Как да ускорите процеса на актуализиране на груповата политика. GPUPDATE – извършване на актуализации на групови правила за потребителя и компютъра Второ, създаваме отдалечени сесии
След промени в GPO отнема известно време (90 минути +/- 30), за да се разпространят в други системи, но ако трябва да бъдат приложени спешно, администраторът влиза в отдалечената система и изпълнява командата „ gpupdate" При голям брой компютри процесът отне известно време и самият процес е неудобен. Сега можете да забравите за това. В конзолата за управление групова политика(GPMC) се появи нов елемент в контекстното меню на домейна и раздела " Актуализация на груповата политика” (Актуализация на групови правила) ви позволява да актуализирате системните политики, започвайки с Windows Vista/2008 с две кликвания на мишката. След активиране на задачата ще бъде получен списък с компютри и регистрирани потребители, след което задачата “ Gpupdate.exe /force" За да се избегне претоварване на мрежата, то ще се извършва с произволно забавяне в диапазона от 0-10 минути. Резултатът от задачата се показва в отделен прозорец; успехът на актуализацията може да се определи с помощта на получения съветник за политика.
Новата функция получи и собствен cmdlet - Invoke-GPUpdate, което ви позволява дистанционно да актуализирате GP и предоставя още по-големи възможности от GPMC. Между другото, сега 27 cmdlets са отговорни за груповите политики, т.е. още един (можете да получите пълния списък, като въведете „ Get-Command -Module GroupPolicy«).
За да актуализирате незабавно правилата на конкретна система, просто изпълнете:
| PS> Извикване - GPUpdate - Компютър< имя компьютера> |
PS> Invoke-GPUpdate -Компютър< имя компьютера>
Допълнителен ключ – Случайно закъснение в минутиви позволява да зададете интервал на изчакване, което е полезно, ако командата ще бъде изпълнена на множество системи.
Но основното е, че в конзолата на GPMC можете да изберете само разделение, там няма отделен контейнер за компютри. Тук на помощ идва Invoke-GPUpdate, който заедно с cmdlet Get-ADComputer ви позволява да избирате системи по всеки критерий:
| PS> Get- ADComputer –filter * - Searchbase "cn=компютри, dc=пример,dc=org"| foreach ( Invoke-GPUpdate –computer$_.name –force –-RandomDelayInMinutes 5) |
PS> Get-ADComputer –filter * -Searchbase "cn=computers, dc=example,dc=org" | foreach( Invoke-GPUpdate –computer $_.name –force –-RandomDelayInMinutes 5)
Друг важен момент е, че трябва да отворите няколко порта на защитната стена на клиентските системи. За да улесни живота на администратора, MS предложи 2 нови първоначални политики (към 8-те съществуващи), което ви позволява бързо да създавате и разпространявате необходимите настройки:
— Портове на защитната стена за отдалечени актуализации на групови правила;
- Портове на защитната стена за отчети за групови правила.
Целта им е ясна от името. Ние се интересуваме от първото. Препоръчваме ви да създадете нов GPO и да го преместите в горната част, като му дадете по-висок приоритет от GPO на домейна по подразбиране.
Процесът е прост. Изберете домейна и изберете „Създаване на GPO в този домейн“ от менюто. В прозореца, който се показва, въведете името и изберете от списъка „Портове на защитната стена за отдалечено актуализиране на групови правила“. Като алтернатива можете да използвате PowerShell.
Резюме: Microsoft Scripting Guy, Ед Уилсън показва как да принудите актуализация на групови правила с помощта на PowerShell.
Актуализиране на групови правила в домейн
Понякога правя промени в груповите правила в мрежата и трябва да приложа промените към всички компютри. И понякога трябва да актуализирам локалната групова политика на моя компютър.
За да актуализирам настройките на груповата политика, използвам помощната програма GPUupdate. Има някакви параметри. По подразбиране помощната програма актуализира както компютърните, така и потребителските правила. Но това може да се контролира с помощта на параметъра /мишена. Например, ако трябва да актуализирам само политиката на компютъра, ще посоча /target:компютър. За да актуализирате само потребителската политика − /target:потребител.
