GPO değişikliklerinden sonra bunların diğer sistemlere yayılması biraz zaman alır (90 dakika +/- 30) ancak acilen uygulanması gerekiyorsa yönetici uzaktaki sistemde oturum açar ve “ komutunu çalıştırır. gpupdate" Çok sayıda PC'de süreç biraz zaman aldı ve sürecin kendisi zahmetli oldu. Artık bunu unutabilirsiniz. Grup İlkesi Yönetim Konsolu'nda (GPMC) içerik menüsü alan adı ve bölüm yeni bir öğe var “ Grup İlkesi Güncellemesi” (Grup İlkesi Güncellemesi), Windows Vista/2008'den başlayarak sistem politikalarını iki fare tıklamasıyla güncellemenize olanak tanır. Görevi etkinleştirdikten sonra bilgisayarların ve kayıtlı kullanıcıların bir listesi alınacak ve ardından "görev" Gpupdate.exe /force" Ağ tıkanıklığını önlemek için 0-10 dakika aralığında rastgele bir gecikmeyle gerçekleştirilecektir. Görevin sonucu ayrı bir pencerede görüntülenir; güncellemenin başarısı, ortaya çıkan politika sihirbazı kullanılarak belirlenebilir.
Yeni işlev aynı zamanda kendi cmdlet'ini de aldı - Invoke-GPUpdate GPMC'yi uzaktan güncellemenize olanak tanır ve GPMC'den bile daha fazla yetenek sağlar. Bu arada, artık grup politikalarından 27 cmdlet sorumlu; bir tane daha (al tam liste girebilirsin " Get-Command -Module GroupPolicy«).
Belirli bir sistemdeki politikaları hemen güncellemek için şunu çalıştırın:

PS> Invoke-GPUpdate -Bilgisayar< имя компьютера>

Ek anahtar –RandomDelayInMinutes bir zaman aşımı aralığı ayarlamanıza olanak tanır; bu, komutun birden fazla sistemde yürütülmesi durumunda kullanışlıdır.
Ancak asıl önemli olan, GPMC konsolunda yalnızca bir bölümü seçebilmenizdir; orada ayrı bir bilgisayar konteyneri yoktur. Get-ADComputer cmdlet'iyle birlikte sistemleri herhangi bir kritere göre seçmenize olanak tanıyan Invoke-GPUpdate'in kurtarmaya geldiği yer burasıdır:

PS> Get-ADComputer –filter * -Searchbase "cn=bilgisayarlar, dc=örnek,dc=org" | foreach( Invoke-GPUpdate –bilgisayar $_.isim –force –-RandomDelayInMinutes 5)

Daha önemli nokta istemci sistemlerinde birden fazla güvenlik duvarı bağlantı noktasının açılması gerekir. Yöneticinin hayatını kolaylaştırmak için MS, (mevcut 8 politikaya ek olarak) 2 yeni başlangıç ​​politikası sunarak, hızlı bir şekilde oluşturmanıza ve dağıtmanıza olanak tanır. gerekli ayarlar:

- Güvenlik duvarı bağlantı noktaları uzaktan güncelleme Grup ilkesi;
- Grup İlkesi raporları için güvenlik duvarı bağlantı noktaları.

Amaçları adından bellidir. Biz ilkiyle ilgileniyoruz. Oluşturulması tavsiye edilir yeni nesne Grup İlkesi'ni seçin ve en üste taşıyın, böylece ona varsayılan etki alanı GPO'sundan daha yüksek bir öncelik verilir.
İşlem basittir. Etki alanını seçin ve menüden “Bu etki alanında GPO oluştur”u seçin. Görüntülenen pencerede adı girin ve "Uzak Grup İlkesi güncellemesi için güvenlik duvarı bağlantı noktaları" listesinden seçim yapın. Alternatif olarak PowerShell'i kullanabilirsiniz.

Sık sık başvurulabilecek ve alınması gereken kısa bir makale yazmam gerektiğine karar verdim. Bu makalenin konusu ise nasıl güncelleneceğidir Grup ilkesi.

