Aktualizácia miestnej bezpečnostnej politiky. Ako urýchliť proces aktualizácie skupinovej politiky. Vzdialené skriptovanie

Rozhodol som sa, že potrebujem napísať krátky článok, na ktorý sa dá a má odkazovať pomerne často. A témou tohto článku je, ako aktualizovať skupinovú politiku.

Prečo potrebujete manuálne aktualizovať pravidlá?

Kedy to môže byť užitočné? Takmer vždy, keď zmeníte nastavenie v politike. Nie, nemyslite si, že politika by sa mala aktualizovať iba manuálne. V skutočnosti sa aktualizuje automaticky. Raz za hodinu a pol! Predstavte si, že zmeníte nejakú politiku a čakáte hodinu a pol, aby ste skontrolovali, či funguje presne tak, ako ste chceli. Brad, však?

Prirodzene, nezmysel. Preto existuje spôsob, ako prinútiť počítač, aby manuálne aktualizoval skupinové politiky. Predtým trochu teórie. Ako viete, politici sa delia na dve veľké skupiny:

  • počítačová politika
  • užívateľskú politiku

Zásady v prvej skupine sa vzťahujú na všetkých používateľov počítača, zatiaľ čo zásady v druhej skupine sa vzťahujú iba na jednotlivých používateľov. Takže, keď sa počítač spustí, skupinové politiky sa načítajú okamžite. Okrem toho sa všetky pravidlá čítajú od začiatku, čo zabezpečuje aplikáciu nedávne zmeny. Ale pravidlá používateľa sa skontrolujú a načítajú, keď sa používateľ prihlási.

Keď poznáte tieto skutočnosti, tu je pre vás riešenie. Aby sa zmeny pravidiel pre používateľov prejavili, odhláste sa a znova sa prihláste. Ak potrebujete aktualizovať zásady počítača, reštartujte počítač. vtip.

Príkaz na aktualizáciu politiky miestnej skupiny

Popísané metódy určite povedú k požadovanému výsledku, ale sú dosť hlúpe. Predsa len je tu jedna skvelá pomôcka príkazový riadok oprávnený gpupdate. Vo všeobecnosti na aktualizáciu skupinovej politiky stačí príkaz:

Gpupdate /force

Pomocou takejto jednoduchej akcie môžete rýchlo aktualizovať pravidlá počítača.

V tomto článku si ukážeme jednoduchý spôsob, ako vzdialene aktualizovať skupinové politiky na klientoch (počítačoch a serveroch) domény Aktívny adresár bez toho, aby ste museli pristupovať ku konzole vzdialeného počítača a bez použitia príkazu gpupdate.

Jedným z najťažších problémov v správe politiky skupiny AD je testovanie politík za behu, bez reštartovania počítača alebo prístupu k lokálnemu počítaču a spustenia .

Funkcia na diaľku Aktualizácia skupinovej politiky poskytuje možnosť používať jedinú konzolu na správu GPO (GPMC.msc) na vytváranie, úpravu, aplikáciu a testovanie skupinovej politiky.

Funkcia aktualizácie zásad vzdialenej skupiny sa prvýkrát objavila v Microsoft Windows Server 2012, všetky nasledujúce verzie ( Windows Server 2016, Microsoft Windows 10), bola táto funkcionalita a jej stabilita postupne vylepšovaná.

Požiadavky na fungovanie vzdialenej aktualizácie skupinovej politiky:

Požiadavky na serverové prostredie:

  • Windows Server 2012 a vyššie
  • Buď Windows 10 s nainštalovaným RSAT (Management tools).

Požiadavky na klientov:

  • Windows 7 a vyššie

Požiadavky na sieťovú interakciu (firewally) medzi serverom a klientmi

  • TCP port 135 musí byť otvorený
  • Povolené servis okien Management Instrumentation (Windows Management Service)
  • Služba plánovača úloh (Služba plánovača úloh)

V prípade, že vaše prostredie spĺňa tieto požiadavky, otvorte Group Policy Management Console (GPMC.msc), vyberte OU (kontajner), v ktorom sa nachádzajú cieľové počítače, na ktorých chcete vynútiť aktualizáciu GPO.

Kliknite pravým tlačidlom myši na požadovaný kontajner a vyberte Aktualizácia skupinovej politiky.

V okne, ktoré sa otvorí, sa zobrazia informácie o počte objektov v tejto OU, na ktorých sa bude GPO aktualizovať. Kliknutím na tlačidlo "Áno" potvrďte akciu.

V okne Výsledky aktualizácie vzdialenej skupinovej politiky uvidíte stav aktualizácie politiky, ako aj stav tejto operácie (úspech/chyba, kód chyby). Prirodzene, ak je počítač vypnutý alebo je prístup k nemu obmedzený bránou firewall, objaví sa zodpovedajúca chyba.