PS C:\> gpupdate /target:компютър
Правилата се актуализират...
По подразбиране GPUupdateПрилага само актуализирани настройки на груповите правила. За да приложите всички настройки, използвайте параметъра /сила. Следната команда актуализира всички настройки на груповите правила (независимо дали са променени или не) за компютъра и потребителя.
PS C:\> gpupdate /force
Правилата се актуализират...
Актуализацията на компютърната политика завърши успешно.
Актуализацията на потребителските правила завърши успешно.
Първо получаваме списък с компютри в домейна
Първото нещо, което трябва да направя, е да получа списък с всички компютри в домейна. За това използвам cmdlet Get-ADComputer, част от модула на Active Directory.
Забележка: Модулът Active Directory е включен в RSAT.
Съхранявам получените компютърни обекти в променливата $cn.
$cn = Get-ADComputer -filt *
Второ, създаваме отдалечени сесии
Следващото нещо, което трябва да направя, е да създам отдалечени сесии с всички компютри. За да направя това, трябва да предоставя идентификационни данни за свързване с компютри, както и да създам самите сесии с помощта на cmdlet Нова-PSSession.
За да започна, ще използвам cmdlet Get-Credentialsи съхранява върнатия от него обект в променливата $cred.
$cred = Get-Credential iammred\administrator
$session = New-PSSession -cn $cn.name -cred $cred
Трябва да запомните, че може да има компютри в домейна, които са изключени, така че при изпълнение на командата може да се върнат грешки. Въпреки грешките обаче, Windows PowerShell създава сесии с работни компютри.
Наличието на голям брой грешки може да предизвика известно безпокойство. Тъй като обектите на сесията се съхраняват в променливата $sessions, мога лесно да проверя дали са създадени.
Сега нека изпълним командата на всички отдалечени машини
За да изпълните командата GPUupdateна всички отдалечени машини използвам cmdlet Invoke-Command. Той използва сесиите, които сме запазили в променливата $sessions. Псевдоним за cmdlet Invoke-Command – icm.
icm -Сесия $сесия -ScriptBlock (gpupdate /force)
След изпълнение на командата резултатите се показват в Windows конзола PowerShell.
Проверка за актуализация на групови правила
Когато настройките на груповите правила се актуализират успешно на работна станция, в системния регистър се записва идентификатор на събитие 1502. Мога да използвам кратката команда Invoke-Commandза да получите тази информация.
icm -Session $session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Newest 1)
Командата и нейните резултати са показани на фигурата по-долу.
Още нещо интересно за груповата политика
Понякога трябва да се обадя на техническа поддръжка и те ме молят да актуализирам груповите правила на моя локален компютър. Това не е проблем, тъй като мога да бягам GPUupdateнаправо от PowerShell. Трудността идва, когато ме помолят да актуализирам груповата политика 5 пъти на интервали от 5 минути. Но това може да се реши и с един ред код.
1..5 | %("опресняване на GP $(Get-Date)"; gpupdate /force; заспиване 300)
Ед Уилсън, специалист по скриптове на Microsoft
оригинал:
Задаването на правилата за актуализиране на Windows 10 е настройка на начина, по който Windows 10 получава актуализации.В Windows 10 настройките за актуализиране са преместени от контролния панел в системните настройки. В Windows 10 няма такива настройки, както имаше в контролния панел и следователно вече не е възможно да деактивирате актуализациите или да изберете как да ги получавате. Можете обаче да използвате редактора на системния регистър и редактора на локални групови правила, за да деактивирате актуализациите и да зададете как да ги получавате.
Конфигуриране на актуализации с помощта на редактора на локални групови правила
Стартирайте редактора на локални групови правила, като натиснете едновременно два клавиша на клавиатурата WIN+R gpedit.mscи щракнете върху OK.
Групова политика за актуализиране на Windows 10
Компютърна конфигурация - Административни шаблони - Компоненти на Windows - Актуализация на Windows. Щракнете върху последния елемент Windows Update и след това от дясната страна намерете елемента Настройка на автоматични актуализациии променете настройките му.
