Топтық саясатты жаңарту процесін қалай тездетуге болады. GPUPDATE - пәрмен жолы арқылы пайдаланушы мен компьютер үшін топ саясатын жаңартуды орындау

GPO өзгертілгеннен кейін олардың басқа жүйелерге таралуы үшін біраз уақыт (90 минут +/- 30) қажет, бірақ оларды шұғыл қолдану қажет болса, әкімші қашықтағы жүйеге кіріп, « пәрменін орындады. gpupdate«. ДК көп болған кезде процесс біраз уақытты алды, ал процестің өзі ыңғайсыз. Енді бұл туралы ұмытуға болады. Басқару консолінде топтық саясат(GPMC) жылы контекстік мәзірдомен және бөлімше, жаңа элемент « Топтық саясатты жаңарту” (Топтық саясатты жаңарту) тінтуірді екі рет басу арқылы Windows Vista / 2008 жүйесінен бастап жүйелік саясаттарды жаңартуға мүмкіндік береді. Тапсырманы іске қосқаннан кейін компьютерлер мен тіркелген пайдаланушылардың тізімі алынады, содан кейін тапсырма « Gpupdate.exe /force«. Желінің кептелуін болдырмау үшін ол 0-10 минут аралығында кездейсоқ кідіріспен жұмыс істейді. Тапсырманы орындау нәтижесі бөлек терезеде көрсетіледі, жаңартудың сәттілігін Нәтиже саясаты шеберінің көмегімен анықтауға болады.
Жаңа функция сонымен қатар өзінің командлетін алды - Invoke-GPUpdate, бұл GP-ді қашықтан жаңартуға мүмкіндік береді және GPMC-ге қарағанда көбірек мүмкіндіктерді береді. Айтпақшы, енді 27 командлет топтық саясаттарға жауапты. тағы бір (алу толық тізіменгізуге болады» Get-Command - GroupPolicy модулі«).
Белгілі бір жүйедегі саясаттарды дереу жаңарту үшін жай ғана іске қосыңыз:

PS> Invoke-GPUpdate -Компьютер< имя компьютера>

Қосымша кілт – RandomDelayIn Minutesкүту аралығын орнатуға мүмкіндік береді, бұл команда бірнеше жүйеде орындалатын болса пайдалы.
Бірақ ең бастысы, GPMC консолінде сіз тек бөлімді таңдай аласыз, компьютерлер үшін бөлек контейнер жоқ. Бұл жерде Invoke-GPUpdate көмекке келеді, ол Get-ADComputer командлетімен бірге жүйені кез келген критерий бойынша таңдауға мүмкіндік береді:

PS> Get-ADComputer –сүзгі * -Іздеу базасы "cn=computers, dc=example,dc=org" | foreach( Invoke-GPUpdate --компьютер $_.name --force --RandomDelayInMinutes 5)

Дегенмен маңызды нүкте, клиенттік жүйелерде брандмауэрдің бірнеше порттары ашылуы керек. MS жүйесінде әкімшінің өмірін жеңілдету үшін олар жылдам жасауға және таратуға мүмкіндік беретін 2 жаңа бастапқы саясатты (қол жетімді 8 саясатқа) ұсынды. қалаған параметрлер:

- Қашықтағы топ саясатын жаңартуға арналған брандмауэр порттары;
- Топтық саясат туралы есеп беруге арналған брандмауэр порттары.

Олардың мақсаты атауынан анық көрінеді. Бізді біріншісі қызықтырады. Жаңа GPO жасап, оны алдыңғы жағына жылжыту ұсынылады, осылайша оған әдепкі GPO доменінен жоғары басымдық беріледі.
Процесс қарапайым. Доменді таңдап, мәзірден «Осы доменде GPO жасау» тармағын таңдаңыз. Пайда болған терезеде атауды енгізіңіз және тізімнен «Қашықтағы топ саясатын жаңартуға арналған брандмауэр порттары» тармағын таңдаңыз. Немесе PowerShell қолданбасын пайдалануға болады.

Түйіндеме: Microsoft Scripting Guy, Эд Уилсон PowerShell көмегімен Топтық саясатты жаңартуды қалай мәжбүрлеу керектігін көрсетеді.

Домендегі топтық саясат жаңартылуда

Кейде мен желідегі топтық саясатқа өзгерістер енгіземін және өзгертулерді барлық компьютерлерге қолдануым керек. Кейде мен компьютердегі жергілікті топ саясатын жаңартуым керек.

Топтық саясат параметрлерін жаңарту үшін мен утилитаны пайдаланамын GPU жаңартуы. Оның кейбір нұсқалары бар. Әдепкі бойынша, утилита компьютердің де, пайдаланушының да саясатын жаңартады. Бірақ мұны параметр арқылы басқаруға болады /мақсат. Мысалы, егер мен тек компьютер саясатын жаңарту керек болса, мен көрсетер едім /мақсат:компьютер. Тек пайдаланушы саясатын жаңарту үшін − /мақсаты:пайдаланушы.

