به روز رسانی سیاست امنیتی محلی نحوه سرعت بخشیدن به روند به روز رسانی خط مشی گروه اسکریپت از راه دور

تصمیم گرفتم که باید یک مقاله کوتاه بنویسم که می‌توان و باید اغلب به آن ارجاع داد. و موضوع این مقاله نحوه به روز رسانی Group Policy است.

چرا باید خط مشی را به صورت دستی به روز کنید؟

چه زمانی این ممکن است مفید باشد؟ تقریباً همیشه وقتی تنظیمی را در یک خط مشی تغییر می دهید. نه، فکر نکنید که این خط مشی فقط باید به صورت دستی به روز شود. در واقع به صورت خودکار آپدیت می شود. هر یک ساعت و نیم یک بار! تصور کنید برخی از سیاست ها را تغییر می دهید و یک ساعت و نیم صبر می کنید تا بررسی کنید که آیا دقیقاً همان طور که می خواهید کار می کند یا خیر. براد، درسته؟

طبیعی است که مزخرف است. بنابراین، راهی وجود دارد که کامپیوتر را مجبور به آپدیت دستی خط مشی های گروه کند. قبل از آن، یک نظریه کوچک. همانطور که می دانید سیاستمداران به دو گروه بزرگ تقسیم می شوند:

• سیاست کامپیوتر
• خط مشی کاربر

خط‌مشی‌های گروه اول برای همه کاربران رایانه اعمال می‌شود، در حالی که خط‌مشی‌های گروه دوم فقط برای کاربران فردی اعمال می‌شوند. بنابراین، هنگامی که کامپیوتر بوت می شود، سیاست های گروه بلافاصله بارگیری می شوند. علاوه بر این، تمام خط مشی ها از ابتدا خوانده می شوند که برنامه را تضمین می کند تغییرات اخیر. اما سیاست های کاربر با ورود کاربر بررسی و بارگذاری می شود.

با دانستن این حقایق، در اینجا راه حلی برای شما وجود دارد. برای اعمال تغییرات خط مشی کاربر، از سیستم خارج شوید و دوباره وارد شوید. اگر نیاز به به‌روزرسانی خط‌مشی‌های رایانه دارید، رایانه خود را مجدداً راه‌اندازی کنید. شوخی

فرمان برای به روز رسانی خط مشی گروه محلی

روش های توصیف شده مطمئناً به نتیجه مطلوب منجر می شوند ، اما آنها نسبتاً احمقانه هستند. پس از همه، یک ابزار عالی وجود دارد خط فرمانتحت عنوان gpupdate.به طور کلی، برای به روز رسانی خط مشی گروه، دستور کافی است:

Gpupdate /force

با چنین اقدام ساده ای می توانید به سرعت سیاست های کامپیوتر را به روز کنید.

در این مقاله، ما یک راه ساده برای به‌روزرسانی از راه دور خط‌مشی‌های گروه در کلاینت‌ها (رایانه‌ها و سرورها) یک دامنه را نشان خواهیم داد. اکتیو دایرکتوری، بدون نیاز به دسترسی به کنسول دستگاه از راه دور و بدون استفاده از دستور gpupdate.

یکی از سخت‌ترین مشکلات در مدیریت خط‌مشی گروه AD، آزمایش سیاست‌ها در جریان است، بدون راه‌اندازی مجدد رایانه یا دسترسی به رایانه محلی و اجرای آن.

عملکرد از راه دور Group Policy Update امکان استفاده از یک کنسول مدیریت GPO (GPMC.msc) را برای ایجاد، اصلاح و اعمال و آزمایش خط‌مشی‌های گروه فراهم می‌کند.

عملکرد به روز رسانی خط مشی گروه راه دور برای اولین بار در ظاهر شد ویندوز مایکروسافتسرور 2012، تمام نسخه های بعدی ( ویندوز سرور 2016، مایکروسافت ویندوز 10)، این قابلیت و پایداری آن به تدریج بهبود یافته است.

