Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Обновление доменной политики команда

Active Directory: команда GPUPDATE

Команда gpupdate является заменой команды secedit /refreshpolicy, которая использовалась в операционной системе Windows 2000 для ручного запуска процесса обновления объектов групповой политики.

Хотя все политики обновляются автоматически, использование этой команды позволяет выполнить немедленное обновление объекта групповой политики. Часто это оказывается необходимо после внесения изменений в объект групповой политики.

Таким образом, можно убедиться в правильности изменений в объекте групповой политики. В отличие от команды secedit /refreshpolicy команда gpupdate по умолчанию выполняет обновление параметров политики пользователя и политики компьютера. При использовании утилиты secedit приходилось запускать две отдельные команды.

Команда gpupdate имеет следующий синтаксис:

Параметры команды gpupdate рассматриваются в следующей таблице.

Параметры команды gpupdate

Заставляет команду выполнять обновление только параметров компьютера или только параметров пользователя в объекте групповой политики. По умолчанию обновляются параметры компьютера и пользователя

Игнорирует все оптимизации обработки объектов групповой политики, например, обнаружение медленных связей, и повторно применяет все параметры

Позволяет указать количество секунд, за которое должна завершиться обработка политики. По умолчанию используется значение 600 (10 минут). Значение означает отсутствие ожидания, а значение -1 означает неограниченное ожидание

Завершает сеанс работы пользователя после применения параметров объекта групповой политики. Завершение сеанса работы пользователя требуется для обновления многих параметров политики, например, параметров рабочего стола, поэтому процесс завершения сеанса стоит автоматизировать

Перезагружает систему после обновления политики. Некоторые параметры компьютера, например, установка программного обеспечения, применяются только в процессе запуска операционной системы, поэтому для применения этих параметров требуется перезагрузка

Приводит к синхронному применению параметров объекта групповой политики к компьютерам в процессе загрузки и к пользователям в процессе регистрации. Такое поведение по умолчанию принято в операционной системе Windows 2000. Это приводит к применению всех политик в процессе регистрации. В операционных системах Windows XP и Windows Server 2003 политики, принятые по умолчанию, применяются асинхронно. При этом некоторые пользователи будут регистрироваться на основании кэшированных данных и не получат обновленные параметры групповой политики

Предположим, что в параметры политики пользователя были внесены изменения.

Для проверки изменений можно запустить команду gpupdate /target:user /logoff. Эта команда выполняет обновление пользовательской части объекта групповой политики и автоматически завершает сеанс работы пользователя после окончания обновления. Как только пользователь зарегистрируется в системе повторно, он заметит внесенные изменения.

sergey vasin

The IT blog

Запуск обновления групповой политики в домене через PowerShell – Hey, Scripting Guy! Blog

Резюме: Microsoft Scripting Guy, Ed Wilson показывает, как вызвать обновление групповой политики посредством PowerShell.

Обновление групповой политики в домене

Иногда я вношу изменения в групповую политику в сети и мне нужно применить изменения на всех компьютерах. А иногда мне требуется обновить локальную групповую политику на моем компьютере.

Для обновления настроек групповой политики я использую утилиту GPUpdate. Она обладает некоторыми параметрами. По умолчанию, утилита обновляет политику как компьютера, так и пользователя. Но этим можно управлять, используя параметр /target. Например, если мне нудно обновить только политику компьютера, я укажу /target:computer. Для обновления только политики пользователя — /target:user.

PS C:> gpupdate /target:computer

Computer Policy update has completed successfully.

По умолчанию GPUpdate применяет только обновленные настройки групповой политики. Для применения всех настроек используется параметр /force. Приведенная ниже команда обновляет все настройки групповой политики (вне зависимости от того, были ли они изменены) для компьютера и пользователя.

PS C:> gpupdate /force

Computer Policy update has completed successfully.

User Policy update has completed successfully.

Во-первых, получаем список компьютеров в домене

Первое, что мне необходимо сделать – это получить список всех компьютеров в домене. Для этого я использую командлет Get-ADComputer, входящий в модуль Active Directory.

