Sažetak: Microsoftov skripter, Ed Wilson pokazuje kako prisiliti ažuriranje pravila grupe pomoću PowerShell-a.
Ažuriranje pravila grupe u domeni
Ponekad promijenim grupna pravila na mreži i moram primijeniti promjene na sva računala. A ponekad moram ažurirati pravila lokalne grupe na svom računalu.
Za ažuriranje postavki pravila grupe koristim uslužni program GPUupdate. Ima neke parametre. Prema zadanim postavkama, uslužni program ažurira pravila računala i korisnika. Ali to se može kontrolirati pomoću parametra /cilj. Na primjer, ako trebam ažurirati samo računalnu politiku, navest ću /target:računalo. Za ažuriranje samo korisničke politike − /target:korisnik.
PS C:\> gpupdate /target:računalo
Ažuriranje pravila…
Zadano GPUupdate primjenjuje se samo ažurirane postavke Pravila grupe. Za primjenu svih postavki upotrijebite parametar /sila. Sljedeća naredba ažurira sve postavke pravila grupe (bez obzira jesu li promijenjene ili ne) za računalo i korisnika.
PS C:\> gpupdate /force
Ažuriranje pravila…
Ažuriranje računalnih pravila uspješno je dovršeno.
Ažuriranje korisničkih pravila uspješno je dovršeno.
Prvo dobivamo popis računala u domeni
Prvo što trebam učiniti je dobiti popis svih računala u domeni. Za ovo koristim cmdlet Get-ADComputer uključeni u modul Aktivni direktorij.
Napomena: Modul Active Directory uključen je u RSAT.
Pohranjujem dobivene računalne objekte u varijablu $cn.
$cn = Get-ADComputer -filt *
Drugo, stvaramo sesije na daljinu
Sljedeće što trebam učiniti je stvoriti udaljene sesije sa svim računalima. Da bih to učinio, moram dati vjerodajnice za povezivanje s računalima, kao i stvoriti same sesije pomoću cmdleta Nova PSSesija.
Za početak ću upotrijebiti cmdlet Get-Credentials i pohraniti objekt koji je vratio u varijablu $cred.
$cred = Get-Credential iammred\administrator
$session = New-PSSession -cn $cn.name -cred $cred
Morate zapamtiti da u domeni mogu postojati računala koja su isključena, pa se prilikom izvođenja naredbe mogu vratiti pogreške. Međutim, unatoč greškama, Windows PowerShell stvara sesije s radnim računalima.
Prisutnost velikog broja pogrešaka može izazvati zabrinutost. Budući da su objekti sesije pohranjeni u varijabli $sessions, mogu lako provjeriti jesu li stvoreni.
Sada pokrenimo naredbu na svim udaljenim strojevima
Za pokretanje naredbe GPUupdate na svim udaljenim strojevima koristim cmdlet Invoke-Command. Koristi sesije koje smo spremili u varijablu $sessions. Pseudonim za cmdlet Invoke-Command – icm.
icm -Sesija $session -ScriptBlock (gpupdate /force)
Nakon pokretanja naredbe, rezultati se prikazuju u Windows konzola PowerShell.
Provjera ažuriranja pravila grupe
Kada je uključen radna stanica Postavke pravila grupe uspješno su ažurirane i događaj s kodom 1502 zabilježen je u zapisniku sustava. Mogu koristiti cmdlet Invoke-Command kako bi dobili ove podatke.
icm -Sesija $session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Newest 1)
Naredba i njeni rezultati prikazani su na slici ispod.
Još jedna zanimljivost o pravilima grupe
Ponekad moram nazvati tehničku podršku i oni me zamole da ažuriram pravila grupe na svom lokalnom računalu. To nije problem jer mogu trčati GPUupdate izravno iz PowerShell-a. Poteškoća nastaje kada me zatraže da ažuriram pravila grupe 5 puta u intervalima od 5 minuta. Ali i to se može riješiti jednim retkom koda.
1..5 | %("osvježavanje GP $(Get-Date)"; gpupdate /force; spavanje 300)
Ed Wilson, Microsoftov skripter
Izvornik:
Za ažuriranje se koristi naredba GPUPDATE grupne politike za korisnika i/ili računalo.
Format naredbeni redak:
GPUupdate
Opcije naredbenog retka:
/Cilj:(Računalo | Korisnik)- Ažurirajte postavke politike samo za korisnika (User) ili samo za računalo (Computer). Ako nije navedeno, ažuriraju se postavke za oba pravila.