الزامات برای کارکرد به‌روزرسانی خط‌مشی گروه از راه دور:

الزامات محیط سرور:

• ویندوز سرور 2012 و بالاتر
• یا ویندوز 10 با RSAT (ابزارهای مدیریت) نصب شده است

الزامات برای مشتریان:

• ویندوز 7 و بالاتر

الزامات برای تعامل شبکه (فایروال) بین سرور و کلاینت

• پورت TCP 135 باید باز باشد
• فعال شد سرویس ویندوزابزار مدیریت (سرویس مدیریت ویندوز)
• سرویس زمانبندی وظایف (سرویس زمانبندی وظایف)

در صورتی که محیط شما این الزامات را برآورده کند، کنسول مدیریت خط مشی گروه (GPMC.msc) را باز کنید، OU (کانتینر) را انتخاب کنید که رایانه های مورد نظر در آن قرار دارند و می خواهید به اجبار به روز رسانی GPO را در آن قرار دهید.

روی ظرف مورد نظر کلیک راست کرده و انتخاب کنید به روز رسانی خط مشی گروه.

پنجره ای که باز می شود اطلاعاتی در مورد تعداد اشیاء در این OU نشان می دهد که GPO در آنها به روز می شود. برای تایید عمل روی دکمه "بله" کلیک کنید.

در پنجره نتایج به‌روزرسانی سیاست گروه از راه دور، وضعیت به‌روزرسانی خط‌مشی و همچنین وضعیت این عملیات (موفقیت / خطا، کد خطا) را مشاهده خواهید کرد. طبیعتاً اگر رایانه خاموش باشد یا دسترسی به آن توسط فایروال محدود شود، خطای مربوطه ظاهر می شود.

پس از تغییر GPO، مدتی طول می کشد (90 دقیقه +/- 30) تا آنها به سیستم های دیگر سرایت کنند، اما اگر نیاز به اعمال فوری داشته باشند، ادمین وارد سیستم راه دور شده و دستور " را اجرا می کند. gpupdate". با تعداد زیادی رایانه شخصی، این فرآیند مدتی طول کشید و این فرآیند به خودی خود ناخوشایند است. حالا می توانید آن را فراموش کنید. در کنسول مدیریت خط مشی گروه(GPMC) در منوی زمینهدامنه و زیربخش، یک آیتم جدید به روز رسانی خط مشی گروه” (Group Policy Update) به شما امکان می دهد سیاست های سیستم را با شروع ویندوز ویستا / 2008 با دو کلیک ماوس به روز کنید. پس از فعال سازی کار، لیستی از رایانه ها و کاربران ثبت نام شده به دست می آید و پس از آن وظیفه " Gpupdate.exe /force". برای جلوگیری از ازدحام شبکه، با تاخیر تصادفی بین 0-10 دقیقه اجرا می شود. نتیجه اجرای کار در یک پنجره جداگانه نمایش داده می شود، موفقیت به روز رسانی را می توان با استفاده از Resultant Policy Wizard تعیین کرد.
تابع جدید نیز cmdlet خود را دریافت کرد - فراخوانی-GPU به روز رسانی، که به شما امکان می دهد GP را از راه دور به روز کنید و حتی ویژگی های بیشتری نسبت به GPMC ارائه می دهد. به هر حال، اکنون 27 cmdlet مسئول سیاست های گروه هستند. یکی دیگر (دریافت کنید لیست کاملمی توانید وارد کنید " Get-Command -Module GroupPolicy«).
برای به‌روزرسانی فوری سیاست‌ها در یک سیستم خاص، فقط کافی است:

PS> Invoke-GPUpdate -Computer< имя компьютера>

کلید اضافی -تاخیر تصادفی در دقیقهبه شما امکان می دهد یک فاصله زمانی تعیین کنید، که در صورتی مفید است که دستور در چندین سیستم اجرا شود.
اما مهمتر از همه، در کنسول GPMC، شما فقط می توانید یک بخش را انتخاب کنید، هیچ ظرف جداگانه ای برای رایانه ها وجود ندارد. اینجاست که Invoke-GPUpdate به کمک می آید، که همراه با cmdlet Get-ADComputer به شما امکان می دهد سیستم ها را با هر معیاری انتخاب کنید:

PS> Get-ADComputer –filter * -Searchbase "cn=computers, dc=example,dc=org" | foreach( Invoke-GPUpdate --computer $_.name --force --RandomDelayInMinutes 5)

نکته مهم دیگر، در سیستم های کلاینت، باید چندین پورت فایروال را باز کنید. برای آسان‌تر کردن زندگی برای سرپرست، MS 2 خط‌مشی اولیه جدید (به 8 مورد موجود) ارائه کرده است که به شما امکان می‌دهد تنظیمات لازم را به سرعت ایجاد و توزیع کنید:

- پورت های فایروال برای به روز رسانی خط مشی گروه از راه دور.
- پورت های فایروال برای گزارش خط مشی گروه.

