Konfiguracja sprzętu i oprogramowania

Dom Wideo
Wideo

Jak przyspieszyć proces aktualizacji zasad grupy. GPUPDATE — wykonywanie aktualizacji zasad grupy dla użytkownika i komputera Aktualizowanie zasad za pomocą wiersza poleceń

Po zmianach GPO rozprzestrzenienie się na inne systemy zajmuje trochę czasu (90 minut +/- 30), ale jeśli trzeba je pilnie zastosować, administrator zarejestrował się na zdalnym systemie i wykonał polecenie „ gpupdate”. Przy dużej liczbie komputerów proces ten zajął trochę czasu, a sam proces jest niewygodny. Teraz możesz o tym zapomnieć. W konsoli sterowania Zasady grupy(GPMC) w menu kontekstowe domena i jednostka organizacyjna pojawiła się nowa pozycja „ Aktualizacja zasad grupy”(Aktualizacja zasad grupy) umożliwia aktualizację zasad systemowych z systemu Windows Vista/2008 za pomocą dwóch kliknięć. Po aktywacji zadania zostanie odebrana lista komputerów i zarejestrowanych użytkowników, po czym zadanie „ Gpupdate.exe / życie”. Aby uniknąć przeciążenia sieci, będzie działać z losowym opóźnieniem 0-10 minut. Wynik wykonania zadania jest wyświetlany w osobnym oknie, a powodzenie aktualizacji można określić za pomocą Kreatora wynikowego zestawu polityk.
Nowa funkcja otrzymała również własny cmdlet - Wywołaj-GPUpdate co pozwala na zdalną aktualizację GP i daje jeszcze więcej możliwości niż GPMC. Nawiasem mówiąc, teraz za polityki grupowe odpowiada 27 cmdletów, czyli jeszcze jeden (dostać pełna lista możesz wejść " Get-Command -Module GroupPolicy«).
Aby natychmiast zaktualizować zasady w określonym systemie, po prostu uruchom:

PS> Invoke - GPUpdate - Komputer< имя компьютера>

PS> Wywołaj-GPUpdate-Komputer< имя компьютера>

Dodatkowy klucz –Losowe opóźnienie w minutach umożliwia ustawienie interwału limitu czasu, co jest przydatne, jeśli polecenie będzie wykonywane na wielu systemach.
Ale najważniejsze jest to, że w GPMC można wybrać tylko dział, nie ma osobnego kontenera na komputery. I tu z pomocą przychodzi Invoke-GPUpdate, który wraz z poleceniem cmdlet Get-ADComputer pozwala wybrać systemy według dowolnego kryterium:

PS> Get- ADComputer – filtr * - Baza wyszukiwania „cn = komputery, dc = przykład, dc = org”| foreach (Invoke-GPUpdate –computer $ _ .name –force –- RandomDelayInMinutes 5)

PS> Get-ADComputer –filter * -Searchbase "cn = komputery, dc = przykład, dc = org" | foreach (Invoke-GPUpdate –computer $ _. name –force –-RandomDelayInMinutes 5)

Jeszcze ważny punkt, w systemach klienckich musi być otwartych wiele portów zapory. Aby ułatwić życie administratorowi w MS, zaproponowali 2 nowe początkowe zasady (do 8 istniejących), umożliwiające szybkie tworzenie i rozpowszechnianie żądane ustawienia:

- Porty zapory do zdalnej aktualizacji zasad grupy;
- Porty zapory do raportowania zasad grupy.

Ich cel jasno wynika z nazwy. Interesuje nas pierwsza. Zalecamy utworzenie nowego obiektu zasad grupy i przeniesienie go na górę, nadając mu wyższy priorytet niż domyślny obiekt zasad grupy domeny.
Proces jest prosty. Wybieramy domenę iw menu element "Utwórz obiekt zasad grupy w tej domenie". W wyświetlonym oknie wprowadź nazwę i wybierz z listy „Porty zapory do zdalnej aktualizacji zasad grupy”. Alternatywnie możesz użyć PowerShell.

Streszczenie: Microsoft Scripting Guy, Ed Wilson pokazuje, jak uruchomić aktualizację zasad grupy za pomocą PowerShell.

Aktualizacja zasad grupy w domenie

Czasami wprowadzam zmiany w zasadach grupy w sieci i muszę zastosować zmiany na wszystkich komputerach. A czasami muszę zaktualizować lokalne zasady grupy na moim komputerze.

Aby zaktualizować ustawienia zasad grupy, używam narzędzia Aktualizacja GPU... Ma pewne parametry. Domyślnie narzędzie aktualizuje politykę komputera i użytkownika. Ale można to kontrolować za pomocą parametru / cel... Na przykład, jeśli znudzi mi się aktualizowanie tylko polityki komputerowej, określę / cel: komputer... Aby zaktualizować tylko zasady użytkownika — / cel: użytkownik.

PS C: \> gpupdate / cel: komputer

Aktualizuję zasadę...