/Sila- Primjena svih postavki pravila. Ako nije navedeno, primjenjuju se samo promijenjene postavke pravila.
/Čekaj: vrijednost- Istek vremena (u sekundama) za dovršetak obrade pravila. Zadano je čekati 600 sekundi. Vrijednost "0" - nema čekanja. Vrijednost "-1" - čekanje je neograničeno. Ako istekne vrijeme, prozor naredbenog retka ponovno se aktivira, ali se obrada pravila nastavlja.
/Odjaviti se- Odjavite se nakon ažuriranja postavki pravila grupe. Potrebno za ona klijentska proširenja pravila grupe koja ne obrađuju pravila pozadina, ali ga obrađuju samo kada se korisnik prijavi, kao što je instaliranje programa za korisnika ili preusmjeravanje mapa. Ova postavka nema učinka osim ako se ne pozivaju proširenja koja zahtijevaju da se korisnik odjavi.
/Čizma- Izvršite ponovno pokretanje nakon primjene postavki pravila grupe. Potrebno za proširenja klijenta pravila grupe koja ne obrađuju pravila u pozadini, već ih obrađuju samo kada se pokrenu, kao što je instaliranje računalnih programa. Ova postavka nema učinka osim ako se ne pozivaju proširenja koja zahtijevaju ponovno pokretanje sustava.
/Sinkronizacija- Sljedeća primjena aktivne politike mora se dogoditi sinkrono. Aktivna provedba pravila događa se kada se računalo ponovno pokrene ili kada se korisnik prijavi. Ovaj parametar možete koristiti za korisnika, računalo ili oboje navođenjem parametra /Target. U ovom slučaju, parametri /Force i /Wait, ako su navedeni, preskaču se.
Primjeri korištenja:
gpupdate/?- prikazati savjet o tome kako koristiti naredbu.
gpupdate- ažuriraju se računalna pravila i korisnička pravila. Primjenjuju se samo promijenjena pravila.
gpupdate /Cilj: računalo- pravila se ažuriraju samo za računalo.
gpupdate /Force- sva pravila su ažurirana.
gpupdate /pokretanje- ažuriranje pravila grupe s ponovnim pokretanjem računala.
Postavljanje pravila ažuriranja sustava Windows 10 je postavljanje načina na koji Windows 10 prima ažuriranja. U sustavu Windows 10 postavke ažuriranja premještene su s upravljačke ploče u postavke sustava. U sustavu Windows 10 nema takvih postavki kao što su bile na upravljačkoj ploči i stoga više nije moguće onemogućiti ažuriranja ili odabrati kako ih primati. Međutim, možete koristiti uređivač registra i uređivač pravila lokalne grupe da biste onemogućili ažuriranja i odredili kako ćete ih primati.
Konfiguriranje ažuriranja pomoću uređivača lokalnih pravila grupe
Pokrenite uređivač pravila lokalne grupe pritiskom na dvije tipke na tipkovnici odjednom WIN+R gpedit.msc i kliknite OK.
Pravila grupe za ažuriranje sustava Windows 10
Računalna konfiguracija - Administrativni predlošci - Windows komponente - Windows Update. Kliknite na posljednju stavku Windows Update i zatim na desnoj strani pronađite stavku postavke automatsko ažuriranje i promijeniti njegove postavke.
Postavljanje Windows 10 ažurira pravila grupe Da biste to učinili, u prozoru koji se otvori morate staviti točku na vrhu pored stavke Omogućeno, a zatim postaviti postavke ažuriranja ispod. Pritisnite OK. Zatim otvorite kako bi postavke koje ste napravili radile Postavke sustava - Ažuriranje i sigurnost - Windows Ažuriranje i pritisnite tipku Provjera ažuriranja.
Nakon što završite s postavljanjem pravila sustava Windows 10, pokrenite ažuriranje Nakon toga će postavke koje ste napravili u uređivaču pravila lokalne grupe stupiti na snagu.
Postavljanje ažuriranja pomoću uređivača registra
Pokrenite uređivač registra pritiskom na dvije tipke na tipkovnici odjednom WIN+R. Otvara se prozor Pokreni u koji upisujete naredbu regedit i kliknite OK.
Otvorite uređivač registra i stvorite četiri postavke za kontrolu Windows ažuriranja 10
U lijevom dijelu prozora uređivača koji se otvori proširite HKEY_LOCAL_MACHINE - SOFTVER - Pravila - Microsoft - Windows. Zadržite pokazivač iznad posljednje Windows stavke i kliknite desnom tipkom miša. U otvorenom kontekstni izbornik izabrati Stvori - odjeljak. Imenujte novi odjeljak Windows Update.