Po zmenách GPO trvá nejaký čas (90 minút +/- 30), kým sa rozšíria do iných systémov, ale ak je potrebné ich urýchlene použiť, správca sa prihlásil do vzdialeného systému a vykonal príkaz „ gpupdate". Pri veľkom počte počítačov tento proces nejaký čas trval a samotný proces je nepohodlný. Teraz na to môžete zabudnúť. V riadiacej konzole skupinové pravidlá(GPMC) v obsahové menu doména a pododdiel, nová položka „ Aktualizácia skupinovej politiky“ (Aktualizácia zásad skupiny) vám umožňuje aktualizovať systémové zásady počnúc systémom Windows Vista / 2008 dvoma kliknutiami myšou. Po aktivácii úlohy sa získa zoznam počítačov a registrovaných používateľov, po ktorých sa úloha „ Gpupdate.exe /force". Aby sa predišlo preťaženiu siete, spustí sa s náhodným oneskorením medzi 0-10 minútami. Výsledok vykonania úlohy sa zobrazuje v samostatnom okne, úspešnosť aktualizácie je možné určiť pomocou Sprievodcu výslednou politikou.
Nová funkcia tiež dostala svoj vlastný cmdlet - Vyvolať-GPUpdate, ktorý vám umožňuje aktualizovať GP na diaľku a poskytuje ešte viac funkcií ako GPMC. Mimochodom, za skupinové politiky je teraz zodpovedných 27 cmdletov. ešte jeden (dostať úplný zoznam môžete zadať " Get-Command -Modul GroupPolicy«).
Ak chcete okamžite aktualizovať pravidlá na konkrétnom systéme, stačí spustiť:

PS> Vyvolať-GPUpdate-Počítač< имя компьютера>

PS> Vyvolať-GPUpdate -Počítač< имя компьютера>

Prídavný kľúč -RandomDelayInMinutes umožňuje nastaviť časový limit, ktorý je užitočný, ak sa príkaz bude vykonávať na viacerých systémoch.
Ale čo je najdôležitejšie, v konzole GPMC si môžete vybrať len oddelenie, neexistuje samostatný kontajner pre počítače. Tu prichádza na pomoc Invoke-GPUpdate, ktorý vám spolu s cmdlet Get-ADComputer umožňuje vybrať systémy podľa ľubovoľného kritéria:

PS> Get- ADComputer --filter * -Searchbase "cn=počítače,dc=príklad,dc=org"| foreach ( Invoke- GPUpdate --computer $_ .name --force --- RandomDelayInMinutes 5 )

PS> Get-ADComputer –filter * -Searchbase "cn=počítače, dc=príklad,dc=org" | foreach( Invoke-GPUpdate --computer $_.name --force --RandomDelayInMinutes 5)

Ďalším dôležitým bodom je, že na klientskych systémoch musíte otvoriť niekoľko portov brány firewall. Aby sa správcom uľahčil život, MS ponúkol 2 nové počiatočné politiky (k 8 dostupným), ktoré vám umožňujú rýchlo vytvárať a distribuovať potrebné nastavenia:

- Firewall porty pre vzdialenú aktualizáciu skupinovej politiky;
- Porty brány firewall pre hlásenie skupinovej politiky.

Ich účel je jasný už z názvu. Nás zaujíma prvý. Odporúča sa vytvoriť nový GPO a presunúť ho dopredu, čím mu priradíte vyššiu prioritu ako predvolený GPO domény.
Postup je jednoduchý. Vyberte doménu a z ponuky vyberte možnosť „Vytvoriť objekt GPO v tejto doméne“. V zobrazenom okne zadajte názov a zo zoznamu vyberte „Porty brány firewall pre vzdialenú aktualizáciu skupinovej politiky“. Prípadne môžete použiť PowerShell.

Zhrnutie: Microsoft Scripting Guy, Ed Wilson vám ukáže, ako vynútiť obnovenie skupinovej politiky pomocou PowerShell.

Aktualizácia skupinovej politiky v doméne

Niekedy robím zmeny v skupinovej politike v sieti a potrebujem tieto zmeny aplikovať na všetky počítače. A niekedy potrebujem aktualizovať politiku miestnej skupiny na svojom počítači.

Na aktualizáciu nastavení skupinovej politiky používam pomôcku GPUpdate. Má niekoľko možností. V predvolenom nastavení nástroj aktualizuje politiku počítača aj používateľa. To sa však dá ovládať pomocou parametra /cieľ. Napríklad, ak potrebujem aktualizovať politiku počítača, špecifikoval by som to /target:počítač. Ak chcete aktualizovať iba pravidlá používateľa − /target:user.