Domyślna Aktualizacja GPU stosuje tylko zaktualizowane ustawienia zasad grupy. Aby zastosować wszystkie ustawienia, użyj parametru / zmuszać... Poniższe polecenie aktualizuje wszystkie ustawienia zasad grupy (niezależnie od tego, czy zostały zmienione) dla komputera i użytkownika.

PS C: \> gpupdate / życie

Aktualizuję zasadę...

Aktualizacja zasad komputera zakończyła się pomyślnie.

Aktualizacja zasad użytkownika zakończyła się pomyślnie.

Najpierw otrzymujemy listę komputerów w domenie

Pierwszą rzeczą, którą muszę zrobić, to uzyskać listę wszystkich komputerów w domenie. W tym celu używam polecenia cmdlet Pobierz ADComputer zawarte w module Active Directory.

Uwaga: Moduł Active Directory jest częścią RSAT.

Wynikowe obiekty komputerowe przechowuję w zmiennej $cn.

$ cn = Pobierz-ADComputer -filt *

Po drugie, tworzymy sesje zdalne

Następną rzeczą, którą muszę zrobić, to utworzyć sesje zdalne ze wszystkimi komputerami. Aby to zrobić, muszę podać dane uwierzytelniające, aby połączyć się z komputerami, a także utworzyć same sesje za pomocą polecenia cmdlet Nowa sesja PS.

Najpierw użyję polecenia cmdlet Pobierz-Credentials i przechowuj zwrócony obiekt w zmiennej $ cred.

$ cred = Get-Credential iammred \ administrator

$ sesja = Nowa-PSSession -cn $ cn.name -cred $ cred

Należy pamiętać, że domena może mieć wyłączone komputery, więc polecenie może zwrócić błędy. Jednak pomimo błędów, Windows PowerShell tworzy sesje z komputerami roboczymi.

Obecność dużej liczby błędów może budzić pewne obawy. Ponieważ obiekty sesji są przechowywane w zmiennej $ session, mogę łatwo sprawdzić, czy zostały utworzone.

Teraz uruchommy polecenie na wszystkich zdalnych komputerach

Aby uruchomić polecenie Aktualizacja GPU dla wszystkich zdalne maszyny używam polecenia cmdlet Wywołaj polecenie... Wykorzystuje sesje, które zapisaliśmy w zmiennej $ session. Alias ​​dla polecenia cmdlet Wywołaj polecenieicm.

icm -Session $ session -ScriptBlock (gpupdate/force)

Po uruchomieniu polecenia wyniki są wyświetlane w konsoli programu Windows PowerShell.

Weryfikowanie aktualizacji zasad grupy

Kiedy włączony stanowisko pracy ustawienia zasad grupy zostały pomyślnie zaktualizowane, w dzienniku systemu jest zapisywane zdarzenie o identyfikatorze 1502. Mogę użyć polecenia cmdlet Wywołaj polecenie dla tych informacji.

icm -Session $ session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Newest 1)

Polecenie i jego wyniki pokazano na poniższym rysunku.

Kolejna fajna rzecz dotycząca zasad grupy

Czasami muszę zadzwonić do pomocy technicznej i proszą o aktualizację zasad grupy na moim lokalny komputer... To nie jest problem, bo mogę biegać Aktualizacja GPU prosto z PowerShell. Trudność pojawia się, gdy proszą mnie o aktualizację zasad grupy 5 razy w odstępie 5 minut. Ale można to rozwiązać za pomocą jednej linii kodu.

1..5 | % („Odświeżanie GP $ (Get-Date)”; gpupdate / force; sleep 300)

Ed Wilson, Microsoft Skrypciarz

Oryginał:

Polecenie GPUPDATE służy do aktualizacji zasad grupy dla użytkownika i / lub komputera.

Format wiersza poleceń:

Aktualizacja GPU

Parametry wiersza polecenia:

/ Cel: (Komputer | Użytkownik)- Aktualizuj ustawienia zasad tylko dla użytkownika lub tylko dla komputera. Jeśli nie zostanie określony, ustawienia obu zasad zostaną zaktualizowane.

/ Zmuszać- Stosowanie wszystkich ustawień zasad. Jeśli nie określono, stosowane są tylko zmienione ustawienia zasad.

/ Czekaj: wartość- Czas oczekiwania (w sekundach) na zakończenie przetwarzania polisy. Domyślnie czeka 600 sekund. Wartość „0” oznacza brak oczekiwania. Wartość „-1” oznacza, że ​​czas oczekiwania jest nieograniczony. Jeśli limit czasu zostanie przekroczony, okno wiersza polecenia jest ponownie aktywowane, ale przetwarzanie zasad jest kontynuowane.

/ Wyloguj- Zakończ po zaktualizowaniu ustawień zasad grupy. Wymagane dla tych rozszerzeń klienta zasad grupy, które nie przetwarzają zasad w tło, ale przetwarzaj je tylko wtedy, gdy użytkownik się loguje, na przykład instalując programy dla użytkownika lub przekierowując foldery. Ten parametr nie ma znaczenia, chyba że wywołane zostaną rozszerzenia, które wymagają wylogowania użytkownika.