Настройването на Windows 10 актуализира групови правила За да направите това, в прозореца, който се отваря, трябва да поставите точка в горната част до елемента Enabled и след това да зададете настройките за актуализиране по-долу. Натиснете OK. След това, за да работят настройките, които сте направили, отворете Системни настройки - Актуализация и защита - Windows Updateи натиснете бутона Проверка за актуализации.
След като приключите с настройката на правилата на Windows 10, стартирайте актуализацията След това настройките, които сте направили в редактора на локални групови правила, ще влязат в сила.
Настройване на актуализации с помощта на редактора на системния регистър
Стартирайте редактора на системния регистър, като натиснете едновременно два клавиша на клавиатурата WIN+R. Ще се отвори прозорецът Run, в който въведете командата regeditи щракнете върху OK.
Отворете редактора на системния регистър и създайте там четири настройки за контрол Актуализации на Windows 10
В лявата част на прозореца на редактора, който се отваря, разгънете HKEY_LOCAL_MACHINE - СОФТУЕР - Политики - Microsoft - Windows. Задръжте курсора на мишката върху последния елемент на Windows и щракнете с десния бутон. В контекстното меню, което се отваря, изберете Създаване - Раздел. Дайте име на новия раздел WindowsUpdate.
След това задръжте курсора на мишката върху новосъздадената секция WindowsUpdate и отново създайте секция, която наименувате AU.
След това преместете курсора върху новосъздадения AU дял и щракнете с десния бутон и изберете от менюто, което се отваря Ново - DWORD стойност (32 бита). Новосъздаденият параметър ще се появи от дясната страна на прозореца, наименувайте го AUOptions. По същия начин, задръжте курсора върху секцията AU, създайте още три параметъра и наименувайте първия NoAutoUpdate, второ ScheduledInstallDay, и третото ScheduledInstallTime(по избор NoAutoRebootWithLoggedOnUsers). Сега трябва да промените стойността в тези четири нови параметъра.
За параметъра AUOptions
- 2 - Получаване на известие преди инсталиране и изтегляне на актуализации.
- 3 - Автоматично получаване на актуализации и известия, когато са готови за инсталиране.
- 4 - Автоматично получаване и инсталиране на актуализации според определен график.
- 5 - Позволете на локалните администратори сами да избират режима на актуализиране и известията.
За параметъра NoAutoUpdate
- 0 — Разрешено автоматична инсталацияактуализации, които ще бъдат изтеглени и инсталирани в зависимост от настройките, направени в параметъра AUOptions.
- 1 — Автоматичното инсталиране на актуализации е деактивирано.
За параметъра ScheduledInstallDay
- 0—актуализациите ще се инсталират ежедневно, ако параметърът AUOptions е зададен на 4.
- 1—актуализациите ще се инсталират всеки понеделник, ако параметърът AUOptions е зададен на 4.
- 2 — актуализациите ще се инсталират всеки вторник с параметър AUOptions, зададен на 4.
- 3 — актуализациите ще се инсталират всяка сряда с параметър AUOptions, зададен на 4.
- 4—актуализациите ще се инсталират всеки четвъртък, ако параметърът AUOptions е зададен на 4.
- 5 — актуализациите ще се инсталират всеки петък, ако параметърът AUOptions е зададен на 4.
- 6 — актуализациите ще се инсталират всяка събота, ако параметърът AUOptions е зададен на 4.
- 7 — актуализациите ще се инсталират всяка неделя, ако параметърът AUOptions е зададен на 4.
За параметъра ScheduledInstallTime
От 0 до 23 актуализациите ще бъдат инсталирани за толкова часа в зависимост от зададения параметър и ако параметърът AUOptions е зададен на 4.
За параметъра NoAutoRebootWithLoggedOnUsers
- 0 — Когато инсталацията на актуализацията приключи, компютърът автоматично ще се рестартира; работи с параметър AUOptions, зададен на 4.