Bir politikayı neden manuel olarak güncellemeniz gerekiyor?

Bu ne zaman işe yarayabilir? Neredeyse her zaman, herhangi bir politikadaki herhangi bir parametreyi değiştirdiğinizde. Hayır, politikanın yalnızca manuel olarak güncellenmesi gerektiğini düşünmeyin. Aslında otomatik olarak güncellenir. Her bir buçuk saatte bir! Bir politikayı değiştirdiğinizi ve politikanın tam olarak istediğiniz gibi çalışıp çalışmadığını kontrol etmek için bir buçuk saat beklediğinizi hayal edin. Brad, değil mi?

Doğal olarak saçmalık. Bu nedenle, bilgisayarı grup ilkelerini manuel olarak güncellemeye zorlamanın bir yolu vardır. Ve ondan önce küçük bir teori. Bildiğiniz gibi politikacılar iki büyük gruba ayrılıyor:

• bilgisayar politikaları
• kullanıcı politikaları

Birinci gruptaki politikalar bilgisayarın tüm kullanıcılarına uygulanırken, ikinci gruptaki politikalar yalnızca bireysel kullanıcılara uygulanır. Yani bilgisayar başlatıldığında grup politikaları hemen yüklenir. Üstelik tüm politikalar sıfırdan okunarak en son değişikliklerin uygulanması sağlanır. Ancak kullanıcı sisteme giriş yaptığında kullanıcı politikaları kontrol edilir ve yüklenir.

Bu gerçekleri bilerek, işte çözümünüz. Kullanıcı politikası değişikliklerinin etkili olması için oturumu kapatıp tekrar oturum açın. Bilgisayar ilkelerinizi güncellemeniz gerekiyorsa bilgisayarınızı yeniden başlatın. Şaka.

Yerel grup ilkesini güncelleme komutu

Açıklanan yöntemler kesinlikle istenen sonuca yol açacaktır, ancak oldukça aptalcadırlar. Sonuçta harika bir yardımcı program var Komut satırı hak sahibi gpupdate. Genel olarak grup ilkesini güncellemek için aşağıdaki komut yeterlidir:

Gpupdate /force

Bu basit eylemle bilgisayar politikalarınızı hızlı bir şekilde güncelleyebilirsiniz.

Bu makalede, bir etki alanının istemcileri (bilgisayarlar ve sunucular) üzerindeki grup ilkelerini uzaktan güncellemenin basit bir yolunu göstereceğiz. Aktif Dizin Uzak makinenin konsoluna erişmenize gerek kalmadan ve gpupdate komutunu kullanmadan.

AD grup ilkelerini yönetmedeki en zor sorunlardan biri, bilgisayarı yeniden başlatmadan veya yerel bilgisayara erişip komutu çalıştırmadan ilkeleri anında test etmektir.

Uzak Grup İlkesi Güncelleme özelliği, grup ilkelerini oluşturmak, düzenlemek, uygulamak ve test etmek için tek bir GPO yönetim konsolunu (GPMC.msc) kullanma yeteneği sağlar.

Uzak grup politikası güncellemesinin işlevselliği ilk olarak Microsoft Windows Server 2012, sonraki tüm sürümler ( Windows Server 2016, Microsoft Windows 10), bu işlevsellik ve kararlılığı giderek geliştirildi.

Uzak Grup İlkesi Güncellemesinin çalışması için gerekenler:

Sunucu ortamı gereksinimleri:

• Windows Server 2012 ve üzeri
• Veya RSAT yönetim araçlarının yüklü olduğu Windows 10

Müşteriler için gereksinimler:

• Windows 7 ve üzeri

Gereksinimler ağ oluşturma(güvenlik duvarları) sunucu ve istemciler arasında

• TCP Bağlantı Noktası 135 açık olmalıdır
• Etkinleştirilmiş Windows hizmeti Yönetim Araçları (hizmet Windows yönetimi)
• Görev Zamanlayıcı Hizmeti

Ortamınız bu gereksinimleri karşılıyorsa Grup İlkesi Yönetim Konsolu'nu (GPMC.msc) açın, GPO güncellemesini zorlamak istediğiniz hedef bilgisayarların bulunduğu kuruluş birimini (kapsayıcı) seçin.