/ Uruchomić- Uruchom ponownie po zastosowaniu ustawień zasad grupy. Wymagane w przypadku tych rozszerzeń klienta zasad grupy, które nie przetwarzają zasad w tle, ale przetwarzają je tylko podczas uruchamiania, na przykład podczas instalowania oprogramowania na komputerze. Ten parametr nie ma znaczenia, chyba że wywołane zostaną rozszerzenia wymagające ponownego uruchomienia systemu.

/ Synchronizuj— Następne aktywne wymuszanie zasad musi być synchroniczne. Wymuszanie aktywnych zasad następuje po ponownym uruchomieniu komputera lub po zalogowaniu się użytkownika do systemu. Możesz użyć tego parametru na użytkowniku, komputerze lub obu, określając parametr / Target. Jednak opcje / Force i / Wait, jeśli zostały określone, są pomijane.

Przykłady użycia:

gpupdate /?- wyświetlić podpowiedź, jak używać polecenia.

gpupdate- aktualizowane są zasady komputera i zasady użytkownika. Stosowane są tylko zmienione zasady.

gpupdate / Cel: komputer- aktualizacja profili jest wykonywana tylko dla komputera.

gpupdate / Wymuś- wszystkie zasady są aktualizowane.

gpupdate / Boot- aktualizacja polityk grupowych po ponownym uruchomieniu komputera.

Konfigurowanie zasad aktualizacji systemu Windows 10 polega na skonfigurowaniu sposobu odbierania aktualizacji przez system Windows 10. W systemie Windows 10 ustawienia aktualizacji zostały przeniesione z Panelu sterowania do ustawień systemu. System Windows 10 nie ma tych samych ustawień, co w Panelu sterowania, dlatego niemożliwe stało się wyłączenie aktualizacji lub wybór sposobu ich odbierania. Możesz jednak użyć Edytora rejestru i Edytora lokalnych zasad grupy, aby wyłączyć aktualizacje i ustawić sposób ich odbierania.

Konfigurowanie aktualizacji za pomocą lokalnego edytora zasad grupy

Uruchom Edytor lokalnych zasad grupy, naciskając jednocześnie dwa klawisze na klawiaturze WYGRAJ + R gpedit.msc i kliknij OK.

Zasady grupy dotyczące aktualizacji systemu Windows 10

Konfiguracja komputera — Szablony administracyjne — Komponenty Windows- Aktualizacja systemu Windows... Kliknij ostatni punkt Windows Update, a następnie po prawej stronie znajdź przedmiot Dostosowywanie automatyczna aktualizacja i zmienić jego ustawienia.


Konfigurowanie zasad grupy aktualizacji systemu Windows 10

Aby to zrobić, w oknie, które się otworzy, musisz umieścić kropkę u góry w pozycji Włączone, a następnie ustawić poniższe ustawienia aktualizacji. Kliknij OK. Następnie, aby wprowadzone ustawienia działały, otwórz Ustawienia systemu - Aktualizacja i zabezpieczenia - Windows Update i naciśnij przycisk Sprawdzanie aktualizacji.


Po zakończeniu ustawień Zasady systemu Windows 10, uruchom aktualizację

Następnie ustawienia wprowadzone w Edytorze lokalnych zasad grupy zaczną obowiązywać.

Konfigurowanie aktualizacji za pomocą Edytora rejestru

Uruchom Edytor rejestru, naciskając jednocześnie dwa klawisze na klawiaturze WYGRAJ + R... Otworzy się okno Uruchom, w którym wprowadzisz polecenie regedit i kliknij OK.


Otwórz Edytor rejestru i utwórz tam cztery parametry do kontrolowania Aktualizacje systemu Windows 10

W lewej części otwartego okna edytora otwórz HKEY_LOCAL_MACHINE — OPROGRAMOWANIE — Zasady — Microsoft — Windows... Najedź kursorem na ostatni element systemu Windows i kliknij prawym przyciskiem myszy. W otwartym menu kontekstowym wybierz Utwórz - Sekcja. Nowa sekcja Nazwa Aktualizacja systemu Windows.
Następnie najedź kursorem na nowo utworzoną sekcję WindowsUpdate i ponownie utwórz sekcję o nazwie AU.
Następnie najedź na nowo utworzoną sekcję AU, kliknij prawym przyciskiem myszy i wybierz Nowość — parametr DWORD (32-bitowy)... Nowo utworzony parametr pojawi się po prawej stronie okna, nazwij go AUopcje... W ten sam sposób, najeżdżając kursorem na sekcję AU, utwórz jeszcze trzy parametry i nazwij pierwszy Brak automatycznej aktualizacji, druga Zaplanowany dzień instalacji i trzeci Zaplanowany czas instalacji(opcjonalny Brak automatycznego restartu z zalogowanymi użytkownikami). Teraz te cztery nowe parametry muszą zmienić wartość.