PS C:\> gpupdate /target:computer

Саясат жаңартылуда…

Әдепкі GPU жаңартуытек жаңартылған Топтық саясат параметрлерін қолданады. Барлық параметрлерді қолдану үшін параметрді пайдаланыңыз /күш. Келесі пәрмен компьютер мен пайдаланушы үшін Топтық саясаттың барлық параметрлерін (өзгертілгеніне қарамастан) жаңартады.

PS C:\>gpupdate /force

Саясат жаңартылуда…

Компьютер саясатын жаңарту сәтті аяқталды.

Пайдаланушы саясатын жаңарту сәтті аяқталды.

Біріншіден, біз домендегі компьютерлердің тізімін аламыз

Біріншіден, домендегі барлық компьютерлердің тізімін алуым керек. Ол үшін командлетті қолданамын Get-ADComputer Active Directory модулінің бөлігі болып табылатын A.

Ескерту: Active Directory модулі RSAT бөлігі болып табылады.

Мен алынған компьютер нысандарын $cn айнымалысында сақтаймын.

$cn = Get-ADComputer -filt *

Екіншіден, қашықтағы сеанстарды жасаймыз

Мен істеуім керек келесі нәрсе - барлық компьютерлермен қашықтағы сеанстарды жасау. Мұны істеу үшін мен компьютерлерге қосылу үшін тіркелгі деректерін беруім керек, сонымен қатар командлетті пайдаланып сеанстарды өздері жасауым керек. Жаңа-PSSession.

Алдымен командлетті қолданамын Тіркелгі деректерін алыңызжәне ол қайтаратын нысанды $cred айнымалысында сақтаңыз.

$cred = Get-Credential iammred\administrator

$session = Жаңа-PSSession -cn $cn.name -cred $cred

Доменде өшірілген компьютерлер болуы мүмкін екенін есте сақтаңыз, сондықтан пәрменді іске қосқан кезде қателер қайтарылуы мүмкін. Дегенмен, қателіктерге қарамастан Windows PowerShellжұмыс істейтін компьютерлермен сеанстарды жасайды.

Қателердің көп болуы кейбір алаңдаушылық тудыруы мүмкін. Сеанс нысандары $sessions айнымалысында сақталғандықтан, олардың жасалғанын оңай тексере аламын.

Енді барлық қашықтағы машиналарда пәрменді іске қосыңыз

Пәрменді орындау үшін GPU жаңартуыБарлығы үшін қашықтағы машиналармен командлетті қолданамын Шақыру-командасы. Ол $sessions айнымалысында сақталған сеанстарды пайдаланады. Командлетке арналған бүркеншік ат Шақыру-командасы – icm.

icm -Session $session -ScriptBlock (gpupdate /force)

Пәрменді іске қосқаннан кейін нәтижелер Windows PowerShell консолінде көрсетіледі.

Топтық саясатты жаңартуды тексеру

Қашан қосулы жұмыс станциясытоптық саясат параметрлерінің сәтті жаңартылуы бар, оқиға идентификаторы 1502 Жүйе журналына жазылған. Мен командлетті пайдалана аламын Шақыру-командасыбұл ақпаратты алу үшін.

icm -Session $session -ScriptBlock (Get-EventLog -LogName жүйесі -InstanceId 1502 -Ең жаңа 1)

Пәрмен және оның нәтижелері төмендегі суретте көрсетілген.

Топтық саясат туралы тағы бір қызықты нәрсе

Кейде мен техникалық қолдау қызметіне қоңырау шалуым керек, олар менен топ саясатын жаңартуымды сұрайды жергілікті компьютер. Бұл проблема емес, өйткені мен жүгіре аламын GPU жаңартуытікелей PowerShell жүйесінен. Олар топ саясатын 5 минут аралықпен 5 рет жаңартуды сұрағанда қиындық туындайды. Бірақ бұл да кодтың бір жолымен шешіледі.

1..5 | %("жаңарту GP $(Get-Date)"; gpupdate /force ; ұйқы 300)

Эд Уилсон, Microsoft сценарийін жасаушы жігіт

Түпнұсқа:

GPUPDATE пәрмені пайдаланушы және/немесе компьютер үшін топтық саясаттарды жаңарту үшін пайдаланылады.

Пәрмен жолы пішімі:

GPU жаңартуы

Пәрмен жолы опциялары:

/Мақсаты:(Компьютер | Пайдаланушы)- Тек пайдаланушыға немесе тек компьютерге арналған саясат параметрлерін жаңартыңыз. Көрсетілмесе, саясат параметрлерінің екеуі де жаңартылады.

/күш- Барлық саясат параметрлерін қолданыңыз. Көрсетілмесе, тек өзгертілген саясат параметрлері қолданылады.

/күту: мән- Саясатты өңдеуді аяқтау үшін күту уақыты (секундтармен). Әдепкі бойынша 600 секунд күту керек. «0» мәні – күтудің қажеті жоқ. «-1» мәні – күту шектелмейді. Күту уақыты орын алса, пәрмен жолы терезесі қайта іске қосылады, бірақ саясатты өңдеу жалғасады.

