupės strategijos naujinimas veiktų:

Serverio aplinkos reikalavimai:

• Windows Server 2012 ir naujesnės versijos
• Arba Windows 10 su įdiegtais RSAT valdymo įrankiais

Reikalavimai klientams:

• „Windows 7“ ir naujesnės versijos

Reikalavimai tinklo ryšiui (ugniasienėms) tarp serverio ir klientų

• TCP 135 prievadas turi būti atidarytas
• Įjungtas „Windows“ paslauga Valdymo instrumentai (servisas Windows valdymas)
• Užduočių planuotojo paslauga

Jei jūsų aplinka atitinka šiuos reikalavimus, atidarykite grupės strategijos valdymo konsolę (GPMC.msc), pasirinkite OU (konteinerį), kuriame yra tiksliniai kompiuteriai, kuriuose norite priverstinai atnaujinti GPO.

Dešiniuoju pelės mygtuku spustelėkite norimą konteinerį ir pasirinkite Grupės politikos atnaujinimas.

Atsidariusiame lange bus rodoma informacija apie objektų skaičių šioje OU, kuriuose bus atnaujintas GPO. Norėdami patvirtinti veiksmą, spustelėkite mygtuką „Taip“.

Nuotolinės grupės strategijos atnaujinimo rezultatų lange matysite politikos atnaujinimo būseną, taip pat šios operacijos būseną (sėkmė/klaida, klaidos kodas). Natūralu, kad jei kompiuteris yra išjungtas arba prieigą prie jo riboja ugniasienė, atsiras atitinkama klaida.

· Be komentarų

Atnaujinti „Microsoft Windows“ grupės strategijos nustatymus vietiniame kompiuteryje nėra labai sunku naudojant tokį įrankį kaip „Gpupdate“, tačiau atnaujinti šias strategijas nuotoliniai kompiuteriai domene negalima atlikti nei naudojant „Microsoft“ valdymo pultą (MMC), nei naudojant bet kokius šiandien prieinamus „Microsoft“ produktus. Šiame straipsnyje paaiškinsiu įvairias gudrybes, scenarijus ir nemokamus įrankius, kurie leidžia atnaujinti grupės strategijos nustatymus nuotoliniuose domeno kompiuteriuose.

Įvadas

Dauguma administratorių žino apie grupės strategijos taikymo nuotoliniams kompiuteriams problemą. Sukonfigūravus kokią nors svarbią politiką, kartais norėtume, kad ta GP grupės strategija iš karto atsirastų klientų kompiuteriuose. Tačiau bėda ta, kad pagal nutylėjimą yra vadinamasis fono apdorojimasįvyksta tik intervale nuo 90 iki 120 minučių (atsitiktinai) – jei norime pagreitinti atnaujinimo procesą, tai čia liekame savo reikalams. Žinoma, yra priežastis, kodėl politika nėra tiesiog atnaujinama kas penkias minutes ar net realiuoju laiku. Daugumoje aplinkų domeno valdiklių ir tinklo apkrova bus per didelė. Bet jei reikia greitai panaudoti labai svarbus nustatymas dėl daugybės klientų saugumo būtų naudinga tokiai situacijai pasiruošti.

Mums tikrai reikia suteikti administratoriui galimybę atnaujinti Computer1, Computer2 ir (arba) Kompiuteris3 strategijas, taip pat strategijas vartotojams A, B ir C iš centralizuoto taško – administratoriaus darbo vietos, jei administratorius mano, kad tai būtina. Pažvelkite į 1 pav.

1 pav. Scenarijus

Turime puikų įrankį pavadinimu Gpupdate, kuris yra integruotas į Microsoft Windows XP ir naujesnes operacines sistemas, taip pat turime įrankį Secedit, skirtą Operacinė sistema„Windows 2000“, bet, deja Gpresult komanda Gpupdate ir Secedit įrankius galima apdoroti tik vietiniuose kompiuteriuose. Žinoma, mes jau turime sukonfigūruotą diegimo sistemą, pavyzdžiui, valdymo serverį Microsoft sistemos Systems Management Server (SMS), mes galime naudoti šią sistemą, norėdami perduoti nedidelius scenarijus, kurie vykdys reikiamą komandą vartotojų grupėje ar kompiuteriuose.