Zatim zadržite pokazivač iznad novostvorenog odjeljka WindowsUpdate i ponovno stvorite odjeljak kojemu date naziv AU.
Zatim pomaknite kursor preko novostvorene AU particije i desnom tipkom miša kliknite i odaberite iz izbornika koji se otvori Novo - DWORD vrijednost (32-bitna). Novoizrađeni parametar pojavit će se na desnoj strani prozora, dajte mu naziv AUOpcije. Na isti način, lebdeći kursorom iznad odjeljka AU, kreirajte još tri parametra i imenujte prvi Nema automatskog ažuriranja, drugo ScheduledInstallDay, i treći ScheduledInstallTime(neobavezno Nema automatskog ponovnog pokretanja s prijavljenim korisnicima). Sada trebate promijeniti vrijednost u ova četiri nova parametra.
Za parametar AUOptions
- 2 - Primite obavijest prije instaliranja i preuzimanja ažuriranja.
- 3 - Automatski primajte ažuriranja i obavijesti kada su spremni za instalaciju.
- 4 - Automatski primajte i instalirajte ažuriranja prema određenom rasporedu.
- 5 - Dopustite lokalnim administratorima da sami odaberu način ažuriranja i obavijesti.
Za parametar NoAutoUpdate
- 0 — Omogućeno automatska instalacija ažuriranja koja će se preuzimati i instalirati ovisno o postavkama napravljenim u parametru AUOptions.
- 1 — Automatska instalacija ažuriranja je onemogućena.
Za parametar ScheduledInstallDay
- 0—ažuriranja će se svakodnevno instalirati ako je parametar AUOptions postavljen na 4.
- 1—ažuriranja će se instalirati svakog ponedjeljka ako je parametar AUOptions postavljen na 4.
- 2 — ažuriranja će se instalirati svakog utorka s parametrom AUOptions postavljenim na 4.
- 3 — ažuriranja će se instalirati svake srijede s parametrom AUOptions postavljenim na 4.
- 4—ažuriranja će se instalirati svakog četvrtka ako je parametar AUOptions postavljen na 4.
- 5 — ažuriranja će se instalirati svakog petka ako je parametar AUOptions postavljen na 4.
- 6 — ažuriranja će se instalirati svake subote ako je parametar AUOptions postavljen na 4.
- 7 — ažuriranja će se instalirati svake nedjelje ako je parametar AUOptions postavljen na 4.
Za parametar ScheduledInstallTime
Od 0 do 23, ažuriranja će se instalirati za toliko sati, ovisno o postavljenom parametru i ako je parametar AUOptions postavljen na 4.
Za parametar NoAutoRebootWithLoggedOnUsers
- 0 — Kada instalacija ažuriranja završi, računalo će se automatski ponovno pokrenuti; radi s parametrom AUOptions postavljenim na 4.
- 1 - Kada instalacija ažuriranja završi, računalo se neće automatski ponovno pokrenuti; radi s parametrom AUOptions postavljenim na 4.
U ovom ćemo članku pokazati jednostavan način za daljinsko ažuriranje pravila grupe na klijentima (računalima i poslužiteljima) domena aktivna Direktorij, bez potrebe za pristupom konzoli udaljenog računala i bez upotrebe naredbe gpupdate.
Jedan od najtežih problema u upravljanju pravilima AD grupe je testiranje politika u hodu, bez ponovnog pokretanja računala ili pristupa lokalnom računalu i pokretanja naredbe.
Značajka Remote Group Policy Update pruža mogućnost korištenja jedinstvene GPO upravljačke konzole (GPMC.msc) za stvaranje, uređivanje, primjenu i testiranje grupnih pravila.
Funkcionalnost daljinskog ažuriranja pravila grupe prvi put se pojavila u Microsoftu Windows poslužitelj 2012, sve naredne verzije (Windows Server 2016, Microsoft Windows 10), ova funkcionalnost i njena stabilnost postupno su poboljšane.
Zahtjevi za rad ažuriranja pravila udaljene grupe:
Zahtjevi poslužiteljskog okruženja:
- Windows Server 2012 i noviji
- Ili Windows 10 s instaliranim alatima za upravljanje RSAT-om
Zahtjevi za klijente:
- Windows 7 i noviji
Zahtjevi za mrežnu komunikaciju (firewall) između poslužitelja i klijenata
- TCP port 135 mora biti otvoren
- Omogućeno Windows usluga Instrumentacija upravljanja (usluga upravljanja sustavom Windows)
- Usluga planera zadataka
Ako vaše okruženje ispunjava ove zahtjeve, otvorite konzolu za upravljanje pravilima grupe (GPMC.msc), odaberite OU (spremnik) u kojem se nalaze ciljna računala na koja želite prisilno ažurirati GPO.