/Шығу- Топтық саясат параметрлерін жаңартқаннан кейін жүйеден шығу. Саясатты өңдемейтін Group Policy клиенттік кеңейтімдері үшін қажет фон, бірақ оны пайдаланушыға арналған бағдарламаларды орнату немесе қалталарды қайта бағыттау сияқты пайдаланушы жүйеге кіргенде ғана өңдеңіз. Пайдаланушының жүйеден шығуын талап ететін кеңейтімдер шақырылмайынша, бұл параметр әсер етпейді.

/Етік- Топтық саясат параметрлерін қолданғаннан кейін қайта жүктеуді орындау. Саясатты фондық режимде өңдемейтін, бірақ оны тек іске қосу кезінде өңдейтін, мысалы, компьютерлік бағдарламалық құрал орнатулары сияқты Топтық саясаттың клиенттік кеңейтімдері үшін қажет. Жүйені қайта қосуды қажет ететін кеңейтімдер шақырылмайынша, бұл параметр әсер етпейді.

/синхрондау- Саясаттың келесі белсенді қолданбасы синхронды түрде орындалуы керек. Белсенді саясатты орындау компьютер қайта іске қосылғанда немесе пайдаланушы жүйеге кіргенде орын алады. Бұл опцияны пайдаланушыға, компьютерге немесе екеуіне де /Target опциясын көрсету арқылы пайдалануға болады. /Мәжбүрлеу және /Күту опциялары, егер көрсетілген болса, өткізілмейді.

Қолдану мысалдары:

gpupdate /?- пәрменді пайдалану үшін кеңесті көрсету.

gpupdate- компьютерлік саясаттар мен пайдаланушы саясаттары жаңартылды. Тек өзгертілген саясаттар қолданылады.

gpupdate / Мақсат: компьютер- Саясат тек компьютер үшін жаңартылады.

gpupdate /Force- барлық саясаттар жаңартылды.

gpupdate /жүктеу- компьютерді қайта іске қосу арқылы топтық саясаттарды жаңарту.

Windows 10 жаңарту саясаты параметрі Windows 10 жаңартуларды алу жолының параметрі болып табылады. Windows 10 жүйесінде Жаңарту орталығының параметрлері Басқару тақтасынан Жүйе параметрлеріне жылжытылды. Windows 10 жүйесінде Басқару тақтасындағы параметрлер жоқ, сондықтан жаңартуларды өшіру немесе оларды алу жолын таңдау мүмкін емес. Дегенмен, тізілім өңдегішін және жергілікті топтық саясат өңдегішін пайдаланып, жаңартуларды өшіруге және оларды алу жолын орнатуға болады.

Жергілікті топтық саясат редакторы арқылы жаңартуларды конфигурациялау

Пернетақтадағы екі пернені бірден басу арқылы жергілікті топтық саясат өңдегішін іске қосыңыз WIN+R gpedit.mscжәне OK түймесін басыңыз.

Windows 10 жаңарту топтық саясаты

Компьютер конфигурациясы - Әкімшілік үлгілер - Windows құрамдастары– Windows жаңартуы. Басыңыз соңғы абзац Windows жаңарту, содан кейін оң жақта элементті табыңыз Параметр автоматты жаңарту және оның параметрлерін өзгертіңіз.

Мұны істеу үшін ашылатын терезеде Қосылған элементінің жоғарғы жағына нүкте қойыңыз, содан кейін төмендегі жаңарту параметрлерін орнатыңыз. OK түймесін басыңыз. Содан кейін сіз жасаған параметрлер жұмыс істеуі үшін ашыңыз Жүйе параметрлері - Жаңарту және қауіпсіздік - Windows жаңартуыжәне түймесін басыңыз Жаңартуларды тексеріңіз.

Осыдан кейін жергілікті топтық саясат редакторында жасаған параметрлер күшіне енеді.

Тіркеу редакторы арқылы жаңартуларды конфигурациялау

Пернетақтадағы екі пернені бірден басу арқылы тізілім өңдегішін іске қосыңыз WIN+R. Пәрменді енгізетін «Орындау» терезесі ашылады regeditжәне OK түймесін басыңыз.

Ашылатын редактор терезесінің сол жағында кеңейтіңіз HKEY_LOCAL_MACHINE-SOFTWARE-Policies-Microsoft-Windows. Меңзерді Windows жүйесінің соңғы элементінің үстіне апарып, тінтуірдің оң жақ түймешігін басыңыз. Ашылған контекстік мәзірде таңдаңыз Жасау - Бөлім. Жаңа бөліматы windows жаңартуы.
Содан кейін жаңадан жасалған WindowsUpdate бөлімінің үстіне меңзерді апарыңыз және қайтадан өзіңіз атайтын бөлімді жасаңыз AU.
Содан кейін жаңадан жасалған AU бөліміне меңзерді апарыңыз және тінтуірдің оң жақ түймесін басып, ашылатын мәзірде таңдаңыз Жаңа - DWORD мәні (32 бит). Жаңадан жасалған параметр терезенің оң жағында пайда болады, оны атаңыз AUOptions. Дәл осылай, AU бөліміне меңзерді апарып, тағы үш параметрді жасаңыз және біріншісін атаңыз Автоматты жаңарту жоқ, екінші Жоспарланған орнату күні, және үшінші Жоспарланған орнату уақыты(міндетті емес NoAutoRebootWithLoggedOnUsers). Енді осы төрт жаңа параметрде мәнді өзгерту керек.