PS C:\> gpupdate /target:computer

Aktualizujú sa pravidlá…

Predvolené GPUpdate použije iba aktualizované nastavenia skupinovej politiky. Ak chcete použiť všetky nastavenia, použite parameter /sila. Nasledujúci príkaz aktualizuje všetky nastavenia skupinovej politiky (bez ohľadu na to, či boli zmenené) pre počítač a používateľa.

PS C:\>gpupdate /force

Aktualizujú sa pravidlá…

Aktualizácia zásad počítača bola úspešne dokončená.

Aktualizácia pravidiel pre používateľov bola úspešne dokončená.

Najprv získame zoznam počítačov v doméne

Prvá vec, ktorú musím urobiť, je získať zoznam všetkých počítačov v doméne. Na to používam cmdlet Get-ADComputer A, ktorá je súčasťou modulu Active Directory.

Poznámka: Modul Active Directory je súčasťou RSAT.

Výsledné počítačové objekty ukladám do premennej $cn.

$cn = Get-ADComputer -filt *

Po druhé, vytvárame vzdialené relácie

Ďalšia vec, ktorú musím urobiť, je vytvoriť vzdialené relácie so všetkými počítačmi. Aby som to mohol urobiť, musím poskytnúť poverenia na pripojenie k počítačom, ako aj vytvoriť samotné relácie pomocou cmdlet New-PSSession.

Najprv použijem cmdlet Získajte poverenia a uložte objekt, ktorý vráti, do premennej $cred.

$cred = Get-Credential iammred\administrator

$session = New-PSSession -cn $cn.name -cred $cred

Majte na pamäti, že v doméne môžu byť počítače, ktoré sú vypnuté, takže po spustení príkazu sa môžu vrátiť chyby. Avšak aj napriek chybám Windows PowerShell vytvára relácie s fungujúcimi počítačmi.

Dostupnosť Vysoké číslo chyby môžu vyvolať určité obavy. Keďže objekty relácie sú uložené v premennej $sessions, môžem ľahko overiť, či boli vytvorené.

Teraz spustite príkaz na všetkých vzdialených počítačoch

Ak chcete spustiť príkaz GPUpdate na všetkých vzdialených počítačoch používam cmdlet Invoke-Command. Používa relácie, ktoré sme uložili do premennej $sessions. Alias ​​pre cmdlet Invoke-Commandicm.

icm -Session $session -ScriptBlock (gpupdate /force)

Po spustení príkazu sa výsledky zobrazia v konzoly Windows PowerShell.

Kontrola aktualizácie zásad skupiny

Keď pracovná stanica úspešne aktualizuje nastavenia skupinovej politiky, do systémového denníka sa zapíše udalosť ID 1502. Môžem použiť cmdlet Invoke-Command získať tieto informácie.

icm -Session $session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Najnovšie 1)

Príkaz a jeho výsledky sú znázornené na obrázku nižšie.

Ďalšia zaujímavosť o skupinovej politike

Niekedy musím zavolať na technickú podporu a požiadajú ma, aby som aktualizoval skupinovú politiku lokálny počítač. Nie je to problém, keďže viem behať GPUpdate priamo z PowerShell. Problém nastáva, keď ma požiadajú, aby som aktualizoval skupinovú politiku 5-krát s intervalom 5 minút. Ale aj to je vyriešené jedným riadkom kódu.

1..5 | %("obnovenie GP $(Get-Date)"; gpupdate /force ; spánok 300)

Ed Wilson, Microsoft Scripting Guy

Originál:

Nastavenie zásad aktualizácie systému Windows 10 je nastavenie spôsobu prijímania aktualizácií systému Windows 10. V systéme Windows 10 boli nastavenia Centra aktualizácií presunuté z ovládacieho panela do časti Nastavenia systému. Windows 10 nemá nastavenia, ktoré boli v ovládacom paneli, takže neexistuje spôsob, ako vypnúť aktualizácie alebo zvoliť spôsob ich získania. Pomocou Editora databázy Registry a Editora miestnej politiky skupiny však môžete aktualizácie zakázať a nastaviť spôsob ich prijímania.

Konfigurácia aktualizácií pomocou Editora miestnej politiky skupiny

Spustite Editor miestnej politiky skupiny stlačením dvoch kláves na klávesnici naraz WIN+R gpedit.msc a kliknite na tlačidlo OK.

Windows 10 Update Group Policy

Konfigurácia počítača - Šablóny pre správu - Komponenty systému Windows- Aktualizácia systému Windows. Kliknite na poslednú položku Windows Update a potom na pravej strane nájdite položku Nastavenie automatická aktualizácia a zmeniť jeho nastavenia.


