Tw-city.info

IT Новости
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Обновление политик домена

Обновление политик домена

трабл такой, на компах в домене слетели настройки прокси сервера. компов очень много, пробежаться по всем нет возможности, в групповой политике домена еще вчера прописали настроки прокси, поставили галочку что политика главная самая, но ничего не обновилось почему то!

можно как то вручную, принудительно, обновить политику на всех компах?

Добавление от 10.11.2004 12:04:

это строки на серваке PDC в командной строке.

локалки или жди ( время можно выставить ) или перегружай

secedit /refreshpolicy machine_policy
secedit /refreshpolicy user_policy

или gpupdate для WinXP.

это я знаю, но это на локальном компе! мне же надо во всем домене сделать!

перегружать контроллер домены не прокатит их много и на них возложены и некоторые другие функции

Добавление от 10.11.2004 13:04:

Вот только все равно перегрузиться всем придется — а при перезагрузке GP и так обновится

Добавление от 10.11.2004 13:11:

Кстати перегрузить всех можно, если восп. утилями типа «Remoute Control» & «Remote Shutdown» из Ресурскита

У нас RAdmin есть у большинства, опять же есть утилита DameWare она вообще сама инсталится может принудительно! Но тяжело обойти как минимум 600 компов (всего в домене их более 1400) и обновлять политики.

то же относится к бат файлу. как это сообщить всем юзерам. почта есть далеко не у всех!

в общем политика вроде обновилась, правда не у всех почему то, научили тех поддержку через командную строку обновлять. при этом выяснилось что не все отделы через прокси ходят в общем все хреново

пролистал всякие там чаты майкрософта по политикам, вопросы тупые задают, про это ничего нет толком

Вот только все равно перегрузиться всем придется — а при перезагрузке GP и так обновится

а вот и нет, после обновления все данные появились без перезагрузки

цитата: а вот и нет, после обновления все данные появились без перезагрузки По умолчанию, пользовательские групповые политики обновляются в фоновом режиме каждые 90 минут, со случайным смещением времени обновления на интервал от 0 до 30 минут.

Как-то не совместимо с фразой: «. СРОЧНО. »

цитата: Но тяжело обойти как минимум 600 компов (всего в домене их более 1400) Сочувствую и. завидую одновременно
У меня всего лишь 35

Добавление от 10.11.2004 14:33:

цитата: как это сообщить всем юзерам net send, например, всем членам домена

А точнее возможны варианты:

net send * — вообще всем машинам в сети, т.е. по списку netbios службы browsing
net send domain or net send /DOMAIN:name

Правда для всех этих действ требуется NetBios, а в ТАКОЙ сети я бы постарался его как можно реже исп. — очень много пакетов с х.х.х.255 будет

Да мы не ставили эксперименты. просто вчера пошли звонки что типа в Инет не могу зайти. у всех не был прописан прокси. мы прописали политику, но стормозили и прописали её для компов, хотя политика для юзеров утром пошла лавина звонков. тут мы поняли свою ошибку. щас вроде все окей стало!

Я еще 2 недели назад админил офис с 35 компами. теперь понял разницу. если раньше один клик ничего толком не значил, то сейчас это может отключить несколько отделов

Information Security Squad

stay tune stay secure

🇸🇭 Использование GPUpdate для обновления параметров групповой политики

После изменения любого параметра групповой политики с помощью локального редактора объекта групповой политики (gpedit.msc) или редактора политики домена (gpmc.msc) новый параметр политики не сразу применяется к пользователю / компьютеру.

Вы можете подождать автоматического обновления объекта групповой политики (до 90 минут) или вы можете обновить и применить политики вручную с помощью команды GPUpdate.

Читать еще:  Домены приложения в настройках вашего приложения

Команда GPUpdate используется для принудительного обновления параметров политики компьютера и / или группы пользователей.

Заметка. Команда secedit/refreshpolicy использовалась в Windows 2000 для ручного обновления групповых политик. В следующих версиях Windows она была заменена утилитой GPUpdate.

Полный синтаксис инструментов gpupdate выглядит следующим образом:

Когда вы запускаете команду gpupdate без параметров, применяются только новые и измененные параметры политики пользователя и компьютера.

Computer Policy update has completed successfully.

User Policy update has completed successfully.