هدف آنها از نام مشخص است. ما به اولی علاقه مندیم. توصیه می شود یک GPO جدید ایجاد کنید و آن را به جلو منتقل کنید، بنابراین اولویت بیشتری نسبت به GPO دامنه پیش فرض داشته باشید.
فرآیند ساده است. دامنه را انتخاب کنید و از منو "Create a GPO in this domain" را انتخاب کنید. در پنجره‌ای که ظاهر می‌شود، یک نام وارد کنید و «درگاه‌های فایروال برای به‌روزرسانی سیاست گروه از راه دور» را از لیست انتخاب کنید. همچنین می توانید از PowerShell استفاده کنید.

خلاصه: Microsoft Scripting Guy، Ed Wilson به شما نشان می‌دهد که چگونه با استفاده از PowerShell، به‌روزرسانی سیاست گروهی را مجبور کنید.

به روز رسانی خط مشی گروه در یک دامنه

گاهی اوقات من تغییراتی در خط مشی گروه در شبکه ایجاد می کنم و باید تغییرات را در همه رایانه ها اعمال کنم. و گاهی اوقات باید خط مشی گروه محلی را در رایانه خود به روز کنم.

برای به روز رسانی تنظیمات خط مشی گروه، از ابزار کمکی استفاده می کنم به روز رسانی GPU. چند گزینه دارد. به‌طور پیش‌فرض، ابزار، سیاست‌های رایانه و کاربر را به‌روزرسانی می‌کند. اما این را می توان با استفاده از پارامتر کنترل کرد /هدف. به عنوان مثال، اگر من فقط نیاز به به روز رسانی خط مشی کامپیوتر داشته باشم، آن را مشخص می کنم /target:کامپیوتر. برای به روز رسانی فقط خط مشی کاربر - /target:user.

PS C:\> gpupdate /target:computer

در حال به‌روزرسانی خط‌مشی…

پیش فرض به روز رسانی GPUفقط تنظیمات به روز شده Group Policy را اعمال می کند. برای اعمال تمام تنظیمات، از پارامتر استفاده کنید /زور. دستور زیر تمام تنظیمات Group Policy را (صرف نظر از اینکه تغییر کرده باشند) را برای رایانه و کاربر به روز می کند.

PS C:\>gpupdate /force

در حال به‌روزرسانی خط‌مشی…

به‌روزرسانی خط‌مشی رایانه با موفقیت به پایان رسید.

به روز رسانی خط مشی کاربر با موفقیت به پایان رسید.

ابتدا لیستی از رایانه های موجود در دامنه را دریافت می کنیم

اولین کاری که باید انجام دهم این است که لیستی از تمام رایانه های موجود در دامنه را دریافت کنم. برای این کار از cmdlet استفاده می کنم Get-ADComputer A که بخشی از ماژول Active Directory است.

توجه: ماژول Active Directory بخشی از RSAT است.

من اشیاء کامپیوتری به دست آمده را در متغیر $cn ذخیره می کنم.

$cn = Get-ADComputer -filt *

در مرحله دوم، ما جلسات از راه دور ایجاد می کنیم

کار بعدی که باید انجام دهم این است که جلسات از راه دور با همه رایانه ها ایجاد کنم. برای انجام این کار، باید اعتباری برای اتصال به رایانه ارائه کنم و همچنین جلسات را با استفاده از cmdlet ایجاد کنم. جدید-PSSession.

ابتدا از cmdlet استفاده می کنم دریافت اعتبارو شیئی را که برمی گرداند در متغیر $cred ذخیره کنید.

$cred = دریافت اعتبار immred\administrator

$session = New-PSSession -cn $cn.name -cred $cred

به خاطر داشته باشید که ممکن است رایانه‌هایی در دامنه وجود داشته باشند که خاموش باشند، بنابراین وقتی دستور را اجرا می‌کنید، ممکن است خطاها برگردانده شوند. با این حال، با وجود اشتباهات Windows PowerShellجلساتی را با رایانه های در حال کار ایجاد می کند.