İstediğiniz konteynere sağ tıklayın ve seçin Grup İlkesi Güncellemesi.

Açılan pencerede, bu OU'da GPO'nun güncelleneceği nesnelerin sayısı hakkında bilgi görünecektir. İşlemi onaylamak için “Evet” düğmesine tıklayın.

Uzak Grup İlkesi güncelleme sonuçları penceresinde, politika güncellemesinin durumunu ve bu işlemin durumunu (başarı/hata, hata kodu) göreceksiniz. Doğal olarak, bilgisayar kapatılırsa veya ona erişim bir güvenlik duvarı tarafından kısıtlanırsa, buna karşılık gelen bir hata görünecektir.

· Yorum yok

Microsoft Windows Grup İlkesi ayarlarını yerel bir makinede güncellemek, Gpupdate gibi bir araç kullanarak yapmak çok zor değildir, ancak bu politikaları yerel bir makinede güncellemek uzak bilgisayarlar bir etki alanında konsol kullanılarak yapılamaz Microsoft yönetimi Yönetim Konsolu (MMC) veya bugün mevcut olan herhangi bir Microsoft ürününü kullanma. Bu makalede, bir etki alanındaki uzak bilgisayarlardaki grup ilkesi ayarlarını güncellemenize olanak tanıyan çeşitli hileler, komut dosyaları ve ücretsiz araçlar konusunda size yol göstereceğim.

giriiş

Çoğu yönetici, uzak bilgisayarlara grup ilkeleri uygulama sorununun farkındadır. Bazı önemli ilkeleri yapılandırdıktan sonra bazen GP grup ilkesinin istemci bilgisayarlarda hemen görünmesini isteriz. Ancak sorun şu ki, varsayılan olarak sözde arka plan işleme yalnızca 90 ila 120 dakika aralığında (rastgele) gerçekleşir - güncelleme sürecini hızlandırmak istiyorsak, burada kendi cihazlarımıza bırakılırız. Elbette politikaların her beş dakikada bir, hatta gerçek zamanlı olarak güncellenmemesinin bir nedeni var. Etki alanı denetleyicileri ve ağ üzerindeki yük çoğu ortamda kaldırılamayacak kadar fazla olacaktır. Ancak hızlı bir şekilde kullanmaya ihtiyaç duyulursa önemli ayarÇok sayıda müşterinin güvenliği açısından böyle bir duruma hazırlıklı olmak iyi bir fikir olacaktır.

Gerçekten ihtiyacımız olan şey, bir yöneticinin Bilgisayar1, Bilgisayar2 ve/veya Bilgisayar3'teki politikaların yanı sıra A, B ve C Kullanıcılarına yönelik politikaları merkezi bir noktadan (yönetici iş istasyonu) güncelleme yeteneğini sağlamaktır. gerekli görüyor. Şekil 1'e bakın.

Şekil 1: Senaryo

Microsoft Windows XP ve daha yeni işletim sistemlerinde yerleşik olan Gpupdate adında harika bir aracımız var - ve ayrıca Secedit adında bir aracımız da var. işletim sistemi Windows 2000 - ama ne yazık ki Gpresult ekibi Gpupdate ve Secedit araçları yalnızca yerel bilgisayarlarda işlenebilir. Elbette yönetim sunucusu gibi önceden yapılandırılmış bir kurulum sistemimiz var Microsoft sistemleri Systems Management Server (SMS), bu sistemi bir grup kullanıcı veya bilgisayarda gerekli komutu çalıştıracak küçük komut dosyalarını iletmek için kullanabiliriz.

Eğer ağınızda böyle bir sistem yoksa daha yaratıcı yaklaşımlar denemelisiniz - çünkü... alternatif her şeye gitmektir gerekli bilgisayarlar Uzaktan Yardım gibi bir araç kullanarak ( Uzaktan yardım) veya tümünü kullanıcılara gönderin e-posta sizden Gpupdate komutunu çalıştırmanızı istiyor... O halde daha yaratıcı yaklaşımlar arayın.