- 1 - Когато инсталацията на актуализацията приключи, компютърът няма да се рестартира автоматично; той работи с параметър AUOptions, зададен на 4.
Командата GPUPDATE се използва за актуализиране на групови правила за потребител и/или компютър.
формат командна линия:
GPUupdate
Опции на командния ред:
/Цел:(компютър | потребител)- Актуализирайте настройките на правилата само за потребителя (User) или само за компютъра (Computer). Ако не е указано, настройките и за двете политики се актуализират.
/Сила- Прилагане на всички настройки на правилата. Ако не е указано, се прилагат само променените настройки на правилата.
/Изчакайте: стойност- Време за изчакване (в секунди), за да завърши обработката на политиката. По подразбиране се изчакват 600 секунди. Стойност "0" - без изчакване. Стойност "-1" - чакането е неограничено. Ако времето за изчакване настъпи, прозорецът на командния ред се активира отново, но обработката на правилата продължава.
/Излизане- Излезте след актуализиране на настройките на груповата политика. Изисква се за тези клиентски разширения на групови правила, които не обработват политика във фонов режим, а я обработват само когато потребителят влезе, като например инсталиране на програми за потребителя или пренасочване на папки. Тази настройка няма ефект, освен ако не се извикват разширения, които изискват от потребителя да излезе.
/Зареждане- Извършете рестартиране след прилагане на настройките на груповата политика. Изисква се за клиентски разширения на групови правила, които не обработват политика във фонов режим, а я обработват само при стартиране, като например инсталиране на компютърни програми. Тази настройка няма ефект, освен ако не се извикат разширения, които изискват рестартиране на системата.
/Синхронизиране- Следващото прилагане на активна политика трябва да се случи синхронно. Прилагането на активна политика се осъществява, когато компютърът се рестартира или когато потребителят влезе. Можете да използвате този параметър за потребител, компютър или и двете, като посочите параметъра /Target. В този случай параметрите /Force и /Wait, ако са посочени, се пропускат.
Примери за използване:
gpupdate/?- показва подсказка как да използвате командата.
gpupdate- компютърните политики и потребителските политики се актуализират. Прилагат се само променени политики.
gpupdate /Цел:компютър- политиките се актуализират само за компютъра.
gpupdate /Force- всички политики са актуализирани.
gpupdate /зареждане- актуализиране на групови политики с рестартиране на компютъра.
Реших, че трябва да напиша кратка статия, която може и трябва да бъде цитирана доста често. И темата за тази статия е как да актуализирате груповата политика.
Защо трябва ръчно да актуализирате политика?
Кога това може да е полезно? Почти винаги, когато промените някой параметър в която и да е политика. Не, не мислете, че политиката трябва да се актуализира само ръчно. Всъщност той се актуализира автоматично. Веднъж на час и половина! Представете си, че сте променили някаква политика и изчакайте час и половина, за да проверите дали работи точно както искате. Брад, нали?
Естествено, глупости. Следователно има начин да принудите компютъра да актуализира груповите правила ръчно. И преди това малко теория. Както знаете, политиците се делят на две големи групи:
- компютърни политики
- потребителски политики
Политиките от първата група важат за всички потребители на компютъра, докато политиките от втората група важат само за отделните потребители. Така че, когато компютърът се стартира, груповите политики се зареждат незабавно. Освен това всички политики се четат от нулата, което гарантира, че се прилагат най-новите промени. Но потребителските политики се проверяват и зареждат, когато потребителят влезе в системата.
Като знаете тези факти, ето вашето решение. За да влязат в сила промените в потребителската политика, излезте и влезте отново. Ако трябва да актуализирате правилата на компютъра си, рестартирайте компютъра си. шега.
Команда за актуализиране на местната групова политика
Описаните методи със сигурност ще доведат до желания резултат, но са доста глупави. В крайна сметка има една отлична помощна програма за команден ред, наречена gpupdate.Като цяло, за да актуализирате груповата политика, е достатъчна следната команда:
Gpupdate /force
С това просто действие можете бързо да актуализирате правилата на вашия компютър.