AUOptions параметрі үшін

• 2 - Кез келген жаңартуларды орнату және жүктеп алу алдында хабарландыру алыңыз.
• 3 - жаңартулар мен оларды орнатуға дайындау туралы хабарландыруларды автоматты түрде алыңыз.
• 4 - Белгіленген кестеге сәйкес жаңартуларды автоматты түрде алыңыз және орнатыңыз.
• 5 - Жергілікті әкімшілерге жаңарту режимін және хабарландыруларды өздері таңдауға рұқсат беріңіз.

NoAutoUpdate параметрі үшін

• 0 - Қосылған автоматты орнату AUOptions параметрінде жасалған параметрлерге байланысты жүктелетін және орнатылатын жаңартулар.
• 1 - Жаңартуларды автоматты орнату өшірілген.

ScheduledInstallDay параметрі үшін

• 0 - AUOptions параметрі 4 мәніне орнатылған болса, жаңартулар күн сайын орнатылады.
• 1 - AUOptions параметрі 4-ке орнатылған болса, жаңартулар әр дүйсенбі сайын орнатылады.
• 2 - AUOptions параметрі 4 мәніне орнатылған болса, жаңартулар әр сейсенбіде орнатылады.
• 3 - AUOptions параметрі 4 мәніне орнатылған болса, әр сәрсенбі сайын жаңартулар орнатылады.
• 4 - AUOptions параметрі 4-ке орнатылған болса, жаңартулар әр бейсенбі сайын орнатылады.
• 5 - AUOptions параметрі 4-ке орнатылған болса, жаңартулар әр жұма сайын орнатылады.
• 6 - AUOptions параметрі 4-ке орнатылған болса, жаңартулар әр сенбі сайын орнатылады.
• 7 - AUOptions параметрі 4-ке орнатылған болса, жаңартулар әр жексенбі сайын орнатылады.

ScheduledInstallTime параметрі үшін

0-ден 23-ке дейін жаңартулар байланысты көптеген сағаттарда орнатылады параметрін орнатужәне AUOptions параметрі үшін 4 мәнімен.

NoAutoRebootWithLoggedOnUsers параметрі үшін

• 0 - Жаңартулар орнатылған кезде, компьютер автоматты түрде қайта іске қосылады, ол AUOptions параметрінің 4 мәнімен жұмыс істейді.
• 1 - Жаңартуларды орнату аяқталғаннан кейін компьютер автоматты түрде қайта іске қосылмайды, ол AUOptions параметрінің 4 мәнімен жұмыс істейді.

· Түсіндірмесіз

Топ саясаты параметрлерін жаңартыңыз Microsoft WindowsЖергілікті құрылғыдағы топтық саясатты Gpupdate сияқты құралмен жасау қиын емес, бірақ осы саясаттарды жаңарту қашықтағы компьютерлердоменде Microsoft басқару консолін (MMC) немесе қазіргі кез келген Microsoft өнімдерін пайдаланып орындау мүмкін емес. Бұл мақалада мен сізге домендегі қашықтағы компьютерлердегі топтық саясат параметрлерін жаңартуға мүмкіндік беретін әртүрлі трюктар, сценарийлер және тегін құралдар арқылы таныстырамын.

Кіріспе

Көптеген әкімшілер қашықтағы компьютерлерге топтық саясаттарды қолдану мәселесін біледі. Кейбір маңызды саясатты конфигурациялағаннан кейін, кейде біз бұл GP топ саясаты клиенттік компьютерлерде бірден пайда болғанын қалаймыз. Бірақ мәселе мынада, әдепкі бойынша фондық өңдеу деп аталатын процесс тек 90-нан 120 минутқа дейін (кездейсоқ) болады - егер біз жаңарту процесін тездеткіміз келсе, онда біз өз құрылғыларымызға қалдырамыз. Әрине, саясаттардың әр бес минут сайын немесе тіпті нақты уақытта жаңартылмауының себебі бар. Көптеген орталардағы домен контроллерлеріне және желіге жүктеме тым көп болады. Бірақ егер қажеттілік туындаса жылдам қолдануүшін өте маңызды қауіпсіздік параметрі үлкен сантұтынушылар, мұндай жағдайға дайындалу жақсы идея болар еді.

Әкімшіге Computer1, Computer2 және/немесе Computer3 саясатын, сондай-ақ A, B және C пайдаланушыларына арналған саясаттарды орталықтандырылған нүктеден - әкімшінің жұмыс станциясынан жаңарту мүмкіндігін беруді қалаймыз. қажет деп санайды. 1-суретке қараңыз.

1-сурет: Сценарий

Бізде Microsoft Windows XP және жаңарақ операциялық жүйелерде орнатылған Gpupdate деп аталатын тамаша құрал бар және бізде Secedit деп аталатын құрал бар. операциялық жүйе Windows 2000 - бірақ, өкінішке орай, Gpupdate және Secedit құралдарына арналған Gpresult пәрменін тек жергілікті компьютерлерде өңдеуге болады. Әрине, біз орнату жүйесін басқару сервері ретінде конфигурациялап қойдық Microsoft жүйелеріЖүйелерді басқару сервері (SMS), біз бұл жүйені пайдаланушылар немесе компьютерлер тобы үшін қажетті пәрменді іске қосатын шағын сценарийлерді жіберу үшін пайдалана аламыз.

