Uppdatering av lokal säkerhetspolicy. Hur man påskyndar uppdateringsprocessen för grupppolicy. Fjärrskriptning

Jag bestämde mig för att jag behövde skriva en kort artikel, som kan och bör refereras ganska ofta. Och ämnet för den här artikeln är hur man uppdaterar gruppolicy.

Varför behöver du uppdatera policyn manuellt?

När kan detta vara användbart? Nästan alltid när du ändrar en inställning i en policy. Nej, tänk inte att policyn bara ska uppdateras manuellt. Faktum är att den uppdateras automatiskt. En gång var och en halv timme! Föreställ dig att du ändrar någon policy och väntar en och en halv timme för att kontrollera om det fungerar precis som du ville. Brad, eller hur?

Naturligtvis nonsens. Därför finns det ett sätt att tvinga datorn att uppdatera grupppolicyer manuellt. Innan dess, lite teori. Som ni vet är politiker indelade i två stora grupper:

  • datorpolicy
  • användarpolicy

Policyerna i den första gruppen gäller för alla användare av datorn, medan policyerna i den andra gruppen endast gäller enskilda användare. Så när datorn startar laddas grupppolicyer omedelbart. Dessutom läses alla policyer från grunden, vilket säkerställer applikationen senaste ändringarna. Men användarens policyer kontrolleras och laddas när användaren loggar in.

När du känner till dessa fakta, här är lösningen för dig. För att ändringar i användarpolicyn ska träda i kraft, logga ut och in igen. Om du behöver uppdatera datorpolicyer startar du om datorn. Skämt.

Kommando för att uppdatera lokal grupppolicy

De beskrivna metoderna kommer säkert att leda till det önskade resultatet, men de är ganska dumma. Det finns trots allt ett bra verktyg kommandorad berättigad gpupdate. I allmänhet räcker kommandot för att uppdatera grupppolicyn:

Gpupdate /force

Med en så enkel åtgärd kan du snabbt uppdatera datorpolicyer.

I den här artikeln kommer vi att visa ett enkelt sätt att fjärruppdatera grupppolicyer på klienter (datorer och servrar) för en domän Active Directory, utan att behöva komma åt fjärrmaskinens konsol och utan att använda kommandot gpupdate.

Ett av de svåraste problemen i AD-grupppolicyhantering är att testa policyer i farten, utan att starta om datorn eller komma åt den lokala datorn och köra .

Fjärrfunktion Uppdatering av grupprincip ger möjlighet att använda en enda GPO-hanteringskonsol (GPMC.msc) för att skapa, ändra, tillämpa och testa grupppolicyer.

Funktionen för uppdatering av fjärrgrupppolicyer dök först upp i Microsoft Windows Server 2012, alla efterföljande versioner ( Windows Server 2016, Microsoft Windows 10), har denna funktionalitet och dess stabilitet gradvis förbättrats.

Krav för att fjärruppdatering av gruppolicy ska fungera:

Servermiljökrav:

  • Windows Server 2012 och senare
  • Antingen Windows 10 med RSAT (Management Tools) installerat

Krav på kunder:

  • Windows 7 och högre

Krav på nätverksinteraktion (brandväggar) mellan server och klienter

  • TCP-port 135 måste vara öppen
  • Aktiverad windows tjänst Management Instrumentation (Windows Management Service)
  • Task Scheduler Service (Task Scheduler Service)

I händelse av att din miljö uppfyller dessa krav öppnar du Group Policy Management Console (GPMC.msc), väljer OU (behållaren) där måldatorerna finns där du vill tvinga en GPO-uppdatering.

Högerklicka på önskad behållare och välj Uppdatering av gruppolicy.

Fönstret som öppnas kommer att visa information om antalet objekt i denna OU där GPO kommer att uppdateras. Klicka på "Ja"-knappen för att bekräfta åtgärden.

I fönstret Remote Group Policy Update resultat kommer du att se statusen för policyuppdateringen, såväl som statusen för denna operation (framgång/fel, felkod). Naturligtvis, om en dator är avstängd, eller åtkomsten till den är begränsad av en brandvägg, kommer ett motsvarande fel att visas.