Обновлять политики пользователей или компьютеров можно только с помощью параметра /target. Например,

  • gpudate /target:user
  • gpupdate /target:computer

Для принудительного обновления параметров групповой политики вы можете использовать команду GPUpdate /force.

В чем разница между GPUpdate и GPUpdate / force?

Команда gpupdate применяет только измененные политики, а команда GPUpdate / force повторно применяет все клиентские политики — как новые, так и старые (независимо от того, были ли они изменены).

В большинстве случаев вам нужно использовать gpupdate для обновления политик на компьютере.

В больших доменах Active Directory частое использование параметра / force при обновлении объектов групповой политики создает большую нагрузку на контроллеры домена (поскольку компьютеры повторно запрашивают все политики, нацеленные на них или пользователей).

Как мы уже говорили ранее, групповые политики обновляются автоматически каждые 90 минут или во время запуска компьютера.

Поэтому в большинстве случаев не следует использовать команду gpupdate / force (особенно в различных сценариях) из-за высокой нагрузки на клиентские компьютеры и контроллеры домена.

Вы можете добавить задержку (до 600 секунд) перед обновлением политик с помощью параметра / wait:

Поскольку некоторые пользовательские политики не могут быть обновлены в фоновом режиме, а только при входе пользователя в систему (установка программ, перенаправление папок и т. д.), вы можете выйти из системы для текущего пользователя с помощью команды:

Некоторые параметры политики компьютера могут применяться только при запуске, поэтому вы можете запустить перезагрузку компьютера с помощью параметра /Boot:

Параметр /Sync указывает, что следующее приложение политики должно выполняться синхронно.

Активное применение политики происходит, когда компьютер перезагружается или когда пользователь входит в систему.

Командлет Invoke-GPUpdate был добавлен в PowerShell 3.0, который можно использовать для обновления политик на удаленных компьютерах.

Например, следующая команда запустит обновление удаленной групповой политики на компьютере ПК1:

Вы можете принудительно обновить политику на всех компьютерах в указанном подразделении Active Directory, используя команды:

sergey vasin

The IT blog

Запуск обновления групповой политики в домене через PowerShell – Hey, Scripting Guy! Blog

Резюме: Microsoft Scripting Guy, Ed Wilson показывает, как вызвать обновление групповой политики посредством PowerShell.

Обновление групповой политики в домене

Иногда я вношу изменения в групповую политику в сети и мне нужно применить изменения на всех компьютерах. А иногда мне требуется обновить локальную групповую политику на моем компьютере.

Для обновления настроек групповой политики я использую утилиту GPUpdate. Она обладает некоторыми параметрами. По умолчанию, утилита обновляет политику как компьютера, так и пользователя. Но этим можно управлять, используя параметр /target. Например, если мне нудно обновить только политику компьютера, я укажу /target:computer. Для обновления только политики пользователя — /target:user.

PS C:> gpupdate /target:computer

Computer Policy update has completed successfully.

По умолчанию GPUpdate применяет только обновленные настройки групповой политики. Для применения всех настроек используется параметр /force. Приведенная ниже команда обновляет все настройки групповой политики (вне зависимости от того, были ли они изменены) для компьютера и пользователя.

PS C:> gpupdate /force

Computer Policy update has completed successfully.

User Policy update has completed successfully.

Во-первых, получаем список компьютеров в домене

Первое, что мне необходимо сделать – это получить список всех компьютеров в домене. Для этого я использую командлет Get-ADComputer, входящий в модуль Active Directory.

Читать еще:  Как добавить домен в список разрешенных

Заметка: модуль Active Directory входит в состав RSAT.

Я сохраняю полученные объекты компьютеров в переменной $cn.

$cn = Get-ADComputer -filt *

Во-вторых, создаем удаленные сессии

Следующее, что мне нужно сделать – это создать удаленные сессии со всеми компьютерами. Для этого мне нужно предоставить учетные данные для подключения к компьютерам, а также создать сами сессии посредством командлета New-PSSession.

Для начала я воспользуюсь командлетом Get-Credentials и сохраню возвращенный им объект в переменной $cred.

$cred = Get-Credential iammredadministrator

Далее используем командлет New-PSSession. В качестве параметров я указал имена компьютеров и необходимые учетные данные.

$session = New-PSSession -cn $cn.name -cred $cred

Необходимо помнить о том, что в домене могут быть выключенные компьютеры, поэтому при выполнении команды могут возвращаться ошибки. Тем не менее, несмотря на ошибки, Windows PowerShell создает сессии с рабочими компьютерами.