Егер сіздің желіңізде мұндай жүйе жоқ болса, онда сіз көбірек шығармашылық тәсілдерді қолданып көруіңіз керек - өйткені. балама - қашықтан көмек сияқты құралды пайдаланып барлық қажетті компьютерлерге кіру немесе барлық пайдаланушыларға тарату электронды хат Gpupdate пәрменін іске қосуды сұрайды... Сондықтан көбірек шығармашылық тәсілдер іздеңіз.

Мәселелер

Егжей-тегжейлерге тоқталмас бұрын, мен атап өткім келеді жалпы проблемаларадамдар осы мақалада айтылған әдістерді қолдануға тырысқанда кездесетін.

Брандмауэр мәселелері:

Желіде іске қосылған басқа қосылымдардағыдай, қашықтағы компьютерлердегі саясат параметрлерін жаңартуға әрекеттенетін пакеттер қашықтағы компьютерлердегі жергілікті брандмауэрден (мысалы, Windows амалдық жүйесіне орнатылған брандмауэрден) өте алмайды. Windows XP жүйесінен бастап). Service Pack 2 және одан жоғары нұсқасымен) егер бұл желіаралық қалқан осындай кіріс трафикке (таңдалған ішкі желіден, IP-ден немесе сол сияқты нәрседен) рұқсат беру үшін конфигурацияланбаса. Windows амалдық жүйесіндегі кірістірілген брандмауэр топтық саясат нысаны арқылы жасайтын кіріс трафигіне рұқсат беру үшін конфигурациялануы керек, сондықтан, бір қызығы, бұл саясат брандмауэр қосылған қашықтағы компьютерлер үшін пайдалана алмайтын жалғыз саясат.

Осы мақалада айтылған барлық әдістер үшін орнатылуы тиіс саясат параметрлері төмендегідей:

Компьютер параметрлері | Әкімшілік үлгілер | желі | Желілік қосылымдар | Windows брандмауэрі | Домен профилі | «Windows брандмауэрі: қашықтан басқару ерекшелігіне рұқсат ету».

арасында желіаралық қалқан қызметін атқаратын басқа құрылғылар орталық компьютержәне қашықтағы компьютерлер де жоғарыдағы параметрлерді сақтауы керек (GPEDIT.MSC ішіндегі аталған саясатты Анықтама сынағынан қараңыз).

Әкімші құқықтары:

Қашықтағы компьютерде процесті бастайтын пайдаланушыда жергілікті әкімші құқықтары болуы керек әйтпесе, бәрі сіз күткендей жұмыс істемейді.

Енді сіз мұның бәрін шешкеннен кейін, әдістердің өзін қарастырайық.

Сценарий жазу

Сценарийлер тегін және бағдарламалық жасақтама мамандары арасында кеңінен таратылады. ақпараттық технологияИнтернетке шын мәнінде «Ашық бастапқы код». Майкрософт операциялық жүйені және ортаны жақсарту үшін бізге бірнеше кірістірілген мүмкіндіктерді берді - бұл мақалада біз GP топ саясаттарын қашықтан жаңарту үшін осы мүмкіндіктерді қалай пайдалануға болатынын көрсетеміз.

Gpupdate және Secedit

Алдымен Gpupdate және Secedit құралдарын атап өту керек, бұл құралдарсыз төмендегілердің ешқайсысы мүмкін емес. Мұнда айтылған сценарийлер мен құралдардың барлығы осы құралдардың біреуі орнатылғанын білдіреді қашықтағы клиент, амалдық жүйе нұсқасына байланысты. Жоғарыда айтылғандай, Secedit құралы операциялық жүйенің бөлігі болып табылады. Windows жүйелері 2000 ж. және Gpupdate құралы Windows XP және одан жоғары операциялық жүйеден алынған, ол қазіргідей тіпті Longhorn операциялық жүйесінде де бар. Келесі сценарийлерде мен Gpupdate-ге назар аударамын - біз Gpupdate немесе Secedit қолданбас бұрын операциялық жүйе нұсқасын тексере аламыз, бірақ бұл тексеруді кейінірек тым көп қиындықсыз қосуға болады.