Читать еще:  Доменная учетная запись что это

Заметка: модуль Active Directory входит в состав RSAT.

Я сохраняю полученные объекты компьютеров в переменной $cn.

$cn = Get-ADComputer -filt *

Во-вторых, создаем удаленные сессии

Следующее, что мне нужно сделать – это создать удаленные сессии со всеми компьютерами. Для этого мне нужно предоставить учетные данные для подключения к компьютерам, а также создать сами сессии посредством командлета New-PSSession.

Для начала я воспользуюсь командлетом Get-Credentials и сохраню возвращенный им объект в переменной $cred.

$cred = Get-Credential iammredadministrator

Далее используем командлет New-PSSession. В качестве параметров я указал имена компьютеров и необходимые учетные данные.

$session = New-PSSession -cn $cn.name -cred $cred

Необходимо помнить о том, что в домене могут быть выключенные компьютеры, поэтому при выполнении команды могут возвращаться ошибки. Тем не менее, несмотря на ошибки, Windows PowerShell создает сессии с рабочими компьютерами.

Наличие большого числа ошибок может внушить некоторые опасения. Поскольку объекты сессий хранятся в переменной $sessions, я легко могу убедиться в том, что они созданы.

Теперь запустим команду на всех удаленных машинах

Для запуска команды GPUpdate на всех удаленных машинах я использую командлет Invoke-Command. Он использует сессии, сохраненные нами в переменной $sessions. Алиас для командлета Invoke-Commandicm.

icm -Session $session -ScriptBlock

После запуска команды, результаты отображаются в консоли Windows PowerShell.

Проверка обновления групповой политики

Когда на рабочей станции происходит успешное обновление настроек групповой политики, в журнал System записывается событие с кодом 1502. Я могу воспользоваться командлетом Invoke-Command для получения этой информации.

icm -Session $session -ScriptBlock

Команда и ее результаты приведены на рисунке ниже.

Еще одна интересная вещь касаемо групповой политики

Иногда мне приходится звонить в техподдержку и они просят обновить групповую политику на моем локальном компьютере. Это не проблема, так как я могу запустить GPUpdate прямо из PowerShell. Сложность возникает тогда, когда они просят меня выполнить обновление групповой политики 5 раз с интервалом в 5 минут. Но и это решается с помощью одной строки кода.

Обновление доменной политики команда

трабл такой, на компах в домене слетели настройки прокси сервера. компов очень много, пробежаться по всем нет возможности, в групповой политике домена еще вчера прописали настроки прокси, поставили галочку что политика главная самая, но ничего не обновилось почему то!

можно как то вручную, принудительно, обновить политику на всех компах?

Добавление от 10.11.2004 12:04:

это строки на серваке PDC в командной строке.

локалки или жди ( время можно выставить ) или перегружай

secedit /refreshpolicy machine_policy
secedit /refreshpolicy user_policy

или gpupdate для WinXP.

это я знаю, но это на локальном компе! мне же надо во всем домене сделать!

перегружать контроллер домены не прокатит их много и на них возложены и некоторые другие функции

Добавление от 10.11.2004 13:04:

Вот только все равно перегрузиться всем придется — а при перезагрузке GP и так обновится

Добавление от 10.11.2004 13:11:

Кстати перегрузить всех можно, если восп. утилями типа «Remoute Control» & «Remote Shutdown» из Ресурскита

У нас RAdmin есть у большинства, опять же есть утилита DameWare она вообще сама инсталится может принудительно! Но тяжело обойти как минимум 600 компов (всего в домене их более 1400) и обновлять политики.

то же относится к бат файлу. как это сообщить всем юзерам. почта есть далеко не у всех!