Dla parametru AUOptions

  • 2 - Otrzymuj powiadomienia przed zainstalowaniem i pobraniem jakichkolwiek aktualizacji.
  • 3 - Automatycznie otrzymuj aktualizacje i powiadomienia o ich przygotowaniu do instalacji.
  • 4 — Automatycznie otrzymuj i instaluj aktualizacje zgodnie z określonym harmonogramem.
  • 5 — Zezwól administratorom lokalnym na wybór trybu aktualizacji i powiadomień.

Dla parametru NoAutoUpdate

  • 0 - Włączone instalacja automatyczna aktualizacje, które zostaną pobrane i zainstalowane w zależności od ustawień dokonanych w parametrze AUOptions.
  • 1 - Automatyczna instalacja aktualizacji jest wyłączona.

Dla parametru ScheduledInstallDay

  • 0 - aktualizacje będą instalowane codziennie z wartością 4 dla parametru AUOptions.
  • 1 - aktualizacje będą instalowane w każdy poniedziałek z wartością 4 dla parametru AUOptions.
  • 2 - aktualizacje będą instalowane w każdy wtorek z wartością 4 dla parametru AUOptions.
  • 3 - aktualizacje będą instalowane w każdą środę z wartością 4 dla parametru AUOptions.
  • 4 - aktualizacje będą instalowane w każdy czwartek z wartością 4 dla parametru AUOptions.
  • 5 - aktualizacje będą instalowane w każdy piątek z wartością 4 dla parametru AUOptions.
  • 6 - aktualizacje będą instalowane w każdą sobotę z wartością 4 dla parametru AUOptions.
  • 7 - aktualizacje będą instalowane w każdą niedzielę z wartością 4 dla parametru AUOptions.

Dla parametru ScheduledInstallTime

Od 0 do 23 aktualizacje będą instalowane o tylu godzinach, w zależności od ustaw parametr i o wartości 4 dla AUOptions.

Dla parametru NoAutoRebootWithLoggedOnUsers

  • 0 - Po zakończeniu instalacji aktualizacji komputer automatycznie uruchomi się ponownie, pracuje z wartością 4 dla parametru AUOptions.
  • 1 - Po zakończeniu instalacji aktualizacji komputer nie uruchomi się automatycznie, działa z wartością 4 dla parametru AUOptions.

· Bez komentarza

Aktualizowanie ustawień zasad grupy Microsoft Windows Zasady grupy na komputerze lokalnym nie są trudne do wykonania za pomocą narzędzia takiego jak Gpupdate, ale aktualizacja tych zasad na komputery zdalne w domenie nie można tego zrobić za pomocą konsoli Microsoft Management Console (MMC) ani żadnego aktualnie dostępnego produktu firmy Microsoft. W tym artykule przeprowadzę Cię przez różne sztuczki, skrypty i bezpłatne narzędzia, które pozwalają aktualizować ustawienia zasad grupy na zdalnych komputerach w domenie.

Wstęp

Większość administratorów zdaje sobie sprawę z problemu stosowania zasad grupy do komputerów zdalnych. Po skonfigurowaniu niektórych ważnych zasad, czasami chcielibyśmy, aby ta zasada grupy GP pojawiała się natychmiast na komputerach klienckich. Problem jednak w tym, że domyślnie tzw. przetwarzanie w tle następuje tylko w przedziale od 90 do 120 minut (losowo) – jeśli chcemy przyspieszyć proces aktualizacji, to tutaj jesteśmy sami. Oczywiście istnieje powód, dla którego zasady po prostu nie są aktualizowane co pięć minut, a nawet w czasie rzeczywistym. Obciążenie kontrolerów domeny i sieci w większości środowisk będzie zbyt duże, aby je obsłużyć. Ale jeśli zajdzie taka potrzeba szybka aplikacja bardzo ważne ustawienie bezpieczeństwa dla duża liczba klientów, dobrze byłoby przygotować się na taką sytuację.

To, czego naprawdę potrzebujemy, to umożliwienie administratorowi aktualizacji polityk na komputerach Komputer1, Komputer2 i/lub Komputer3 - jak również polityk dla użytkowników A, B i C ze scentralizowanego punktu - stacji roboczej administratora, jeśli administrator uzna to za konieczne. ... Spójrz na rysunek 1.

Rysunek 1: Scenariusz

Mamy świetne narzędzie o nazwie Gpupdate, które jest wbudowane w Microsoft Windows XP i nowsze systemy operacyjne – a także mamy narzędzie o nazwie Secedit do system operacyjny Windows 2000 - ale niestety polecenie Gpresult dla narzędzi Gpupdate i Secedit może być przetwarzane tylko na komputerach lokalnych. Oczywiście mamy wstępnie skonfigurowany system instalacyjny, taki jak serwer zarządzania Systemy Microsoft Systems Management Server (SMS), możemy użyć tego systemu do przesyłania małych skryptów, które uruchomią wymagane polecenie dla grupy użytkowników lub komputerów.