Desni klik na pravi spremnik i odaberite Ažuriranje pravila grupe.
U prozoru koji se otvori pojavit će se informacija o broju objekata u ovoj OU na kojima će se ažurirati GPO. Za potvrdu radnje kliknite na gumb "Da".
U prozoru s rezultatima ažuriranja Remote Group Policy vidjet ćete status ažuriranja pravila, kao i status ove operacije (uspjeh/pogreška, šifra pogreške). Naravno, ako je računalo isključeno ili mu je pristup ograničen vatrozidom, pojavit će se odgovarajuća pogreška.
Nakon promjene GPO-a, potrebno je neko vrijeme (90 minuta +/- 30) da se prošire na druge sustave, ali ako ih je potrebno hitno primijeniti, administrator se prijavljuje na udaljeni sustav i pokreće naredbu “ gpupdate" Kod velikog broja osobnih računala proces je potrajao, a sam proces je nezgodan. Sada možete zaboraviti na to. U konzoli za upravljanje pravila grupe(GPMC) pojavila se nova stavka u kontekstnom izborniku domene i odjeljenja “ Ažuriranje pravila grupe” (Group Policy Update) omogućuje ažuriranje pravila sustava počevši od Windows Vista/2008 s dva klika mišem. Nakon aktiviranja zadatka dobiva se popis računala i registriranih korisnika nakon čega se zadatak “ Gpupdate.exe /force" Kako bi se izbjeglo zagušenje mreže, izvršit će se s nasumičnim kašnjenjem u rasponu od 0-10 minuta. Rezultat zadatka prikazuje se u zasebnom prozoru; uspjeh ažuriranja može se utvrditi pomoću rezultirajućeg čarobnjaka za pravila.
Nova funkcija dobila je i vlastiti cmdlet - Invoke-GPUpdate, koji vam omogućuje daljinsko ažuriranje GP-a i pruža još veće mogućnosti od GPMC-a. Usput, sada je 27 cmdleta odgovorno za pravila grupe, tj. još jedan (dobi puni popis možete unijeti " Get-Command -Module GroupPolicy«).
Za trenutno ažuriranje pravila na određenom sustavu, samo pokrenite:
| PS> Invoke- GPUpdate - Computer< имя компьютера> |
PS> Invoke-GPUpdate -Računalo< имя компьютера>
Dodatni ključ – Nasumično kašnjenje u minutama omogućuje postavljanje vremenskog intervala, što je korisno ako će se naredba izvršiti na više sustava.
Ali glavna stvar je da u GPMC konzoli možete odabrati samo odjeljak; tamo nema zasebnog spremnika računala. Ovdje u pomoć dolazi Invoke-GPUpdate, koji vam zajedno s cmdletom Get-ADComputer omogućuje odabir sustava prema bilo kojem kriteriju:
| PS> Get- ADComputer –filter * - Searchbase "cn=računala, dc=primjer,dc=org"| foreach ( Invoke-GPUpdate –computer$_.name –force –-RandomDelayInMinutes 5) |
PS> Get-ADComputer –filter * -Searchbase "cn=računala, dc=example,dc=org" | foreach( Invoke-GPUpdate –računalo $_.name –force –-RandomDelayInMinutes 5)
Još jedna važna točka je da trebate otvoriti nekoliko portova vatrozida na klijentskim sustavima. Kako bi olakšao život administratoru, MS je ponudio 2 nova početna pravila (uz 8 postojećih), omogućujući vam brzo stvaranje i distribuciju potrebne postavke:
— Priključci vatrozida za udaljena ažuriranja pravila grupe;
- Priključci vatrozida za izvješća o pravilima grupe.
Njihova namjena je jasna iz naziva. Zanima nas prvi. Preporučujemo da izradite novi GPO i premjestite ga na vrh, dajući mu viši prioritet od GPO-a zadane domene.
Proces je jednostavan. Odaberite domenu i odaberite "Kreiraj GPO u ovoj domeni" iz izbornika. U prozoru koji se pojavi unesite naziv i odaberite s popisa "Vatrozidni portovi za udaljeno ažuriranje pravila grupe." Alternativno, možete koristiti PowerShell.