Sorunlar

Detaylara girmeden önce şunu belirtmek istiyorum. ortak sorunlarİnsanların bu makalede bahsedilen yöntemleri kullanmaya çalışırken karşılaştıkları sorunlar.

Güvenlik duvarı sorunları:

Ağ üzerinden başlatılan diğer bağlantılarda olduğu gibi, uzak bilgisayarlardaki ilke ayarlarını güncellemeye çalışan paketler, uzak bilgisayarlardaki yerel güvenlik duvarına (Windows işletim sisteminde yerleşik olarak Windows ile başlayan güvenlik duvarı gibi) nüfuz edemez. XP Service Pack 2 ve üzeri), güvenlik duvarı bu tür gelen trafiğe (seçili bir alt ağdan, IP'den veya buna benzer bir şeyden) izin verecek şekilde yapılandırılmadığı sürece. İşletim sistemine yerleşik Windows Güvenlik Duvarı grup ilkesi nesnesini kullanarak şekillendirdiğimiz gelen trafiğe izin verecek şekilde yapılandırılmalıdır; bu nedenle, ironik bir şekilde, bu politika, güvenlik duvarı etkinleştirilmiş uzak bilgisayarlar için kullanamayacağımız tek politikadır.

Bu yazıda bahsedilen tüm yöntemler için ayarlanması gereken politika ayarları aşağıdaki gibidir:

Bilgisayar Ayarları | Yönetim Şablonları | Ağ | Ağ Bağlantıları | Windows Güvenlik Duvarı| Etki Alanı Profili | “Windows Güvenlik Duvarı: Uzaktan yönetim istisnasına izin ver.”

arasında güvenlik duvarı görevi gören diğer cihazlar merkezi bilgisayar ve uzaktaki bilgisayarların da yukarıdaki ayarlara uyması gerekir (GPEDIT.MSC'de bahsedilen politika için Yardım testine bakın).

Yönetici hakları:

Uzak bilgisayarda işlemi başlatan kullanıcının yerel yönetici haklarına sahip olması gerekir; aksi takdirde işler beklediğiniz gibi çalışmayacaktır.

Artık tüm bunları hallettiğinize göre, yöntemlere bakalım.

Senaryo yazmak

Komut dosyaları ücretsizdir ve yazılım uzmanları arasında yaygın olarak dağıtılır. Bilişim teknolojisiİnternet gerçek anlamda “Açık Kaynaktır”. Microsoft, işletim sisteminin ve ortamın yeteneklerini genişletmek için bize çeşitli yerleşik yetenekler sağlamıştır; bu makalede, GP grup ilkelerini uzaktan güncellemek için bu yetenekleri nasıl kullanabileceğinizi anlatacağız.

Gupdate ve Secedit

Öncelikle Gpupdate ve Secedit araçlarından bahsetmeliyiz, bu araçlar olmadan aşağıdakilerin hiçbiri mümkün olmazdı. Burada bahsedilen komut dosyaları ve araçların tümü, işletim sistemi sürümüne bağlı olarak bu araçlardan birinin uzak istemcide yüklü olduğunu varsayar. Yukarıda da bahsettiğimiz gibi Secedit aracı ameliyathanede yer almaktadır. Windows sistemleri 2000 ve Gpupdate aracı Windows XP işletim sisteminden alınmıştır ve şu anda olduğu gibi Longhorn işletim sisteminde bile mevcuttur. Aşağıdaki senaryolarda Gpupdate'e odaklanacağım - Gpupdate veya Secedit'i çalıştırmadan önce işletim sistemi sürümünü kontrol edebiliriz, ancak bu kontrol daha sonra çok fazla zorluk yaşamadan eklenebilir.