Gpupdate.exe файлы әдепкі бойынша “%windir%\system32” қалтасында орналасқан, сондықтан қашықтағы құрылғыдағы оның орнына абсолютті жолды білудің қажеті жоқ. Құралды әртүрлі пернелер жиынтығымен шақыруға болады:

Синтаксис: Gpupdate

HTML қолданбасына (HTA) арналған DIY сценарийлерінде және Windows басқару Instrumentations (WMI) біз Gpupdate қолданбасын қосқыштарсыз немесе "/Taget:Computer" (компьютерге арналған саясаттарды жаңарту үшін) немесе "/Target:User" (пайдаланушыға арналған саясаттарды жаңарту) қосқыштарымен іске қосуға назар аударамыз. Басқа опцияларды аздап қиналмай қосуға болады, бірақ бізге шынымен «/Logoff» немесе «/Boot» керек пе? Бұл қажет болған жағдайда пайдаланушылар шыға алады дегенді білдіреді (параметр бағдарламалық қамтамасыз ету, қалталарды өзгерту және т.б.) немесе тіпті пайдаланушы жұмыс істеп тұрған кезде компьютерді қайта қосуды талап етеді. Бұл шынымен бізге керек пе? Қалай болғанда да, біз осы мақсат үшін Shutdown.exe сияқты құралды пайдалана аламыз - сондықтан менің ойымша, ол өте танымал болмайды.

psexec

Мен айтқым келетін бірінші әдісті пайдалану өте оңай және бағдарламалау дағдыларын қажет етпейді. Неге бұрыннан ойлап табылған нәрсені ойлап табу керек, солай емес пе? PsExec деп аталатын құралды Марк Руссинович жасаған, бұрынғы иесі Microsoft корпорациясы 2006 жылдың шілдесінде сатып алған Sysinternals сайтынан. 1.73 нұсқасы қазіргі уақытта қол жетімді және оны Microsoft Technet сайтынан жүктеп алуға болады.

PsExec құралы қашықтан орындауға қатысты өте жақсы, себебі ол қашықтағы компьютерде агенттерді орнатуды қажет етпейді. Сізге жай ғана компьютер атын және пәрмен жолындағы қосқыштармен бірге іске қосылатын пәрменді көрсету керек - және бұл!

Кішкене трюк - PsExec.exe файлын «%windir%» каталогына қою, өйткені бұл жағдайда пәрмен жолынан іске қосу кезінде осы файлға толық жолды көрсетудің қажеті жоқ.

Қашықтағы құрылғыдағы топтық саясаттарды жаңарту үшін бізге келесі пәрменге «Компьютер атауы» (компьютер атауы) енгізу жеткілікті: «PsExec \\Компьютер аты Gpupdate». Қашықтағы құрылғыда жұмыс істейтін пайдаланушы тіпті не болғанын білмейді, бірақ фондық режимде Gpupdate пәрмені пайдаланушы мен компьютер үшін саясаттарды жаңартады және жоғалған параметрлерді қолданады. PsExec пәрменін жаңарту үшін «-i» опциясымен іске қосу керек деп ойлауыңыз мүмкін қашықтағы пайдаланушыларпайдаланушыларға арналған арнайы саясаттар, бірақ тестілеу бұл қажет емес екенін көрсетеді.

FLEX COMMAND сценарийі

Сонымен, жоғарыда аталған әдіс бір пайдаланушыға немесе компьютерге арналған саясаттарды жаңартуға мүмкіндік береді, бірақ оның арқасында бүкіл ұйымдық бөлімшені (ұйымдық бөлімше немесе OU) жаңарту туралы не айтуға болады. бөлісу PsExec және Gpupdate? Осы мақсатта мен сценарий арқылы пайдалана алатын кейбір мүмкіндіктерді көрсету үшін демонстрациялық сценарий жасадым. Сценарий FLEX COMMAND деп аталады және оны осы жерден жүктеп алуға болады. HTA файлын оңай ашуға болады мәтіндік редакторБлокнот теріңіз және кодты қараңыз, жасырын сиқыр жоқ.

FLEX COMMAND іске қосылғанда, ол жұмыс істеп тұрған компьютердің Active Directory (AD) доменіне қосылады. Сондықтан ол домен мүшесі болып табылатын компьютерде орындалуы керек, әйтпесе OU табылмайды.

Құрал «тірі» (WMI сұрауларына жауап беретін) машиналарда жұмыс істейтін OU таңдаңыз. Ең соңғы нәрсе - қою пәрмен жолы, біз жергілікті компьютерде орындағымыз келеді, таңдалған OU-де орналасқан әрбір нысан үшін. «(C)» мәтіндік жолын қалдыру керек, өйткені ол сценарий жұмыс істеп тұрған кезде компьютер атауымен ауыстырылады.

2-сурет: FLEX COMMAND әрекетте

«Менің компьютерлерім» деп аталатын OU құрамында барлығы 3 компьютер бар деп есептейік: Компьютер1, Компьютер2 және Компьютер3. Біз терген “psexec \\(C) gpupdate” пәрмені келесі 3 пәрменге аударылады: “psexec \\computer1 gpupdate”, “psexec \\computer2 gpupdate”, “psexec \\computer3 gpupdate” – барлық пәрмендер келесідей болады ретімен орындалады (егер компьютерлер «тірі» болса) және қашықтағы саясаттаржаңартылатын болады.

Құралды тізімнен қолмен таңдау арқылы компьютерлер тізімі файлдан (txt, csv, xls, т.б.), дерекқордан, AD-дегі арнайы қауіпсіздік тобынан келетіндей етіп өзгертуге болады. Сценарийдің орындалу тәсілін де өзгертуге болады, бұл жай ғана демо-скрипт, оның басты мақсаты – бізде бар мүмкіндіктерді көрсету.