Jei jūsų tinkle tokios sistemos nėra, tuomet turėtumėte išbandyti kūrybiškesnius metodus – nes... alternatyva – eiti į viską reikalingi kompiuteriai naudojant tokį įrankį kaip nuotolinė pagalba ( Nuotolinė pagalba) arba siųsti viską vartotojams paštu prašydamas paleisti komandą Gpupdate... Taigi ieškokite kūrybiškesnių metodų.

Problemos

Prieš pasinerdamas į detales, noriu paminėti įprastas problemas, su kuriomis susiduria žmonės, bandydami naudoti šiame straipsnyje paminėtus metodus.

Užkardos problemos:

Kaip ir naudojant kitus ryšius, inicijuojamus per tinklą, paketai, kuriais bandoma atnaujinti strategijos parametrus nuotoliniuose kompiuteriuose, negalės prasiskverbti per nuotolinių kompiuterių vietinę ugniasienę (pvz., ugniasienę, kuri yra integruota į Windows operacinę sistemą, pradedant nuo Windows. XP Service Pack 2 ir naujesnės versijos), nebent ugniasienė sukonfigūruota leisti tokį įeinantį srautą (iš pasirinkto potinklio, IP ar ko nors panašaus). Įmontuotas į operacinę sistemą Windows ugniasienė turi būti sukonfigūruotas taip, kad leistų įeinantį srautą, kurį formuojame naudodami grupės strategijos objektą, todėl, ironiška, ši politika yra vienintelė, kurios negalime naudoti nuotoliniuose kompiuteriuose, kuriuose įjungta ugniasienė.

Politikos parametrai, kuriuos reikia nustatyti visiems šiame straipsnyje paminėtiems metodams, yra šie:

Kompiuterio nustatymai | Administraciniai šablonai | Tinklas | Tinklo jungtys | Windows ugniasienė| Domeno profilis | „Windows ugniasienė: leisti nuotolinio administravimo išimtį“.

Kiti įrenginiai, veikiantys kaip užkarda tarp centrinio kompiuterio ir nuotolinių kompiuterių, taip pat turi atitikti aukščiau nurodytus parametrus (žr. žinyno testą, skirtą minėtos politikos GPEDIT.MSC).

Administratoriaus teisės:

Vartotojas, kuris inicijuoja procesą nuotoliniame kompiuteryje, turi turėti vietinio administratoriaus teises – kitaip viskas neveiks taip, kaip tikitės.

Dabar, kai tuo pasirūpinote, pažvelkime į pačius metodus.

Scenarijaus rašymas

Scenarijai yra nemokami ir plačiai platinami tarp programinės įrangos profesionalų. Informacinės technologijos internetas tikrai yra „atvirasis šaltinis“. „Microsoft“ suteikė mums keletą integruotų galimybių, leidžiančių išplėsti operacinės sistemos ir aplinkos galimybes – šiame straipsnyje kalbėsime apie tai, kaip galite pasinaudoti šiomis galimybėmis nuotoliniu būdu atnaujinti GP grupės strategijas.

Gpupdate ir Secedit

Pirmiausia turime paminėti „Gpupdate“ ir „Secedit“ įrankius, be šių įrankių nebūtų įmanoma atlikti nė vieno iš šių įrankių. Visi čia paminėti scenarijai ir įrankiai daro prielaidą, kad vienas iš šių įrankių yra įdiegtas nuotoliniame kliente, atsižvelgiant į operacinės sistemos versiją. Kaip minėta aukščiau, „Secedit“ įrankis yra operacinėje Windows sistemos 2000 m., o įrankis Gpupdate buvo paimtas iš „Windows XP“ ir naujesnės operacinės sistemos, jis netgi yra „Longhorn“ operacinėje sistemoje, kokia yra dabar. Tolesniuose scenarijuose daugiausia dėmesio skirsiu Gpupdate – operacinės sistemos versiją galime patikrinti prieš paleisdami Gpupdate arba Secedit, tačiau šį patikrinimą galima pridėti vėliau be didelių sunkumų.