Gpupdate.exe dosyası varsayılan olarak “%windir%\system32” klasöründe bulunur, bu nedenle uzak makinedeki konumunun mutlak yolunu bilmemize gerek yoktur. Araç bir dizi farklı tuşla çağrılabilir:

Sözdizimi: Gpupdate

HTML Uygulaması (HTA) ve Windows Yönetim Araçları (WMI) için Kendin Yap komut dosyalarımızda, Gpupdate'i anahtarlar olmadan veya “/Taget:Bilgisayar” (bilgisayara özgü politikaları güncellemek için) veya “/ Target anahtarları ile çalıştırmaya odaklanacağız. :Kullanıcı” (kullanıcıya özel politikaları güncellemek için). Küçük bir çalışmayla diğer seçenekler etkinleştirilebilir - ancak gerçekten "/Logoff" veya "/Boot"a ihtiyacımız var mı? Bu, gerektiğinde kullanıcıların oturumdan çıkabileceği anlamına gelir (ayar yazılım, klasör değiştirme vb.) veya kullanıcı çalışırken bilgisayarın yeniden başlatılmasını gerektirebilir. Gerçekten ihtiyacımız olan şey bu mu? Her durumda, bu amaçlar için Shutdown.exe gibi bir araç da kullanabiliriz - bu yüzden çok popüler olmayacağı yönünde.

PsExec

Bahsetmek istediğim ilk yöntemin kullanımı oldukça kolaydır ve neredeyse hiç programlama becerisi gerektirmez. Zaten icat edilmiş bir şeyi neden icat edelim ki, değil mi? PsExec adı verilen araç, Temmuz 2006'da Microsoft tarafından satın alınan Sysinternals'ın eski sahibi Mark Russinovich tarafından geliştirilmiştir. Sürüm 1.73 şu anda mevcuttur ve Microsoft Technet web sitesinden indirilebilir.

PsExec aracı şu konularda mükemmeldir: uzaktan yürütme bunun temel nedeni uzak bilgisayara aracıların yüklenmesini gerektirmemesidir. Komut satırındaki anahtarlarla birlikte bilgisayar adını ve çalıştırılacak komutu belirtmeniz yeterlidir - işte bu kadar!

PsExec.exe dosyasını “%windir%” dizinine yerleştirmek küçük bir püf noktasıdır, çünkü bu durumda, bu dosyayı komut satırından çalıştırırken tam yolunu belirtmemize gerek yoktur.

Uzak bir makinedeki grup ilkelerini güncellemek için tek yapmamız gereken aşağıdaki komutta 'Bilgisayar adı'nı belirtmektir: “PsExec \\Bilgisayar Adı Gpupdate”. Uzaktaki makinede çalışan kullanıcı ne olduğunu bile bilmeyecek ama arka plan Gpupdate komutu, kullanıcı ve bilgisayar için politikaları güncelleyecek ve kaybolan ayarları uygulayacaktır. Uzak kullanıcıları özel kullanıcı politikalarıyla güncellemek için PsExec komutunun -i seçeneğiyle çalıştırılması gerektiğini düşünebilirsiniz, ancak testler bunun gerekli olmadığını göstermektedir.

FLEX KOMUT komut dosyası

Dolayısıyla, yukarıda bahsedilen yöntem, tek bir kullanıcı veya bilgisayar için politikaları güncellemenize olanak tanır, peki ya tüm Organizasyon Birimini (OU) güncelleme sayesinde? paylaşım PsExec ve Gpupdate? Bu amaçlar doğrultusunda, komut dosyası oluşturma yoluyla yararlanabileceğimiz bazı olasılıkları göstermek için bir demo komut dosyası oluşturdum. Betiğin adı FLEX COMMAND'dır ve buradan indirilebilir. HTA uzantılı bir dosyayı kullanarak kolayca açabilirsiniz. Metin düzeltici Not Defteri'ni beğenin ve kodu görün, gizli sihir yok.

FLEX COMMAND başlatıldığında, üzerinde çalıştığı bilgisayarın Active Directory AD etki alanına bağlanır. Bu nedenle, bir etki alanına üye olan bir bilgisayarda yürütülmesi gerekir, aksi takdirde OU bulunamaz.