Сценарий тегін таратылады және сіз оны өз қалауыңыз бойынша сынауға, пайдалануға және өзгертуге болады - мәліметтер.

Windows басқару құралдары (WMI)

Жарайды, PsExec құралы шынымен керемет, бірақ бар ма? қол әдістеріоның көмегімен ортам үшін шешімді жақсырақ реттей аламын? Иә, шынымен де бар! WMI өте қуатты және бірнеше сағаттық оқудан кейін пайдалану өте оңай. Егер сіз WMI-де шебер болсаңыз және брандмауэр рұқсаттарымен және әкімші құқықтарымен жақсы болсаңыз, онда сізде кез келген нәрсені істей алуыңыз керек. Windows ортасыорта - тіпті компьютерді қашықтан өшіру, қайта жүктеу және қашықтағы пәрмендерді орындау.

Мен OU GPUPDATE деп аталатын демонстрациялық мақсаттар үшін басқа сценарий жасадым. Бұл HTA сценарийі бірнеше түрлі әдістерді пайдаланады - бұл шын мәнінде FLEX COMMAND сценарийінің шамалы модификациясы. Біріншіден, ол AD ішіндегі OU құрылымын талдайды (жоғарғы ашылмалы тізім), пайдаланушыларға OU ішінен компьютерлерді таңдау, Gpupdate бағдарламасын «/Target:User» немесе «/Target:Computer» опцияларымен іске қосу немесе жоқ опцияларды береді. опциялар мүлдем. Әдепкі бойынша тек «тірі» компьютерлер (WMI сұрауларына жауап беретіндер) әсер етеді.

3-сурет: Пайдаланушы параметрлерін, компьютер параметрлерін немесе екеуін де жаңартуды таңдаңыз

Бұл сценарий тегін және оны осы жерден сынауға, пайдалануға және өз қалауыңыз бойынша өзгертуге болады.

Қашықтан сценарий жазу

WMI-ге қосымша, бізде кәдімгі қашықтағы сценарийлерді (VBScript) пайдалану мүмкіндігі бар. Мұны компьютер тізілімінің HKLM бөлігінде бір ғана мәнді орнату арқылы қосуға болады, ал сценарийлер механизмі де «қашықтан сценарий жазуды» қолдауы керек және осы сәттен бастап қалғанының бәрі анық болады. Процедура сценарий файлын қашықтағы компьютерге көшіру (бұл сценарий Gpupdate пайдалануы керек), содан кейін сценарийді қашықтан іске қосатын VBScript пәрменін жіберу.

RGPREFRESH

RGPREFRESH — Дарен Мар-Эл әзірлеген құрал. Оның құралы WMI пайдаланады және қашықтағы компьютердегі операциялық жүйеге байланысты пайдаланушы таңдаған кілттермен Secedit немесе Gpupdate іске қосады. Бұл пернелер осы құралды жергілікті түрде пайдаланған кездегідей опцияларды береді.

Бұл құрал бір уақытта бір машинаны өңдейді, бірақ FLEX COMMAND деп аталатын құралмен біріктірілгенде (орам ретінде) бұл құралды тінтуірдің бірнеше рет басу арқылы бүкіл ұйымдық бөлімшеде (OU) пайдалануға болады... RGPREFRESH және PsExec екеуі де құралдарды DSQUERY утилиталарымен , FOR және басқа пәрмен жолы утилиталарымен бірге бірден бірнеше компьютерде пайдалануға болады.

4-сурет: RGPREFRESH параметрлері

Бұл құралды осы беттен тегін жүктеп алуға болады.

SpecopsGpupdate

Special Operations Software, Specops, жаһандық бағдарламалық қамтамасыз ету компаниясы топтық саясат технологиясына негізделген Active Directory басқару өнімдерін ұсынады. Компания өзінің қашықтан саясатты жаңарту шешімін шығарды және тамаша нәрсе - бұл толығымен тегін. Specops Gpupdate бағдарламасының ағымдағы нұсқасы 1.0.2.13 (2006-10-25) және утилитаны осы жерден жүктеп алуға болады. Бұл құрал біз жоғарыда аталған сценарийлерде әзірлеген функционалдылыққа ие ғана емес, сонымен қатар бірнеше басқару опцияларын қосады. Осы тамаша қызметтік бағдарламаны қарастырайық...

Specops Gpupdate орнатыңыз

MSI қолданбасын орнату өте қарапайым – сізге тек Active Directory Users & Computers (ADUC) MMC пайдаланушысы және компьютерлері, сондай-ақ Microsoft қажет. NET Framework 2.0 нұсқасы.

5-сурет: Орнату процесі орнату сияқты қарапайым MSI пакеттері(келесі, келесі, келесі түймесін басыңыз)

MSI файлын орнатқаннан кейін GUI GUI ештеңені өзгертпейді және тек «Бағдарламаларды қосу/жою» көмегімен біз Specops құрылғымызда орнатылғанын біле аламыз. Сондықтан біз орындауымыз керек қосымша жұмыссиқырлы түрлендіру үшін...