Jeśli twoja sieć nie ma takiego systemu, powinieneś spróbować bardziej kreatywnych podejść. alternatywą jest przejście do wszystkich potrzebnych komputerów za pomocą narzędzia takiego jak Pomoc zdalna lub wysłanie wszystkich użytkowników e-mail z prośbą o uruchomienie polecenia Gpupdate... Więc szukaj bardziej kreatywnych podejść.

Problemy

Zanim zagłębię się w szczegóły, chcę wspomnieć częste problemy z którymi spotykają się ludzie, próbując skorzystać z metod wymienionych w tym artykule.

Problemy z zaporą:

Podobnie jak w przypadku innych połączeń inicjowanych w sieci, pakiety, które próbują zaktualizować ustawienia zasad na komputerach zdalnych, nie będą mogły przejść przez lokalną zaporę na komputerach zdalnych (np. zapora wbudowana w system operacyjny Windows, począwszy od usługi Windows XP Pakiet 2 lub nowszy), jeśli zapora nie jest skonfigurowana do zezwalania na taki ruch przychodzący (z wybranej podsieci, adresu IP itp.). Wbudowana zapora w systemie Windows musi być skonfigurowana tak, aby zezwalać na ruch przychodzący, który generujemy przy użyciu obiektu zasad grupy, więc jak na ironię, ta zasada jest jedyną, której nie możemy używać w przypadku komputerów zdalnych z włączoną zaporą.

Ustawienia zasad, które należy ustawić dla wszystkich metod wymienionych w tym artykule, są następujące:

Ustawienia komputera | Szablony administracyjne | Sieć | Połączenia sieciowe | Zapora systemu Windows | Profil domeny | „Zapora systemu Windows: Zezwól na wyjątek administracji zdalnej”.

Inne urządzenia, które działają jako zapory między komputer centralny a komputery zdalne również muszą respektować powyższe ustawienia (patrz Test pomocy, dla wspomnianej polityki w GPEDIT.MSC).

Prawa administratora:

Użytkownik inicjujący proces na zdalnym komputerze musi mieć na nim uprawnienia administratora lokalnego - w Inaczej, rzeczy nie będą działać zgodnie z oczekiwaniami.

Gdy już się tym wszystkim zajmiesz, przyjrzyjmy się samym metodom.

Skrypty

Skrypty są bezpłatne i szeroko rozpowszechnione wśród specjalistów od oprogramowania. technologia informacyjna w Internecie jest naprawdę „Open Source”. Firma Microsoft udostępniła nam kilka wbudowanych funkcji rozszerzających możliwości systemu operacyjnego i środowiska — w tym artykule pokażemy, jak wykorzystać te możliwości do zdalnej aktualizacji zasad GP.

Gpupdate i secedit

Musimy najpierw wspomnieć o narzędziach Gpupdate i Secedit, bez tych narzędzi żadne z poniższych nie byłoby możliwe. Wszystkie wymienione tutaj skrypty i narzędzia zakładają, że jedno z tych narzędzi jest zainstalowane na zdalny klient, w zależności od wersji systemu operacyjnego. Jak wspomniano powyżej, narzędzie Secedit jest częścią sali operacyjnej Systemy Windows 2000, a narzędzie Gpupdate zostało zaczerpnięte z systemu operacyjnego Windows XP i nowszego, jest nawet obecne w systemie operacyjnym Longhorn, tak jak jest teraz. W kolejnych skryptach skupię się na Gpupdate - możemy sprawdzić wersję systemu operacyjnego przed uruchomieniem Gpupdate lub Secedit, ale to sprawdzenie można dodać później bez większych trudności.

Plik Gpupdate.exe domyślnie znajduje się w folderze „% windir% \ system32”, więc nie musimy znać bezwzględnej ścieżki do jego lokalizacji na zdalnym komputerze. Narzędzie można wywołać za pomocą zestawu różnych kluczy:

Składnia: Gpupdate

W naszych zrób to sam skryptach dla aplikacji HTML (HTA) i Zarządzanie Windows Instrumentacje (WMI) skupimy się na uruchamianiu Gpupdate bez kluczy - albo z "/ Taget: Komputer" (aby zaktualizować polityki specyficzne dla komputera) lub "/ Cel: Użytkownik” (aby zaktualizować polityki specyficzne dla użytkownika). Inne opcje można włączyć przy odrobinie pracy - ale czy naprawdę potrzebujemy „/ Wyloguj” lub „/ Rozruch”? Oznacza to, że użytkownicy mogą się wylogować w razie potrzeby (ustawienie oprogramowanie, zmiana folderów itp.) lub możesz nawet wymagać ponownego uruchomienia komputera, gdy użytkownik pracuje. Czy naprawdę tego potrzebujemy? Zresztą do tego celu możemy również wykorzystać narzędzie typu Shutdown.exe - więc moja opinia nie będzie zbyt popularna.