Konfigurácia zásad skupiny aktualizácií systému Windows 10

Ak to chcete urobiť, v okne, ktoré sa otvorí, umiestnite bodku do hornej časti položky Povolené a potom nastavte nastavenia aktualizácie nižšie. Kliknite na tlačidlo OK. Potom otvorte, aby nastavenia, ktoré ste vykonali, fungovali Systémové nastavenia - Aktualizácia a zabezpečenie - Windows Update a stlačte tlačidlo Skontroluj aktualizácie.


Po dokončení konfigurácie pravidiel systému Windows 10 spustite aktualizáciu

Potom sa prejavia nastavenia, ktoré ste vykonali v Editore lokálnych zásad skupiny.

Konfigurácia aktualizácií pomocou Editora databázy Registry

Spustite Editor databázy Registry stlačením dvoch kláves na klávesnici naraz WIN+R. Otvorí sa okno Spustiť, do ktorého zadáte príkaz regedit a kliknite na tlačidlo OK.


Otvorte Editor databázy Registry a vytvorte v ňom štyri nastavenia na správu Aktualizácie systému Windows 10

V ľavej časti okna editora, ktoré sa otvorí, rozbaľte HKEY_LOCAL_MACHINE-SOFTWARE-Policies-Microsoft-Windows. Umiestnite kurzor myši na posledné Položka Windows a stlačte pravé tlačidlo myši. V kontextovej ponuke, ktorá sa otvorí, vyberte Vytvoriť - Sekcia. Pomenujte novú sekciu aktualizácia systému Windows.
Potom umiestnite kurzor myši na novovytvorený oddiel WindowsUpdate a znova vytvorte oddiel, ktorý pomenujete AU.
Potom umiestnite kurzor myši na novovytvorený oddiel AU a stlačte pravé tlačidlo myši a v ponuke, ktorá sa otvorí, vyberte Nové – hodnota DWORD (32-bitová). Novovytvorený parameter sa zobrazí na pravej strane okna, pomenujte ho AUOptions. Rovnakým spôsobom, umiestnením kurzora myši nad sekciu AU, vytvorte ďalšie tri parametre a pomenujte prvý Bez automatickej aktualizácie, druhý ScheduledInstallDay a tretí ScheduledInstallTime(voliteľné NoAutoRebootWithLoggedOnUsers). Teraz v týchto štyroch nových parametroch musíte zmeniť hodnotu.

Pre parameter AUOptions

  • 2 - Dostať upozornenie pred inštaláciou a stiahnutím akýchkoľvek aktualizácií.
  • 3 - Automaticky dostávať aktualizácie a upozornenia o ich príprave na inštaláciu.
  • 4 - Automaticky prijímať a inštalovať aktualizácie podľa určeného plánu.
  • 5 - Umožnite lokálnym správcom, aby si sami vybrali režim aktualizácie a upozornenia.

Pre parameter NoAutoUpdate

  • 0 - Povolené automatická inštalácia aktualizácie, ktoré sa budú sťahovať a inštalovať v závislosti od nastavení vykonaných v parametri AUOptions.
  • 1 - Automatická inštalácia aktualizácií je zakázaná.

Pre parameter ScheduledInstallDay

  • 0 - aktualizácie sa budú inštalovať denne, ak je parameter AUOptions nastavený na 4.
  • 1 - aktualizácie budú inštalované každý pondelok, ak je parameter AUOptions nastavený na 4.
  • 2 - aktualizácie sa budú inštalovať každý utorok, ak je parameter AUOptions nastavený na 4.
  • 3 - Aktualizácie sa nainštalujú každú stredu, ak je AUOptions nastavené na 4.
  • 4 - aktualizácie sa nainštalujú každý štvrtok, ak je parameter AUOptions nastavený na 4.
  • 5 - aktualizácie sa budú inštalovať každý piatok, ak je parameter AUOptions nastavený na 4.
  • 6 - aktualizácie sa budú inštalovať každú sobotu, ak je parameter AUOptions nastavený na 4.
  • 7 - aktualizácie sa budú inštalovať každú nedeľu, ak je parameter AUOptions nastavený na 4.

Pre parameter ScheduledInstallTime

Od 0 do 23 sa aktualizácie nainštalujú v toľkých hodinách, v závislosti od nastaviť parameter a s hodnotou 4 pre parameter AUOptions.

Pre nastavenie NoAutoRebootWithLoggedOnUsers

  • 0 - Po nainštalovaní aktualizácií sa počítač automaticky reštartuje, pracuje s hodnotou 4 parametra AUOptions.
  • 1 - Po dokončení inštalácie aktualizácií sa počítač automaticky nereštartuje, pracuje s hodnotou 4 parametra AUOptions.