Efter GPO-ändringar tar det lite tid (90 minuter +/- 30) för dem att sprida sig till andra system, men om de behöver tillämpas brådskande loggade administratören in på fjärrsystemet och körde kommandot " gpupdate". Med ett stort antal datorer tog processen lite tid och själva processen är obekväm. Nu kan du glömma det. I hanteringskonsolen gruppolicy(GPMC) in innehållsmeny domän och underavdelning, ett nytt objekt " Uppdatering av gruppolicy” (Group Policy Update) låter dig uppdatera systempolicyer från och med Windows Vista/2008 med två musklick. Efter aktivering av uppgiften kommer en lista över datorer och registrerade användare att erhållas, varefter uppgiften " Gpupdate.exe /force". För att undvika överbelastning av nätverket kommer den att köras med en slumpmässig fördröjning mellan 0-10 minuter. Resultatet av aktivitetskörningen visas i ett separat fönster, uppdateringens framgång kan avgöras med hjälp av Resultant Policy Wizard.
Den nya funktionen fick också sin egen cmdlet - Invoke-GPUpdate, som låter dig uppdatera GP på distans och ger ännu fler funktioner än GPMC. Förresten, nu är 27 cmdlets ansvariga för grupppolicyer. en till (få full lista du kan gå in" Get-Command -Module GroupPolicy«).
För att omedelbart uppdatera policyer på ett specifikt system, kör bara:

PS> Invoke-GPUpdate-Dator< имя компьютера>

PS> Invoke-GPUpdate -Dator< имя компьютера>

Ytterligare nyckel –RandomDelayInMinutes låter dig ställa in ett timeout-intervall, vilket är användbart om kommandot kommer att köras på flera system.
Men viktigast av allt, i GPMC-konsolen kan du bara välja en avdelning, det finns ingen separat behållare för datorer. Det är här Invoke-GPUpdate kommer till undsättning, som tillsammans med Get-ADComputer-cmdleten låter dig välja system utifrån vilket kriterium som helst:

PS> Get- ADComputer --filter * -Searchbase "cn=datorer,dc=exempel,dc=org"| foreach ( Invoke- GPUpdate --dator $_ .name --force --- RandomDelayInMinutes 5 )

PS> Get-ADComputer –filter * -Searchbase "cn=datorer, dc=exempel,dc=org" | foreach( Invoke-GPUpdate --dator $_.name --force --RandomDelayInMinutes 5)

En annan viktig punkt, på klientsystem, måste du öppna flera brandväggsportar. För att göra livet enklare för administratören erbjöd MS 2 nya initiala policyer (till de 8 tillgängliga), så att du snabbt kan skapa och distribuera nödvändiga inställningar:

- Brandväggsportar för uppdateringar av fjärrgrupppolicyer;
- Brandväggsportar för Gruppolicyrapportering.

Deras syfte framgår tydligt av namnet. Vi är intresserade av den första. Det rekommenderas att du skapar en ny GPO och flyttar den till fronten, vilket ger den en högre prioritet än standarddomänens GPO.
Processen är enkel. Välj domänen och välj "Skapa ett GPO i denna domän" från menyn. I fönstret som visas anger du ett namn och väljer "Brandväggsportar för uppdatering av fjärrgrupppolicy" från listan. Alternativt kan du använda PowerShell.

Sammanfattning: Microsoft Scripting Guy, Ed Wilson visar dig hur du tvingar fram en grupprincipuppdatering med PowerShell.

Uppdatering av grupppolicy i en domän

Ibland gör jag ändringar i grupppolicyn på nätverket och jag måste tillämpa ändringarna på alla datorer. Och ibland behöver jag uppdatera den lokala grupppolicyn på min dator.

För att uppdatera grupppolicyinställningar använder jag verktyget GPUpdate. Den har några alternativ. Som standard uppdaterar verktyget policyn för både datorn och användaren. Men detta kan styras med parametern /mål. Om jag till exempel bara behöver uppdatera datorpolicyn skulle jag ange /mål:dator. För att endast uppdatera användarpolicy − /mål:användare.

PS C:\> gpupdate /target:dator

Uppdaterar policy...