PsExec

Pierwsza metoda, o której chcę opowiedzieć, jest bardzo łatwa w użyciu i wymaga niewielkich lub żadnych umiejętności programowania. Po co wymyślać coś, co już zostało wymyślone, prawda? Narzędzie o nazwie PsExec zostało opracowane przez Marka Russinovicha, były właściciel Sysinternals, która została przejęta przez Microsoft w lipcu 2006. Wersja 1.73 jest już dostępna i można ją pobrać z witryny Microsoft Technet.

PsExec jest świetny, jeśli chodzi o zdalne wykonanie, głównie dlatego, że nie wymaga instalowania agentów na zdalnym komputerze. Musisz tylko podać nazwę komputera i polecenie, które chcesz uruchomić, wraz z przełącznikami w wierszu poleceń - i to wszystko!

Mała sztuczka polega na umieszczeniu pliku PsExec.exe w katalogu „% windir%”, ponieważ w tym przypadku nie musimy podawać pełnej ścieżki do tego pliku podczas uruchamiania go z wiersza poleceń.

Aby zaktualizować zasady grupy na zdalnym komputerze, wystarczy ustawić „Nazwa komputera” (nazwa komputera) w następującym poleceniu: „PsExec \\ Nazwa komputera Gpupdate”. Użytkownik pracujący na zdalnym komputerze nawet nie będzie wiedział, co się stało, ale w tle polecenie Gpupdate zaktualizuje zasady dla użytkownika i komputera oraz zastosuje utracone ustawienia. Możesz pomyśleć, że polecenie PsExec należy uruchomić z przełącznikiem „-i”, aby zaktualizować dla zdalni użytkownicy konkretne zasady dla użytkowników, ale testy pokazują, że nie jest to konieczne.

Skrypt poleceń FLEX

Czyli powyższa metoda pozwala na aktualizację polityk dla jednego użytkownika lub komputera, ale co z aktualizacją całej jednostki organizacyjnej (jednostki organizacyjnej lub OU) dzięki dzielenie się PsExec i Gpupdate? W tym celu stworzyłem skrypt demonstracyjny, aby pokazać niektóre z możliwości, jakie możemy wykorzystać poprzez skryptowanie. Skrypt nazywa się FLEX COMMAND i można go pobrać stąd. Możesz łatwo otworzyć plik z rozszerzeniem HTA za pomocą Edytor tekstu wpisz Notatnik i zobacz kod, bez ukrytej magii.

Po uruchomieniu FLEX COMMAND łączy się z domeną AD Active Directory komputera, na którym działa. Dlatego musi być wykonany na komputerze, który jest członkiem domeny, w przeciwnym razie jednostka organizacyjna nie zostanie znaleziona.

Wybierz jednostkę organizacyjną, narzędzie powinno być przetwarzane na maszynach, które są „żywe” (odpowiadają na żądania WMI). Ostatnią rzeczą do zrobienia jest wstawienie wiersz poleceń który chcemy uruchomić na komputerze lokalnym, dla każdego obiektu znajdującego się w wybranej jednostce organizacyjnej OU. Wiersz tekstu „(C)” należy pozostawić bez zmian. zostanie zastąpiona nazwą komputera, gdy skrypt będzie uruchomiony.

Rysunek 2: FLEX COMMAND w akcji

Załóżmy, że jednostka organizacyjna o nazwie „Moje komputery” zawiera tylko 3 komputery: Komputer1, Komputer2 i Komputer3. Polecenie, które wpisaliśmy „psexec \\ (C) gpupdate”, tłumaczy się na 3 następujące polecenia: „psexec \\ computer1 gpupdate”, „psexec \\ computer2 gpupdate”, „psexec \\ computer3 gpupdate” – wszystkie polecenia będą wykonywane sekwencyjnie (jeśli komputery są „żywe”) i usunięte zasady zostanie zaktualizowany.

Narzędzie można zmodyfikować tak, aby lista komputerów pochodziła z pliku (txt, csv, xls itp.), bazy danych, specjalnej grupy zabezpieczeń w AD, przy użyciu ręcznego wyboru z listy. Sposób działania skryptu również można zmienić, jest to po prostu skrypt demonstracyjny, którego głównym celem jest pokazanie możliwości, jakie posiadamy.

Skrypt jest rozpowszechniany bezpłatnie i możesz go testować, używać i modyfikować według własnego uznania - szczegóły.

Instrumentacja zarządzania Windows (WMI)

Ok, narzędzie PsExec jest naprawdę świetne, ale czy są jakieś metody ręczne dzięki któremu mogę lepiej dostosować rozwiązanie do mojego środowiska? Tak, w rzeczywistości jest! WMI jest bardzo wydajny i łatwy w użyciu po kilku godzinach nauki. Jeśli posiadasz WMI i zgadzasz się z uprawnieniami zapory sieciowej i uprawnieniami administratora, możesz zrobić prawie wszystko w Środowisko Windowsśrodowisko — nawet zdalne wyłączanie komputera, ponowne uruchamianie i wykonywanie zdalnych poleceń.