دسترسی تعداد زیادیخطاها ممکن است باعث نگرانی شود. از آنجایی که اشیاء جلسه در متغیر $sessions ذخیره می شوند، من به راحتی می توانم تأیید کنم که آنها ایجاد شده اند.

حالا این دستور را روی تمام ماشین های راه دور اجرا کنید

برای اجرای یک دستور به روز رسانی GPUدر تمام ماشین های راه دور من از cmdlet استفاده می کنم فراخوانی-فرمان. از جلساتی که در متغیر $sessions ذخیره کرده‌ایم استفاده می‌کند. نام مستعار برای cmdlet فراخوانی-فرمان – icm.

icm -Session $session -ScriptBlock (gpupdate /force)

پس از اجرای دستور، نتایج در داخل نمایش داده می شود کنسول های ویندوزپاورشل.

بررسی به روز رسانی خط مشی گروه

هنگامی که یک ایستگاه کاری با موفقیت تنظیمات خط مشی گروه را به روز می کند، شناسه رویداد 1502 در گزارش سیستم ثبت می شود. من می توانم از cmdlet استفاده کنم. فراخوانی-فرمانبرای به دست آوردن این اطلاعات

icm -Session $session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -جدیدترین 1)

دستور و نتایج آن در شکل زیر نشان داده شده است.

نکته جالب دیگر در مورد سیاست گروه

گاهی اوقات مجبور می شوم با پشتیبانی فنی تماس بگیرم و آنها از من می خواهند که خط مشی گروه خود را به روز کنم کامپیوتر محلی. چون می توانم بدوم مشکلی نیست به روز رسانی GPUمستقیماً از PowerShell. مشکل زمانی پیش می‌آید که از من می‌خواهند 5 بار با فاصله زمانی 5 دقیقه سیاست گروه را به‌روزرسانی کنم. اما این نیز با یک خط کد حل می شود.

1..5 | %("بازنگری GP $(Get-Date)"؛ gpupdate /force ; sleep 300)

اد ویلسون، مرد فیلمنامه‌نویس مایکروسافت

اصل:

تنظیمات خط مشی به روز رسانی ویندوز 10 تنظیم نحوه دریافت به روز رسانی ها در ویندوز 10 است. در ویندوز 10 تنظیمات مرکز به روز رسانی از کنترل پنل به تنظیمات سیستم منتقل شده است. ویندوز 10 تنظیماتی را که در کنترل پنل بود ندارد، و بنابراین راهی برای خاموش کردن به‌روزرسانی‌ها یا انتخاب نحوه دریافت آن‌ها وجود ندارد. با این حال، با استفاده از ویرایشگر رجیستری و ویرایشگر خط مشی گروه محلی، می توانید به روز رسانی ها را غیرفعال کنید و نحوه دریافت آنها را تنظیم کنید.

پیکربندی به روز رسانی ها با استفاده از ویرایشگر خط مشی گروه محلی

با فشار دادن همزمان دو کلید روی صفحه کلید، ویرایشگر سیاست گروه محلی را راه اندازی کنید WIN+R gpedit.mscو روی OK کلیک کنید.

Windows 10 Update Group Policy

پیکربندی کامپیوتر - الگوهای اداری - اجزای ویندوز- به روز رسانی ویندوز. روی آخرین مورد Windows Update کلیک کنید و سپس در سمت راست مورد را پیدا کنید تنظیمات به روز رسانی خودکار و تنظیمات آن را تغییر دهید.

برای این کار در پنجره باز شده یک نقطه در بالای آیتم Enabled قرار دهید و سپس تنظیمات آپدیت را در زیر انجام دهید. روی OK کلیک کنید. سپس برای اینکه تنظیماتی که انجام دادید عمل کنند، آن را باز کنید تنظیمات سیستم - به روز رسانی و امنیت - به روز رسانی ویندوزو دکمه را فشار دهید به روز رسانی را بررسی کنید.

پس از آن تنظیماتی که در Local Group Policy Editor انجام داده اید اعمال می شود.