в общем политика вроде обновилась, правда не у всех почему то, научили тех поддержку через командную строку обновлять. при этом выяснилось что не все отделы через прокси ходят в общем все хреново

пролистал всякие там чаты майкрософта по политикам, вопросы тупые задают, про это ничего нет толком

Вот только все равно перегрузиться всем придется — а при перезагрузке GP и так обновится

Читать еще:  Собственный почтовый домен

а вот и нет, после обновления все данные появились без перезагрузки

цитата: а вот и нет, после обновления все данные появились без перезагрузки По умолчанию, пользовательские групповые политики обновляются в фоновом режиме каждые 90 минут, со случайным смещением времени обновления на интервал от 0 до 30 минут.

Как-то не совместимо с фразой: «. СРОЧНО. »

цитата: Но тяжело обойти как минимум 600 компов (всего в домене их более 1400) Сочувствую и. завидую одновременно
У меня всего лишь 35

Добавление от 10.11.2004 14:33:

цитата: как это сообщить всем юзерам net send, например, всем членам домена

А точнее возможны варианты:

net send * — вообще всем машинам в сети, т.е. по списку netbios службы browsing
net send domain or net send /DOMAIN:name

Правда для всех этих действ требуется NetBios, а в ТАКОЙ сети я бы постарался его как можно реже исп. — очень много пакетов с х.х.х.255 будет

Да мы не ставили эксперименты. просто вчера пошли звонки что типа в Инет не могу зайти. у всех не был прописан прокси. мы прописали политику, но стормозили и прописали её для компов, хотя политика для юзеров утром пошла лавина звонков. тут мы поняли свою ошибку. щас вроде все окей стало!

Я еще 2 недели назад админил офис с 35 компами. теперь понял разницу. если раньше один клик ничего толком не значил, то сейчас это может отключить несколько отделов

Обновление доменной политики команда

Администраторам ЛВС предприятия, особенно когда компьютеры входят в корпоративную доменную сеть, приходится сталкиваться с ситуацией, когда ПК некоторое время стоял без работы, отключенным от сети. Соответственно и пользователь работавший за этим компьютером уже работает за другой ПЭВМ или же уволен по разным причинам. Пылившийся в серверной компьютер находит своего нового владельца и его необходимо настроить, но групповые политики все еще действуют, поскольку они не исчезают после отключения от СПД. Проверить, какие политики действуют на ПК можно следующей командой, выполненной из командной строки:

В результате в корне диска “С” будет создан файл gpreport.html в котором удобно просмотреть все действующие политики.
Поскольку требуется привести комп в состояние близкое к первоначальному без переустановки операционной системы Windows, нужно воспользоваться полномочиями более высокими чем у рядового пользователя.

К примеру, очень неудобно вводить каждый раз пароль администратора для запуска той или иной программы (например деинсталлятора) или переименования ПК, а таких операций необходимо будет сделать много.
Для начала необходимо удостовериться в наличии доступа к учетной записи администратора ОС.
Если пароль не известен, то придется воспользоваться какой-либо утилитой сброса пароля. Такая например входит в состав всем известного HirensBootCD..
Будем считать, что пароль вы сбросили.
Сброс пароля администратора может потребоваться и в том случае, если действующая доменная политика накладывает ограничения на структуру пароля и нет возможности поставить пустой, но если пароль администратора известен, то выполнение команды приведенной ниже избавит Вас от необходимости сброса сторонними программами.
Прежде чем перейти к командам избавления от действий доменных групповых политик, следует сказать как они попадают в систему и почему действуют при отключении от сети.
Параметры групповых политик хранятся в специальном файле “registry.pol“. Он расположен, как правило, в каталоге “C:Windowssystem32GroupPolicy”. Политики действующие на компьютер в целом, вне зависимости от учетной записи пользователя, размещаются в подкаталоге “Machine”, а политики учетной записи в подкаталоге “User”.
Редактировать файл “registry.pol” вручную не стоит, для этого есть специальная оснастка, но она скорее всего будет недоступна по правилам той же GroupPolicy.
Как правило, политики задаются из домена при входе в систему, перезаписью файлов “MachineRegistry.pol” и “UserRegistry.pol”, которые операционная система импортирует в соответсвующий раздел реестра.
Эти ветки реестра могут быть недоступны для редактирования, даже если ваша учетная запись является локальным администратором на ПК.
Решение проблемы:

Читать еще:  Сервер домена установка

1 способ.
Нужно удалить файлы Registry.pol в каталоге GroupPolicy. Для этого запустите командную строку от учетной записи администратора и выполните следующую последовательность команд.