Stworzyłem kolejny skrypt do celów demonstracyjnych o nazwie OU GPUPDATE. Ten skrypt HTA wykorzystuje kilka różnych technik — w rzeczywistości jest to niewielka modyfikacja skryptu FLEX COMMAND. Najpierw analizuje strukturę jednostki organizacyjnej w AD (górna lista rozwijana), daje użytkownikom możliwość wybrania komputerów z jednostki organizacyjnej, uruchomienia Gpupdate z / Target: User lub / Target: Computer lub w ogóle bez parametrów. Domyślnie będzie to dotyczyć tylko aktywnych komputerów (które odpowiadają na żądania WMI).

Rysunek 3: Wybierz, co ma zostać zaktualizowane — Ustawienia użytkownika, Ustawienia komputera lub oba te elementy

Ten skrypt jest darmowy i możesz go tutaj testować, używać i modyfikować według własnego uznania.

Zdalne skrypty

Oprócz WMI mamy możliwość korzystania z konwencjonalnego zdalnego skryptowania (VBScript). Można to włączyć, ustawiając tylko jedną wartość w części HKLM rejestru komputera, a silnik skryptowy musi obsługiwać zdalne skrypty i od tego momentu wszystko inne staje się dość oczywiste. Procedura polega na skopiowaniu pliku skryptu na zdalny komputer (ten skrypt musi używać Gpupdate), a następnie wysłaniu polecenia VBScript, które uruchamia skrypt zdalnie.

RGPREFRESH

RGPREFRESH to narzędzie opracowane przez Daren Mar-El. Jego narzędzie korzysta z WMI i uruchamia Secedit lub Gpupdate w zależności od systemu operacyjnego na zdalnym komputerze, z kluczami wybranymi przez użytkownika. Te klucze zapewniają takie same możliwości, jak podczas lokalnego korzystania z tego narzędzia.

To narzędzie przetwarza jedną maszynę na raz, ale wraz z narzędziem o nazwie FLEX COMMAND (jako powłoką), to narzędzie może być używane dla całej jednostki organizacyjnej za pomocą zaledwie kilku kliknięć ... Zarówno RGPREFRESH, jak i PsExec mogą być również używane z DSQUERY , FOR i inne narzędzia wiersza poleceń na więcej niż jednym komputerze naraz.

Rysunek 4: Parametry dla RGPREFRESH

To narzędzie można pobrać bezpłatnie z tej strony.

Specops Gpupdate

Special Operations Software, Specops, międzynarodowa firma programistyczna, oferuje produkty do zarządzania Active Directory oparte na technologii polityki grupowej. Firma wydała własne rozwiązanie do zdalnej aktualizacji zasad, a najlepsze jest to, że jest całkowicie bezpłatne. Aktualna wersja Specops Gpupdate to 1.0.2.13 (2006-10-25), a samo narzędzie można pobrać stąd. To narzędzie ma nie tylko funkcjonalność, którą opracowaliśmy we wspomnianych powyżej scenariuszach, ale także dodaje kilka możliwości kontroli. Rzućmy okiem na to wspaniałe narzędzie ...

Instalowanie Specops Gpupdate

Instalacja aplikacji MSI jest bardzo prosta - wystarczy tylko użytkownik i komputery MMC Użytkownicy i komputery Active Directory (ADUC) oraz Microsoft. NET Framework wersja 2.0.

Rysunek 5: Proces instalacji jest tak prosty jak instalacja Pakiety MSI(kliknij na następny, następny, następny)

Po zainstalowaniu pliku MSI w interfejs graficzny nic nie zmienia GUI i tylko za pomocą „Dodaj/Usuń programy” możesz dowiedzieć się, że Specops jest zainstalowany na naszym komputerze. Dlatego musimy spełnić dodatkowa praca za magiczną przemianę...

Rozszerzenie dla użytkowników i komputerów Active Directory

Po zainstalowaniu Specops Gpupdate w AD Forest, musisz uruchomić specjalne polecenie

„% CommonProgramFiles% \ Specopssoft \ Specops ADUC Extension \ SpecopsAducMenuExtensionInstaller.exe” / add

To nie jest aktualizacja schematu, chociaż aby uruchomić to polecenie, musisz mieć uprawnienia administratora korporacyjnego. To polecenie jest całkowicie odwracalne, po prostu uruchom je ponownie za pomocą przełącznika „/ usuń”. Wszystko, co robi, to rejestrowanie tak zwanych „Specyfikatorów wyświetlania”, aby poprawić widok za pomocą ADUC.

Następnie kliknij prawym przyciskiem myszy obiekt jednostki organizacyjnej lub komputera, a zobaczysz cztery nowe polecenia: Gpupdate, Restart, Shut down i Start. Możliwe jest wybranie wielu komputerów i jednostek organizacyjnych poprzez przytrzymanie klawisza i naciśnięcie prawy przycisk najedź myszą na wymagane obiekty.