پیکربندی به روز رسانی ها با استفاده از ویرایشگر رجیستری

ویرایشگر رجیستری را با فشار دادن دو کلید روی صفحه کلید به طور همزمان اجرا کنید WIN+R. پنجره Run باز می شود که در آن دستور را وارد می کنید regeditو روی OK کلیک کنید.

در قسمت سمت چپ پنجره ویرایشگر که باز می شود، آن را باز کنید HKEY_LOCAL_MACHINE-SOFTWARE-Policies-Microsoft-Windows. ماوس را روی آخرین مورد نگه دارید آیتم ویندوزو دکمه سمت راست ماوس را فشار دهید. در منوی زمینه که باز می شود، را انتخاب کنید ایجاد - بخش. قسمت جدید را نام ببرید به روز رسانی ویندوز.
سپس ماوس را روی پارتیشن WindowsUpdate تازه ایجاد شده نگه دارید و مجدداً پارتیشنی را که نام آن را نامگذاری کرده اید ایجاد کنید AU.
سپس ماوس را روی پارتیشن جدید ساخته شده AU ببرید و دکمه سمت راست ماوس را فشار دهید و در منوی باز شده انتخاب کنید جدید - مقدار DWORD (32 بیت). پارامتر تازه ایجاد شده در سمت راست پنجره ظاهر می شود، نام آن را بگذارید AUOptions. به همین ترتیب، با نگه داشتن ماوس روی قسمت AU، سه پارامتر دیگر ایجاد کرده و اولی را نامگذاری کنید NoAutoUpdate، دومین ScheduledInstallDay، و سوم ScheduledInstallTime(اختیاری NoAutoRebootWithLoggedOnUsers). اکنون در این چهار پارامتر جدید باید مقدار را تغییر دهید.

برای پارامتر AUOptions

• 2 - قبل از نصب و دانلود هر آپدیت، اعلان دریافت کنید.
• 3 - دریافت خودکار آپدیت ها و اعلان های آماده سازی آنها برای نصب.
• 4 - دریافت و نصب خودکار آپدیت ها بر اساس برنامه زمانی مشخص.
• 5 - به مدیران محلی اجازه دهید حالت به روز رسانی و اعلان ها را خودشان انتخاب کنند.

برای پارامتر NoAutoUpdate

• 0 - فعال است نصب اتوماتیکبه روز رسانی هایی که بسته به تنظیمات انجام شده در پارامتر AUOptions دانلود و نصب می شوند.
• 1 - نصب خودکار آپدیت ها غیرفعال است.

برای پارامتر ScheduledInstallDay

• 0 - اگر پارامتر AUOptions روی 4 تنظیم شود، به روز رسانی ها روزانه نصب می شوند.
• 1 - اگر پارامتر AUOptions روی 4 تنظیم شده باشد، به روز رسانی ها هر دوشنبه نصب می شود.
• 2 - اگر پارامتر AUOptions روی 4 تنظیم شده باشد، به روز رسانی ها هر سه شنبه نصب می شود.
• 3 - اگر AUOptions روی 4 تنظیم شده باشد، به روز رسانی ها هر چهارشنبه نصب می شود.
• 4 - اگر پارامتر AUOptions روی 4 تنظیم شده باشد، هر پنجشنبه آپدیت ها نصب می شود.
• 5 - اگر پارامتر AUOptions روی 4 تنظیم شده باشد، هر جمعه آپدیت ها نصب می شود.
• 6 - اگر پارامتر AUOptions روی 4 تنظیم شده باشد، هر شنبه آپدیت ها نصب می شود.
• 7 - اگر پارامتر AUOptions روی 4 تنظیم شده باشد، به روز رسانی ها هر یکشنبه نصب می شود.

برای پارامتر ScheduledInstallTime

از 0 تا 23، بسته به این موارد، به‌روزرسانی‌ها در ساعات زیادی نصب می‌شوند پارامتر را تنظیم کنیدو با مقدار 4 برای پارامتر AUOptions.

برای تنظیم NoAutoRebootWithLoggedOnUsers

• 0 - هنگامی که به روز رسانی ها نصب می شوند، کامپیوتر به طور خودکار راه اندازی مجدد می شود، با مقدار 4 پارامتر AUOptions کار می کند.
• 1 - پس از اتمام نصب آپدیت ها، کامپیوتر به طور خودکار ریستارت نمی شود، با مقدار 4 پارامتر AUOptions کار می کند.