Последняя команда обновляет настройки политик (в данном случае будет выполнен сброс на состояние “по умолчанию”).
Первая строка может не выполнится, если в вашей ОС нет такого каталога.

2 способ.
На мой взгляд более универсальный. Опять же необходимо запустить CMD от имени админитратора и выполнить одну из приведенных ниже команд. Для Win 7 и выше:

Для Win XP:

Теперь необходимо выполнить перезагрузку ПК.
Все. Доменные политики прекратили свое действие.
Следует учесть, что если учетная запись администартора которую вы использовали была создана из домена, то и политики еще существования были не локальными, а доменными, и следовательна она станет отключенной и Вы ей не сможете воспользоваться, поэтому рекомендую создать дополнительную админскую учетку до использования командной строки с целью избавления от политик.

Можно конечно приведенные команды сложить в один пакетный файл, но это, надеюсь, Вы сможете сделать и без моей помощи.

PS: Не забудьте поделиться статьей кнопкой соцсети справа от записи.

Как пользоваться командой gpupdate?

Команда gpupdate является заменой команды secedit /refreshpolicy, которая использовалась в операционной системе Windows 2000 для ручного запуска процесса обновления объектов групповой политики.

Хотя все политики обновляются автоматически, использование этой команды позволяет выполнить немедленное обновление объекта групповой политики. Часто это оказывается необходимо после внесения изменений в объект групповой политики.

Таким образом, можно убедиться в правильности изменений в объекте групповой политики. В отличие от команды secedit /refreshpolicy команда gpupdate по умолчанию выполняет обновление параметров политики пользователя и политики компьютера. При использовании утилиты secedit приходилось запускать две отдельные команды.

Команда gpupdate имеет следующий синтаксис:

Параметры команды gpupdate рассматриваются в следующей таблице.

Параметры команды gpupdate

Заставляет команду выполнять обновление только параметров компьютера или только параметров пользователя в объекте групповой политики. По умолчанию обновляются параметры компьютера и пользователя

Игнорирует все оптимизации обработки объектов групповой политики, например, обнаружение медленных связей, и повторно применяет все параметры

Позволяет указать количество секунд, за которое должна завершиться обработка политики. По умолчанию используется значение 600 (10 минут). Значение означает отсутствие ожидания, а значение -1 означает неограниченное ожидание

Завершает сеанс работы пользователя после применения параметров объекта групповой политики. Завершение сеанса работы пользователя требуется для обновления многих параметров политики, например, параметров рабочего стола, поэтому процесс завершения сеанса стоит автоматизировать

Перезагружает систему после обновления политики. Некоторые параметры компьютера, например, установка программного обеспечения, применяются только в процессе запуска операционной системы, поэтому для применения этих параметров требуется перезагрузка

Приводит к синхронному применению параметров объекта групповой политики к компьютерам в процессе загрузки и к пользователям в процессе регистрации. Такое поведение по умолчанию принято в операционной системе Windows 2000. Это приводит к применению всех политик в процессе регистрации. В операционных системах Windows XP и Windows Server 2003 политики, принятые по умолчанию, применяются асинхронно. При этом некоторые пользователи будут регистрироваться на основании кэшированных данных и не получат обновленные параметры групповой политики

Предположим, что в параметры политики пользователя были внесены изменения.

Для проверки изменений можно запустить команду gpupdate /target:user /logoff. Эта команда выполняет обновление пользовательской части объекта групповой политики и автоматически завершает сеанс работы пользователя после окончания обновления. Как только пользователь зарегистрируется в системе повторно, он заметит внесенные изменения.

Вы можете задать вопрос по статье специалисту.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×