Rysunek 6: Rozszerzona konsola ADUC MMC

Jeśli tak jak ja masz pytanie, czy zmiany można zastosować również do kontrolerów domeny innych niż DC, to odpowiedź brzmi: tak! Później Instalacje Windows Server 2003 Admin Pack Service Pack 1 Pakiet narzędzi administracyjnych włączony Klient Windows XP Professional, .NET Framework 2.0 i Specops Gpupdate, konsola zarządzania wygląda tak samo jak na DC i ma te same możliwości.

Opcje Gpupdate

Pierwszy parametr, który mamy, pozwala nam na zdalne uruchomienie polecenia Gpupdate na wybranych komputerach. Po wybraniu Gpupdate musimy potwierdzić wybór, jak pokazano na rysunku 7, i zaznaczyć opcję use force, jeśli chcemy użyć ustawienia wzmocnienia.

Rysunek 7

Po kliknięciu przycisku OK pojawi się dynamiczny wykres, patrz Rysunek 8, a także raport o postępie aktualizacji.

Cyfra 8

Opcje ponownego uruchomienia i wyłączenia

Kolejne dwa parametry, „Uruchom ponownie” i „Zamknij”, są bardzo ważne do kontrolowania, więc potrzebujemy ich bezpośrednio w ADUC. Możemy uruchomić polecenie restartu lub zamknięcia, a także ustawić przedział czasu w sekundach, który jest podawany użytkownikowi na zamknięcie wszystkiego. uruchomione aplikacje... Napisanie skryptu, który robi to samo, nie jest zbyt trudne przy użyciu WMI lub polecenia Shutdown.exe z odpowiednimi kluczami, ale dzięki Specops Gpupdate otrzymujemy tę funkcjonalność całkowicie za darmo, bez czasu i wysiłku.

Rysunek 9: Okno dialogowe komunikatu ponownego uruchomienia

Parametr startowy Ostatni z czterech parametrów nosi nazwę „Start” i jest w rzeczywistości funkcją Wake on LAN lub WOL wbudowaną w ADUC. Po wybraniu i potwierdzeniu tego parametru, patrz Rysunek 10, tak zwane pakiety Magic będą wysyłane na adresy MAC komputery klienckie i rozpocznie się pobieranie. Aby WOL działał, musi być obsługiwana odpowiednia funkcjonalność BIOS komputerów... Specops Gpupdate współdziała z serwerami Microsoft DHCP w korporacji, aby znaleźć informacje niezbędne do rozpoczęcia tego procesu, dzięki czemu możliwe jest wybudzanie klientów DHCP i tylko w sieci z zainstalowane serwery Microsoft DHCP.

Rysunek 10: Potwierdź uruchomienie zdalnego WOL

Swoją drogą można też używać skryptów dla WOL, przykłady takiego kodu wykraczają poza zakres tego artykułu.

Wniosek

Przyjrzeliśmy się kilku sposobom zastosowania zasad grupy do komputerów zdalnych. Wybór najlepszej dla Ciebie metody zależy od Twojego środowiska. Osobiście uwielbiam pisać skrypty, ale po co ciężko pracować nad tym, co stworzyli już inni? Na to pytanie mam dwie odpowiedzi. Po pierwsze, pisząc takie skrypty, uczymy się, a po drugie - na specjalnych warunkach lub na zamówienie. Skrypty poprawiają nasze umiejętności jako specjalistów od technologii informatycznych, a także pozwalają nam dostosowywać nieszablonowe rozwiązania, aby lepiej odpowiadały konkretnym warunkom.

Specops rozwinął się bardzo dobrze darmowe narzędzie, który wykonuje podstawową funkcję aktualizacji zasad na klientach sieciowych. Polecam spróbować!

Źródło www.windowsecurity.com

Podobał Ci się artykuł? Podziel się z przyjaciółmi!
Świergot
wydruk
czy było to pomocne?
tak
Nie
Dziekuję za odpowiedź!
Coś poszło nie tak i Twój głos nie został policzony.
Dziękuję Ci. Twoja wiadomość została wysłana
Znalazłeś błąd w tekście?
Zaznacz to, kliknij Ctrl + Enter i wszystko naprawimy!
Powiązane wskazówki
Pierwsze kroki w optymalizacji pod kątem wyszukiwarek Simple Machines Forum: usuń prawa autorskie i linki zewnętrzne
Pierwsze kroki w optymalizacji pod kątem wyszukiwarek Simple Machines Forum: usuń prawa autorskie i linki zewnętrzne
Automatyczne wykrywanie silnika forum
Automatyczne wykrywanie silnika forum
Automatyczne wykrywanie silnika forum Indeks php, którego dotyczy problem, obsługiwany przez smf
Automatyczne wykrywanie silnika forum Indeks php, którego dotyczy problem, obsługiwany przez smf
Automatyczne wykrywanie silnika forum
Automatyczne wykrywanie silnika forum
Jak chronić forum Simple Machines (SMF) przed spamem?
Jak chronić forum Simple Machines (SMF) przed spamem?
Sami zbieramy najlepsze bazy danych
Sami zbieramy najlepsze bazy danych