Standard GPUpdate tillämpar endast de uppdaterade grupprincipinställningarna. Använd parametern för att tillämpa alla inställningar /tvinga. Följande kommando uppdaterar alla grupprincipinställningar (oavsett om de har ändrats) för datorn och användaren.

PS C:\>gpupdate /force

Uppdaterar policy...

Uppdateringen av datorpolicyn har slutförts.

Uppdateringen av användarpolicyn har slutförts.

Först får vi en lista över datorer i domänen

Det första jag behöver göra är att få en lista över alla datorer i domänen. För detta använder jag cmdlet Skaffa-ADComputer En som är en del av Active Directory-modulen.

Obs: Active Directory-modulen är en del av RSAT.

Jag lagrar de resulterande datorobjekten i variabeln $cn.

$cn = Get-ADComputer -filt *

För det andra skapar vi fjärrsessioner

Nästa sak jag behöver göra är att skapa fjärrsessioner med alla datorer. För att göra detta måste jag tillhandahålla autentiseringsuppgifter för att ansluta till datorer, samt skapa sessionerna själva med cmdlet Ny-PSSession.

Först ska jag använda cmdleten Få inloggningsuppgifter och lagra objektet det returnerar i variabeln $cred.

$cred = Hämta inloggningsuppgifter iammred\administratör

$session = New-PSSession -cn $cn.name -cred $cred

Tänk på att det kan finnas datorer i domänen som är avstängda, så när du kör kommandot kan fel returneras. Men trots misstagen Windows PowerShell skapar sessioner med fungerande datorer.

Tillgänglighet ett stort antal fel kan inspirera till viss oro. Eftersom sessionsobjekten är lagrade i variabeln $sessions kan jag enkelt verifiera att de har skapats.

Kör nu kommandot på alla fjärrdatorer

För att köra ett kommando GPUpdate på alla fjärrdatorer använder jag cmdlet Anropa-kommando. Den använder sessionerna vi sparade i variabeln $sessions. Alias ​​för cmdlet Anropa-kommandoicm.

icm -Session $session -ScriptBlock (gpupdate /force)

Efter att ha kört kommandot visas resultaten i Windows-konsoler PowerShell.

Kontroll av gruppolicyuppdatering

När en arbetsstation framgångsrikt uppdaterar grupppolicyinställningar loggas händelse-ID 1502 i systemloggen. Jag kan använda cmdleten Anropa-kommando för att få denna information.

icm -Session $session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Newest 1)

Kommandot och dess resultat visas i figuren nedan.

En annan intressant sak om grupppolicy

Ibland måste jag ringa teknisk support och de ber mig uppdatera grupppolicyn på min lokal dator. Det är inga problem eftersom jag kan springa GPUpdate direkt från PowerShell. Svårigheten uppstår när de ber mig att uppdatera grupppolicyn 5 gånger med ett intervall på 5 minuter. Men detta löses också med en enda kodrad.

1..5 | %("uppfriskar GP $(Get-Date)"; gpupdate /force ; sov 300)

Ed Wilson, Microsoft Scripting Guy

Original:

Uppdateringspolicyinställningen för Windows 10 är inställningen för hur Windows 10 tar emot uppdateringar. I Windows 10 har inställningarna för uppdateringscenter flyttats från Kontrollpanelen till Systeminställningar. Windows 10 har inte de inställningar som fanns i kontrollpanelen, så det finns inget sätt att stänga av uppdateringar eller välja hur du skaffar dem. Men med hjälp av Registereditorn och Local Group Policy Editor kan du inaktivera uppdateringar och ställa in hur du tar emot dem.

Konfigurera uppdateringar med hjälp av den lokala grupprincipredigeraren

Starta den lokala grupprincipredigeraren genom att trycka på två tangenter på tangentbordet samtidigt WIN+R gpedit.msc och klicka på OK.

Uppdatera gruppolicy för Windows 10

Datorkonfiguration - Administrativa mallar - Windows-komponenter- Windows uppdatering. Klicka på det sista objektet Windows Update och hitta objektet på höger sida Miljö automatisk uppdatering och ändra dess inställningar.