OU'yu seçin; aracın "canlı" olan (WMI isteklerine yanıt veren) makinelerde işlenmesi gerekir. Yapılacak son şey, yürütmek istediğimiz komut satırını yapıştırmaktır. yerel bilgisayar, seçilen kuruluş birimi kuruluş biriminde bulunan her nesne için. “(C)” metin satırı bırakılmalıdır çünkü komut dosyası çalıştırıldığında bilgisayar adıyla değiştirilecektir.

Şekil 2: FLEX COMMAND iş başında

“Bilgisayarlarım” adı verilen OU'nun yalnızca 3 bilgisayar içerdiğini varsayalım: Bilgisayar1, Bilgisayar2 ve Bilgisayar3. Yazdığımız “psexec \\(C) gpupdate” komutu daha sonra şu 3 komuta çevrilir: “psexec \\computer1 gpupdate”, “psexec \\computer2 gpupdate”, “psexec \\computer3 gpupdate” - tüm komutlar sıralı olarak yürütülür (bilgisayarlar "canlı" ise) ve silinen politikalar güncellenecektir.

Araç, listeden manuel seçim kullanılarak bilgisayarların listesi bir dosyadan (txt, csv, xls, vb.), bir veritabanından, AD'deki özel bir güvenlik grubundan gelecek şekilde değiştirilebilir. Komut dosyasının başlatılma şekli de değiştirilebilir; bu yalnızca bir demo komut dosyasıdır ve asıl amacı sahip olduğumuz yetenekleri göstermektir.

Komut dosyası ücretsiz olarak dağıtılır ve kendi takdirinize bağlı olarak test edebilir, kullanabilir ve değiştirebilirsiniz - ayrıntılar.

Windows Yönetim Araçları (WMI)

Tamam, PsExec aracı gerçekten harika, ancak çözümü ortamıma göre daha iyi özelleştirmek için kullanabileceğim herhangi bir manuel yöntem var mı? Evet aslında var! WMI çok güçlüdür ve birkaç saatlik öğrenmenin ardından kullanımı oldukça kolaydır. WMI'nız varsa ve güvenlik duvarı izinleri ve yönetici hakları konusunda sorun yaşıyorsanız, o zaman neredeyse her şeyi yapabilmeniz gerekir. Windows ortamıçevre – hatta uzaktan kapatma bilgisayar, yeniden başlatılıyor ve uzak komutlar yürütülüyor.

Gösteri amaçlı olarak OU GPUPDATE adında başka bir komut dosyası oluşturdum. Bu HTA betiği birkaç farklı teknik kullanır; aslında FLEX COMMAND betiğinin küçük bir modifikasyonudur. İlk olarak, AD'deki OU yapısını ayrıştırır (üstteki açılır liste), kullanıcılara OU'dan bilgisayar seçme, Gpupdate'i "/Target:User" veya "/Target:Computer" parametresiyle çalıştırma veya hiçbir parametre olmadan çalıştırma seçeneği sunar. hiç de. Varsayılan olarak yalnızca "canlı" makineler (WMI isteklerine yanıt veren) etkilenecektir.

Şekil 3: Kullanıcı Ayarlarının mı, Bilgisayar Ayarlarının mı yoksa her ikisinin mi güncelleneceğini seçin

Bu script ücretsizdir ve buradan dilediğiniz gibi test edebilir, kullanabilir ve değiştirebilirsiniz.

Uzaktan komut dosyası oluşturma

WMI'ya ek olarak, normal uzaktan komut dosyası oluşturma (VBScript) kullanma seçeneğimiz de vardır. Bu, bilgisayarın kayıt defterinin HKLM bölümünde yalnızca bir değer ayarlanarak etkinleştirilebilir ve komut dosyası oluşturma motorunun uzaktan komut dosyası oluşturmayı desteklemesi gerekir ve bu noktadan sonra diğer her şey oldukça açık hale gelir. Prosedür, komut dosyasını uzak bilgisayara kopyalamak (bu komut dosyası Gpupdate'i kullanmalıdır) ve ardından komut dosyasını uzaktan çalıştıran bir VBScript komutu göndermektir.