Failas Gpupdate.exe pagal numatytuosius nustatymus yra aplanke „%windir%\system32“, todėl mums nereikia žinoti absoliutaus kelio iki jo vietos nuotoliniame kompiuteryje. Įrankį galima iškviesti naudojant įvairių klavišų rinkinį:

Sintaksė: Gpupdate

Savo „pasidaryk pats“ scenarijuose, skirtuose HTML taikomajai programai (HTA) ir „Windows Management Instrumentations“ (WMI), daugiausia dėmesio skirsime „Gpupdate“ paleidimui be jungiklių arba su jungikliais „/Taget:Computer“ (jei norite atnaujinti kompiuterio politiką) arba „/ Target“. :Vartotojas“ (norėdami atnaujinti konkrečių naudotojų politiką). Kitos parinktys gali būti įjungtos šiek tiek padirbėjus, bet ar mums tikrai reikia „/Logoff“ ar „/Boot“? Tai reiškia, kad vartotojai gali atsijungti, jei reikia (nustatymas programinė įranga, keičiant aplankus ir pan.) arba netgi gali reikėti iš naujo paleisti kompiuterį, kol vartotojas dirba. Ar tikrai to mums reikia? Bet kokiu atveju šiems tikslams galime naudoti ir tokį įrankį kaip Shutdown.exe – todėl mano nuomone, jis nebus per daug populiarus.

PsExec

Pirmasis metodas, apie kurį noriu kalbėti, yra labai paprastas naudoti ir praktiškai nereikalauja jokių programavimo įgūdžių. Kam išrasti tai, kas jau buvo išrasta, tiesa? Įrankį, pavadintą PsExec, sukūrė Markas Russinovičius, buvęs Sysinternals savininkas, kurį Microsoft įsigijo 2006 m. liepos mėn. Šiuo metu yra 1.73 versija, kurią galima atsisiųsti iš Microsoft Technet svetainės.

PsExec įrankis yra puikus, kai kalbama apie nuotolinis vykdymas, daugiausia dėl to, kad nuotoliniame kompiuteryje nereikia diegti agentų. Jums tereikia nurodyti kompiuterio pavadinimą ir komandą, kuri bus paleista kartu su komandų eilutės jungikliais – viskas!

Maža gudrybė yra įdėti PsExec.exe failą į „%windir%“ katalogą, nes šiuo atveju mums nereikia nurodyti viso kelio iki šio failo, kai jį paleisime iš komandinės eilutės.

Norėdami atnaujinti grupės politiką nuotoliniame kompiuteryje, tereikia nurodyti „Kompiuterio pavadinimas“ šioje komandoje: „PsExec \\Computername Gpupdate“. Vartotojas, dirbantis su nuotoliniu kompiuteriu, net nežinos, kas atsitiko, bet fone Komanda Gpupdate atnaujins vartotojo ir kompiuterio strategijas ir pritaikys prarastus nustatymus. Galbūt manote, kad PsExec komandą reikia paleisti su -i parinktimi, kad nuotoliniams vartotojams būtų atnaujinta pritaikyta vartotojo politika, tačiau bandymai rodo, kad tai nėra būtina.

FLEX COMMAND scenarijus

Taigi, aukščiau paminėtas metodas leidžia atnaujinti vieno vartotojo arba kompiuterio politiką, o kaip dėl viso organizacinio vieneto (OU) atnaujinimo dalijimasis PsExec ir Gpupdate? Šiems tikslams sukūriau demonstracinį scenarijų, kad parodyčiau kai kurias galimybes, kuriomis galime pasinaudoti naudodami scenarijus. Scenarijus vadinamas FLEX COMMAND ir jį galima atsisiųsti iš čia. Galite lengvai atidaryti failą su HTA plėtiniu naudodami teksto redaktorius kaip Notepad ir pamatyti kodą, jokios paslėptos magijos.