Konfigurera Windows 10-uppdateringar grupprincip

För att göra detta, i fönstret som öppnas, sätt en prick överst på alternativet Aktiverad och ställ sedan in uppdateringsinställningarna nedan. Klicka på OK. Öppna sedan för att inställningarna du gjort ska fungera Systeminställningar - Uppdatering och säkerhet - Windows Update och tryck på knappen Sök efter uppdateringar.


När du har konfigurerat Windows 10-policyer kör du uppdateringen

Efter det kommer inställningarna du gjorde i den lokala grupprincipredigeraren att träda i kraft.

Konfigurera uppdateringar med hjälp av Registereditorn

Starta Registereditorn genom att trycka på två tangenter på tangentbordet samtidigt WIN+R. Fönstret Kör öppnas där du anger kommandot regedit och klicka på OK.


Öppna Registereditorn och skapa fyra inställningar där att hantera Windows-uppdateringar 10

Expandera i den vänstra delen av redigeringsfönstret som öppnas HKEY_LOCAL_MACHINE-SOFTWARE-Policies-Microsoft-Windows. Håll muspekaren över den sista Windows-objekt och tryck på höger musknapp. Välj i snabbmenyn som öppnas Skapa - Sektion. Namnge det nya avsnittet Windows uppdatering.
Håll sedan muspekaren över den nyskapade WindowsUpdate-partitionen och skapa igen en partition som du namnger AU.
Håll sedan muspekaren över den nyskapade AU-partitionen och tryck på höger musknapp och välj i menyn som öppnas Nytt - DWORD-värde (32-bitars). Den nyskapade parametern kommer att visas på höger sida av fönstret, namnge den AUalternativ. På samma sätt, håll muspekaren över AU-sektionen, skapa ytterligare tre parametrar och namnge den första Ingen automatisk uppdatering, andra Schemalagd installationsdag, och den tredje ScheduledInstallTime(frivillig IngenAutoRebootWithLoggedOnUsers). Nu i dessa fyra nya parametrar måste du ändra värdet.

För parametern AUOptions

  • 2 - Få ett meddelande innan du installerar och laddar ner några uppdateringar.
  • 3 - Få automatiskt uppdateringar och meddelanden om deras förberedelser för installation.
  • 4 - Ta emot och installera uppdateringar automatiskt enligt ett specificerat schema.
  • 5 - Tillåt lokala administratörer att själva välja uppdateringsläge och meddelanden.

För parametern NoAutoUpdate

  • 0 - Aktiverad automatisk installation uppdateringar som kommer att laddas ner och installeras beroende på inställningarna som görs i parametern AUOptions.
  • 1 - Automatisk installation av uppdateringar är inaktiverad.

För parametern ScheduledInstallDay

  • 0 - uppdateringar kommer att installeras dagligen om parametern AUOptions är inställd på 4.
  • 1 - uppdateringar kommer att installeras varje måndag om parametern AUOptions är inställd på 4.
  • 2 - uppdateringar kommer att installeras varje tisdag om parametern AUOptions är inställd på 4.
  • 3 - Uppdateringar kommer att installeras varje onsdag om AUOptions är inställt på 4.
  • 4 - uppdateringar kommer att installeras varje torsdag om parametern AUOptions är inställd på 4.
  • 5 - uppdateringar kommer att installeras varje fredag ​​om parametern AUOptions är inställd på 4.
  • 6 - uppdateringar kommer att installeras varje lördag om parametern AUOptions är inställd på 4.
  • 7 - uppdateringar kommer att installeras varje söndag om parametern AUOptions är inställd på 4.

För parametern ScheduledInstallTime

Från 0 till 23 kommer uppdateringar att installeras på så många timmar, beroende på ställ in parameter och med ett värde på 4 för parametern AUOptions.

För inställningen NoAutoRebootWithLoggedOnUsers

  • 0 - När uppdateringarna är installerade startar datorn om automatiskt, den fungerar med värdet 4 för parametern AUOptions.
  • 1 - Efter att installationen av uppdateringar är klar kommer datorn inte att starta om automatiskt, den fungerar med värdet 4 för parametern AUOptions.