RGPREFRESH

RGPREFRESH, Daren Mar-El tarafından geliştirilen bir araçtır. Aracı WMI kullanıyor ve uzak bilgisayardaki işletim sistemine bağlı olarak kullanıcı tarafından seçilen tuşlarla Secedit veya Gpupdate'i çalıştırıyor. Bu tuşlar size aşağıdakilerle aynı yetenekleri sağlar: yerel kullanım bu araç.

Bu araç aynı anda bir makineyi işler, ancak FLEX COMMAND (sarmalayıcı olarak) adı verilen bir araçla birlikte bu araç, yalnızca birkaç fare tıklamasıyla tüm bir kuruluş birimi (OU) için kullanılabilir... Hem RGPREFRESH ve PsExec araçları aynı anda birden fazla bilgisayarda DSQUERY yardımcı programları, FOR ve diğer komut satırı yardımcı programları ile birlikte de kullanılabilir.

Şekil 4: RGPREFRESH Seçenekleri

Bu araç bu sayfadan ücretsiz olarak indirilebilir.

Specops Gpupdate

Uluslararası bir yazılım üreticisi olan Specops, Özel Harekat Yazılımı için ürünler sunmaktadır. Aktif yönetim Grup ilkesi teknolojisine dayalı dizin. Şirket, uzaktan politika güncellemeleri için kendi çözümünü yayınladı ve en iyi yanı, tamamen ücretsiz olmasıdır. Specops Gpupdate'in güncel sürümü 1.0.2.13'tür (2006-10-25) ve yardımcı programın kendisi buradan indirilebilir. Bu araç sadece yukarıda bahsettiğimiz scriptlerde geliştirdiğimiz işlevselliğe sahip olmakla kalmıyor, aynı zamanda çeşitli yönetim yetenekleri de ekliyor. Bu harika yardımcı programa bir göz atalım...

Specops Gpupdate'in Kurulumu

Bir MSI uygulamasını yüklemek çok basittir; tek gereken bir Active Directory Kullanıcıları ve Bilgisayarları (ADUC) MMC kullanıcısı ve bir Microsoft . NET Çerçevesi sürüm 2.0.

Şekil 5: Kurulum süreci kurulum kadar basittir MSI paketleri(sonraki, sonraki, sonraki'ye tıklayın)

Yüklemeden sonra MSI dosyası Grafiksel arayüz GUI'sinde hiçbir şey değişmez ve yalnızca “Program Ekle/Kaldır” yardımıyla Specops'un makinemizde kurulu olduğunu öğrenebiliriz. Bu nedenle büyülü dönüşüm için ekstra çalışma yapmalıyız...

Active Directory Kullanıcıları ve Bilgisayarları için Uzantı

Specops Gpupdate'i AD Forest'a yükledikten sonra özel bir komut çalıştırmanız gerekir.

“%CommonProgramFiles%\Specopssoft\Specops ADUC Extension\SpecopsAducMenuExtensionInstaller.exe” /add

Bu komutu çalıştırmak için Kurumsal Yönetici haklarına sahip olmanız gerekmesine rağmen, bu bir şema güncellemesi değildir. Bu komut kesinlikle geri döndürülebilir, sadece “/remove” anahtarıyla tekrar çalıştırın. Yaptığı tek şey, ADUC kullanarak görüntülemeyi geliştirmek için "Görüntü Belirleyicileri" olarak adlandırılan kaydı yapmaktır.

Daha sonra kuruluş birimine veya bilgisayar nesnesine sağ tıklayın; dört yeni komutun göründüğünü göreceksiniz: Gpupdate, Yeniden Başlat, Kapat ve Başlat. Tuşu basılı tutarak ve gerekli nesnelerin üzerinde farenin sağ düğmesini tıklatarak birden fazla bilgisayar ve kuruluş birimini seçmek mümkündür.