Kai paleidžiama FLEX COMMAND, ji prisijungia prie kompiuterio, kuriame veikia, Active Directory AD domeno. Todėl jis turi būti vykdomas kompiuteryje, kuris yra domeno narys, kitaip OU nebus rasta.

Pasirinkite OU, įrankis turėtų būti apdorojamas mašinose, kurios veikia „gyvai“ (atsakant į WMI užklausas). Paskutinis dalykas, kurį reikia padaryti, yra įklijuoti komandų eilutę, kurią norime vykdyti vietinis kompiuteris, kiekvienam objektui, esančiam pasirinktame organizaciniame vienete OU. Teksto eilutė „(C)“ turi būti palikta, nes paleidus scenarijų, jis bus pakeistas kompiuterio pavadinimu.

2 pav. FLEX COMMAND veikia

Tarkime, kad OU pavadinimu „Mano kompiuteriai“ yra tik 3 kompiuteriai: Kompiuteris1, Kompiuteris2 ir Kompiuteris3. Tada mūsų įvesta komanda „psexec \\(C) gpupdate“ paverčiama šiomis 3 komandomis: „psexec \\computer1 gpupdate“, „psexec \\computer2 gpupdate“, „psexec \\computer3 gpupdate“ – visos komandos bus bus vykdomi nuosekliai (jei kompiuteriai yra „gyvi“) ir ištrintos strategijos bus atnaujintos.

Įrankį galima modifikuoti taip, kad kompiuterių sąrašas būtų sudarytas iš failo (txt, csv, xls ir kt.), duomenų bazės, specialios saugos grupės AD, naudojant rankinį pasirinkimą iš sąrašo. Taip pat galima keisti scenarijaus paleidimo būdą – tai tik demonstracinis scenarijus, kurio pagrindinis tikslas – parodyti mūsų turimas galimybes.

Scenarijus platinamas nemokamai ir jūs galite jį išbandyti, naudoti ir modifikuoti savo nuožiūra – detalės.

„Windows“ valdymo instrumentai (WMI)

Gerai, „PsExec“ įrankis yra tikrai puikus, bet ar yra kokių nors rankinių metodų, kuriais galėčiau geriau pritaikyti sprendimą savo aplinkai? Taip, iš tikrųjų yra! WMI yra labai galingas ir gana paprastas naudoti po kelių valandų mokymosi. Jei turite WMI ir jums gerai su ugniasienės leidimais bei administratoriaus teisėmis, tuomet turėtumėte galėti daryti beveik bet ką Windows aplinka aplinka – net nuotolinis išjungimas kompiuterį, perkrovimą ir nuotolinių komandų vykdymą.

Sukūriau kitą scenarijų demonstravimo tikslais, pavadintą OU GPUPDATE. Šiame HTA scenarijuje naudojami keli skirtingi metodai – iš tikrųjų tai yra nedidelis FLEX COMMAND scenarijaus modifikavimas. Pirma, ji analizuoja OU struktūrą AD (viršuje išskleidžiamasis sąrašas), suteikia vartotojams galimybę pasirinkti kompiuterius iš OU, paleisti Gpupdate su parametru „/Target:User“ arba „/Target:Computer“ arba be parametrų. iš viso. Pagal numatytuosius nustatymus bus paveikti tik „gyvi“ įrenginiai (atsakantys į WMI užklausas).

3 pav. Pasirinkite, ar atnaujinti vartotojo nustatymus, kompiuterio nustatymus ar abu

Šis scenarijus yra nemokamas ir čia galite jį išbandyti, naudoti ir modifikuoti kaip norite.