Active Directory пайдаланушысы мен компьютерлеріне арналған кеңейтім

AD орманында Specops Gpupdate орнатқаннан кейін арнайы пәрменді іске қосу керек

“%CommonProgramFiles%\Specopssoft\Specops ADUC Extension\SpecopsAducMenuExtensionInstaller.exe” /қосу

Бұл схеманы жаңарту емес, бірақ бұл пәрменді іске қосу үшін корпоративтік әкімші болуыңыз керек. Бұл пәрмен толығымен қайтымды, оны «/remove» пернесі арқылы қайта іске қосыңыз. Мұның бәрі ADUC көмегімен көріністі кеңейту үшін «Дисплей спецификациялары» деп аталатындарды тіркеу болып табылады.

Содан кейін OU немесе компьютер нысанын тінтуірдің оң жақ түймешігімен нұқыңыз, сонда сіз төрт жаңа пәрменнің пайда болғанын көресіз: Gpupdate, Restart, Shut off және Start. Пернені басып, басу арқылы бірнеше компьютерлер мен OU таңдауға болады оң жақ түймеқажетті объектілерде тінтуірді басыңыз.

6-сурет: ADUC MMC кеңейтілді

Егер мен сияқты өзгертулерді тұрақты емес токтарға да қолдануға болады ма деген сұрақ туындаса, жауап иә! Кейін Windows орнату Server 2003 Admin Pack Service Pack 1 Әкімшілік құралдар жинағы қосулы Windows клиенті XP Professional, .NET Framework 2.0 және Specops Gpupdate, басқару консолі тұрақты ток домен контроллеріндегі сияқты көрінеді және бірдей функционалдылыққа ие.

Gpupdate опциялары

Бізде бар бірінші опция Gpupdate пәрменін таңдалған компьютерлерде қашықтан іске қосуға мүмкіндік береді. Gpupdate таңдағаннан кейін, біз 7-суретте көрсетілгендей таңдауды растауымыз керек және егер күшейту параметрін қолданғымыз келсе, күшін пайдалану опциясына құсбелгі қойыңыз.

7-сурет

«ОК» түймесін басқаннан кейін динамикалық график пайда болады, 8-суретті, сондай-ақ жаңарту барысы туралы есепті қараңыз.

8-сурет

Қайта қосу және өшіру опциялары

Келесі екі параметр «Қайта іске қосу» және «Өшіру» басқару үшін өте маңызды, сондықтан бізге олар тікелей ADUC жүйесінде қажет. Біз қайта іске қосу (қайта жүктеу) немесе өшіру (өшіру) пәрменін іске қоса аламыз, сонымен қатар пайдаланушыға барлығын жабу үшін берілген секундтармен уақыт аралығын орната аламыз. іске қосылған қолданбалар. WMI арқылы немесе дұрыс опциялармен Shutdown.exe пәрменін пайдалану арқылы солай істеу үшін сценарий жазу өте қиын емес, бірақ Specops Gpupdate арқасында біз бұл функцияны уақыт пен күш жұмсамай тегін аламыз.

9-сурет: Қайта жүктеу хабарлама диалогы

Бастау параметрі Төрт параметрдің соңғысы «Бастау» деп аталады және шын мәнінде ADUC ішіне орнатылған LAN желісінде ояту немесе WOL (Желіде ояту) функциясы болып табылады. Бұл опцияны таңдап, растағаннан кейін 10-суретті қараңыз, Magic деп аталатын пакеттер MAC мекенжайларына жіберіледі. клиенттік компьютерлержәне ол жүктеле бастайды. WOL жұмыс істеуі үшін сәйкес функцияға қолдау көрсету керек Компьютердің BIOS. Specops Gpupdate осы процесті бастау үшін қажетті ақпаратты табу үшін корпорацияның Microsoft DHCP серверлерімен байланысады, сондықтан DHCP клиенттерін оятуға болады және тек желіде орнатылған серверлер Microsoft DHCP.

10-сурет: қашықтан WOL іске қосуды растаңыз

Айтпақшы, сіз WOL үшін сценарийлерді де пайдалана аласыз, мұндай кодтың мысалдары осы мақаланың ауқымынан тыс.

Қорытынды

Біз қашықтағы компьютерлерге топтық саясаттарды қолданудың бірнеше жолдарын қарастырдық. Жоғарыда аталған әдістердің қайсысы сізге қолайлы, сіздің ортаңызға байланысты. Жеке өзім сценарий жазуды ұнатамын, бірақ неге басқа адамдар жасап қойған нәрсеге көп жұмыс істеу керек? Бұл сұраққа менің екі жауабым бар. Біріншісі, мұндай сценарийлерді жазу барысында біз үйренеміз, ал екіншісі - арнайы шарттар немесе тапсырыс бойынша жасалған өндіріс. Сценарий жазу біздің ақпараттық технология мамандары ретіндегі дағдыларымызды жақсартады, сонымен қатар нақты шарттарға жақсырақ сәйкес келетін кілтті шешімдерді теңшеуге мүмкіндік береді.

Specops өте жақсы дамыды тегін утилита, ол желілік клиенттердегі саясаттарды жаңартудың негізгі функцияларын орындайды. Мен оны жасап көруге кеңес беремін!

Дереккөз www.windowsecurity.com