Şekil 6: Genişletilmiş ADUC MMC

Eğer siz de benim gibi değişikliklerin DC olmayan etki alanı denetleyicilerine de uygulanıp uygulanamayacağı konusunda bir sorunuz varsa, yanıt evet! Sonrasında Windows kurulumları Server 2003 Admin Pack Service Pack 1 Yönetim Araçları Paketi Windows istemcisi XP Professional, .NET Framework 2.0 ve Specops Gpupdate, yönetim konsolu DC etki alanı denetleyicisindekiyle aynı görünür ve aynı yeteneklere sahiptir.

Gpupdate seçenekleri

Elimizdeki ilk seçenek, seçilen bilgisayarlarda Gpupdate komutunu uzaktan çalıştırmamıza olanak tanıyor. Gpupdate'i seçtikten sonra Şekil 7'deki gibi seçimi onaylamalı ve gain ayarını kullanmak istiyorsak useforce seçenek kutusunu işaretlemeliyiz.

Şekil 7

Tamam düğmesine tıkladıktan sonra dinamik bir grafik görünecektir (bkz. Şekil 8) ve ayrıca güncellemenin ilerleyişi hakkında bir rapor görünecektir.

Şekil 8

Yeniden Başlatma ve Kapatma seçenekleri

Sonraki iki parametre 'Yeniden Başlatma' ve 'Kapatma' kontrol için çok önemlidir, dolayısıyla bunlara doğrudan ADUC'ta ihtiyacımız var. Yeniden başlatma (yeniden başlatma) veya kapatma (kapatma) komutunu çalıştırabilir ve ayrıca kullanıcıya her şeyi kapatması için verilen zaman aralığını saniye cinsinden ayarlayabiliriz. uygulamaları çalıştırmak. WMI kullanarak veya Shutdown.exe komutunu doğru anahtarlarla kullanarak aynı şeyleri yapacak bir komut dosyası yazmak çok zor değil, ancak Specops Gpupdate sayesinde bu işlevselliği zaman ve çaba yatırımı yapmadan tamamen ücretsiz olarak elde ediyoruz.

Şekil 9: Yeniden Başlatma Mesajı İletişim Kutusu

Başlatma Parametresi Dört parametreden sonuncusu 'Başlat' olarak adlandırılır ve aslında ADUC'ta yerleşik olan LAN'da Uyandırma veya WOL işlevidir. Bu parametreyi seçip onayladıktan sonra (bkz. Şekil 10), Magic paket olarak adlandırılan paket gönderilecektir. MAC adresleri istemci bilgisayarlar ve indirmeye başlayacaklar. WOL'un çalışması için ilgili işlevselliğin desteklenmesi gerekir Bilgisayar BIOS'u. Specops Gpupdate, bu işlemi yürütmek için gereken bilgileri bulmak üzere şirketteki Microsoft DHCP sunucularıyla etkileşime girer, böylece DHCP istemcilerini uyandırmak yalnızca Microsoft DHCP sunucularının yüklü olduğu bir ağda mümkündür.

Şekil 10: Uzak WOL'un başlatılmasını onaylayın

Bu arada, komut dosyaları WOL için de kullanılabilir; bu tür kod örnekleri bu makalenin kapsamı dışındadır.

Çözüm

Grup ilkelerini uzak bilgisayarlara uygulamanın çeşitli yollarını inceledik. Hangi yöntemin sizin için en iyisi olduğu ortamınıza bağlıdır. Kişisel olarak senaryo yazmayı seviyorum ama neden başkalarının zaten yarattığı bir şey üzerinde çok çalışmaktan rahatsız olayım ki? Bu soruya iki cevabım var. Birincisi bu tür senaryoları yazarken öğrenmemiz, ikincisi ise özel koşullar veya özel üretimdir. Senaryo yazmak, bilgi teknolojisi profesyonelleri olarak becerilerimizi geliştirir ve aynı zamanda özelleştirmemize de olanak tanır. hazır çözümler Belirli koşulları daha iyi karşılamak için.

Specops çok iyi bir çözüm geliştirdi ücretsiz yardımcı program Ağ istemcilerindeki politikaları güncellemenin ana işlevlerini yerine getiren. Denemenizi tavsiye ederim!

Kaynak www.windowsecurity.com