Nuotolinis scenarijus

Be WMI, turime galimybę naudoti įprastą nuotolinį scenarijų (VBScript). Tai galima įjungti nustačius tik vieną reikšmę kompiuterio registro HKLM dalyje, o scenarijų variklis turi palaikyti nuotolinį scenarijų, o nuo šios vietos visa kita tampa gana akivaizdi. Procedūra yra nukopijuoti scenarijaus failą į nuotolinį kompiuterį (scenarijus turi naudoti Gpupdate) ir išsiųsti VBScript komandą, kuri paleidžia scenarijų nuotoliniu būdu.

RGPREFRESH

RGPREFRESH yra Daren Mar-El sukurtas įrankis. Jo įrankis naudoja WMI ir paleidžia Secedit arba Gpupdate, priklausomai nuo nuotolinio kompiuterio operacinės sistemos, o raktus pasirenka vartotojas. Šie klavišai suteikia jums tokias pačias galimybes kaip ir vietiniam naudojimuišis įrankis.

Šis įrankis vienu metu apdoroja vieną mašiną, tačiau kartu su įrankiu, vadinamu FLEX COMMAND (kaip įvyniojimu), šis įrankis gali būti naudojamas visam organizacijos vienetui (OU) vos keliais pelės paspaudimais... Tiek RGPREFRESH, tiek PsExec įrankiai taip pat gali būti naudojamas kartu su DSQUERY , FOR ir kitomis komandinės eilutės programomis daugiau nei viename kompiuteryje vienu metu.

4 pav.: RGPREFRESH parinktys

Šį įrankį galima nemokamai atsisiųsti iš šio puslapio.

Specops Gpupdate

Specialiųjų operacijų programinė įranga „Specops“, tarptautinis programinės įrangos gamintojas, siūlo produktus, skirtus Aktyvus valdymas Katalogas, pagrįstas grupės strategijos technologija. Bendrovė išleido savo sprendimą nuotoliniam politikos naujinimui, o geriausia, kad jis yra visiškai nemokamas. Dabartinė Specops Gpupdate versija yra 1.0.2.13 (2006-10-25), o pačią priemonę galima atsisiųsti iš čia. Šis įrankis turi ne tik funkcijas, kurias sukūrėme aukščiau paminėtuose scenarijuose, bet ir prideda keletą valdymo galimybių. Pažvelkime į šį nuostabų įrankį...

„Specops Gpupdate“ diegimas

Įdiegti MSI programą labai paprasta – tereikia Active Directory Users & Computers (ADUC) MMC vartotojo ir Microsoft . NET Framework 2.0 versija.

5 pav. Diegimo procesas yra toks pat paprastas kaip ir diegimas MSI paketai(spustelėkite kitą, kitą, kitą)

Po įdiegimo MSI failą grafinėje sąsajoje GUI niekas nesikeičia ir tik „Add/Remove Programs“ pagalba galime sužinoti, kad mūsų kompiuteryje įdiegtas Specops. Todėl turime papildomai padirbėti dėl magiškos transformacijos...

„Active Directory“ naudotojų ir kompiuterių plėtinys

Įdiegę Specops Gpupdate į AD Forest, turite paleisti specialią komandą

„%CommonProgramFiles%\Specopssoft\Specops ADUC Extension\SpecopsAducMenuExtensionInstaller.exe“ /add

Tai nėra schemos naujinimas, nors, norėdami paleisti šią komandą, turite turėti įmonės administratoriaus teises. Ši komanda yra visiškai grįžtama, tiesiog paleiskite ją dar kartą naudodami jungiklį „/remove“. Viskas, ką reikia padaryti, yra užregistruoti vadinamuosius „Display Specifiers“, kad pagerintumėte peržiūrą naudojant ADUC.

Tada dešiniuoju pelės mygtuku spustelėkite OU arba kompiuterio objektą ir pamatysite keturias naujas komandas: Gpupdate, Restart, Shut down ir Start. Galima pasirinkti kelis kompiuterius ir OU laikant nuspaustą klavišą ir dešiniuoju pelės klavišu spustelėjus reikiamus objektus.

6 pav. ADUC MMC išplėstas

Jei jums, kaip ir man, kyla klausimas, ar pakeitimai gali būti taikomi ir ne DC domeno valdikliams, atsakymas yra taip! Po to Windows instaliacijos Server 2003 Admin Pack 1 pakeitimų paketas administravimo įrankių paketas įjungtas Windows klientas XP Professional, .NET Framework 2.0 ir Specops Gpupdate, valdymo konsolė atrodo taip pat kaip DC domeno valdiklyje ir turi tas pačias galimybes.

Gpupdate parinktys

Pirmoji mūsų parinktis leidžia nuotoliniu būdu paleisti komandą Gpupdate pasirinktuose kompiuteriuose. Pasirinkę Gpupdate, turime patvirtinti pasirinkimą, kaip parodyta 7 paveiksle, ir pažymėti langelį use force parinkčiai, jei norime naudoti stiprinimo nustatymą.

7 pav

Paspaudus mygtuką Gerai, atsiras dinaminis grafikas, žr. 8 pav., taip pat atnaujinimo eigos ataskaita.

8 pav

Paleidimo iš naujo ir išjungimo parinktys

Kiti du parametrai „Restart“ ir „Shutdown“ yra labai svarbūs valdymui, todėl mums jų reikia tiesiogiai ADUC. Galime paleisti iš naujo (perkrauti) arba išjungti (išjungti) komandą, taip pat nustatyti laiko intervalą sekundėmis, kuris suteikiamas vartotojui viską uždaryti veikiančias programas. Parašyti scenarijų, kuris atliktų visus tuos pačius dalykus, nėra labai sunku naudojant WMI arba naudojant komandą Shutdown.exe su tinkamais jungikliais, tačiau Specops Gpupdate dėka šią funkciją gauname visiškai nemokamai, neinvestuodami laiko ir pastangų.

9 pav. Iš naujo paleisties pranešimo dialogo langas

Pradžios parametras Paskutinis iš keturių parametrų vadinamas „Pradėti“ ir iš tikrųjų yra „Wake on LAN“ arba „WOL“ funkcija, integruota į ADUC. Pasirinkus ir patvirtinus šį parametrą, žr. 10 pav., bus išsiųstas vadinamasis Magic paketas MAC adresai klientų kompiuteriuose ir jie bus pradėti atsisiųsti. Kad WOL veiktų, turi būti palaikoma atitinkama funkcija Kompiuterio BIOS. Specops Gpupdate sąveikauja su korporacijos Microsoft DHCP serveriais, kad surastų šiam procesui reikalingą informaciją, todėl galima pažadinti DHCP klientus ir tik tinkle su įdiegtais Microsoft DHCP serveriais.

10 pav. Patvirtinkite nuotolinio WOL paleidimą

Beje, scenarijus taip pat galima naudoti WOL; tokio kodo pavyzdžiai nepatenka į šio straipsnio taikymo sritį.

Išvada

Išnagrinėjome keletą būdų, kaip nuotoliniams kompiuteriams taikyti grupės politiką. Kuris metodas jums tinkamiausias, priklauso nuo jūsų aplinkos. Asmeniškai man patinka rašyti scenarijų, bet kam sunkiai dirbti su tuo, ką jau yra sukūrę kiti? Turiu du atsakymus į šį klausimą. Pirmoji – mokomės rašydami tokius scenarijus, o antra – specialios sąlygos arba gamyba pagal užsakymą. Scenarijų rašymas pagerina mūsų, kaip informacinių technologijų profesionalų, įgūdžius ir leidžia mums pritaikyti savo poreikius paruoštus sprendimus kad geriau atitiktų konkrečias sąlygas.

Specops sukūrė labai gerą nemokamas įrankis, kuri atlieka pagrindines tinklo klientų politikos atnaujinimo funkcijas. Rekomenduoju išbandyti!

Šaltinis www.windowsecurity.com