Наличие большого числа ошибок может внушить некоторые опасения. Поскольку объекты сессий хранятся в переменной $sessions, я легко могу убедиться в том, что они созданы.

Теперь запустим команду на всех удаленных машинах

Для запуска команды GPUpdate на всех удаленных машинах я использую командлет Invoke-Command. Он использует сессии, сохраненные нами в переменной $sessions. Алиас для командлета Invoke-Commandicm.

icm -Session $session -ScriptBlock

После запуска команды, результаты отображаются в консоли Windows PowerShell.

Проверка обновления групповой политики

Когда на рабочей станции происходит успешное обновление настроек групповой политики, в журнал System записывается событие с кодом 1502. Я могу воспользоваться командлетом Invoke-Command для получения этой информации.

icm -Session $session -ScriptBlock

Команда и ее результаты приведены на рисунке ниже.

Еще одна интересная вещь касаемо групповой политики

Иногда мне приходится звонить в техподдержку и они просят обновить групповую политику на моем локальном компьютере. Это не проблема, так как я могу запустить GPUpdate прямо из PowerShell. Сложность возникает тогда, когда они просят меня выполнить обновление групповой политики 5 раз с интервалом в 5 минут. Но и это решается с помощью одной строки кода.

Обновление политик домена

трабл такой, на компах в домене слетели настройки прокси сервера. компов очень много, пробежаться по всем нет возможности, в групповой политике домена еще вчера прописали настроки прокси, поставили галочку что политика главная самая, но ничего не обновилось почему то!

можно как то вручную, принудительно, обновить политику на всех компах?

Добавление от 10.11.2004 12:04:

это строки на серваке PDC в командной строке.

локалки или жди ( время можно выставить ) или перегружай

secedit /refreshpolicy machine_policy
secedit /refreshpolicy user_policy

или gpupdate для WinXP.

это я знаю, но это на локальном компе! мне же надо во всем домене сделать!

перегружать контроллер домены не прокатит их много и на них возложены и некоторые другие функции

Добавление от 10.11.2004 13:04:

Вот только все равно перегрузиться всем придется — а при перезагрузке GP и так обновится

Добавление от 10.11.2004 13:11:

Кстати перегрузить всех можно, если восп. утилями типа «Remoute Control» & «Remote Shutdown» из Ресурскита

У нас RAdmin есть у большинства, опять же есть утилита DameWare она вообще сама инсталится может принудительно! Но тяжело обойти как минимум 600 компов (всего в домене их более 1400) и обновлять политики.

то же относится к бат файлу. как это сообщить всем юзерам. почта есть далеко не у всех!

в общем политика вроде обновилась, правда не у всех почему то, научили тех поддержку через командную строку обновлять. при этом выяснилось что не все отделы через прокси ходят в общем все хреново

пролистал всякие там чаты майкрософта по политикам, вопросы тупые задают, про это ничего нет толком

Читать еще:  Репликация доменов 2020

Вот только все равно перегрузиться всем придется — а при перезагрузке GP и так обновится

а вот и нет, после обновления все данные появились без перезагрузки

цитата: а вот и нет, после обновления все данные появились без перезагрузки По умолчанию, пользовательские групповые политики обновляются в фоновом режиме каждые 90 минут, со случайным смещением времени обновления на интервал от 0 до 30 минут.

Как-то не совместимо с фразой: «. СРОЧНО. »

цитата: Но тяжело обойти как минимум 600 компов (всего в домене их более 1400) Сочувствую и. завидую одновременно
У меня всего лишь 35

Добавление от 10.11.2004 14:33:

цитата: как это сообщить всем юзерам net send, например, всем членам домена

А точнее возможны варианты:

net send * — вообще всем машинам в сети, т.е. по списку netbios службы browsing
net send domain or net send /DOMAIN:name

Правда для всех этих действ требуется NetBios, а в ТАКОЙ сети я бы постарался его как можно реже исп. — очень много пакетов с х.х.х.255 будет

Да мы не ставили эксперименты. просто вчера пошли звонки что типа в Инет не могу зайти. у всех не был прописан прокси. мы прописали политику, но стормозили и прописали её для компов, хотя политика для юзеров утром пошла лавина звонков. тут мы поняли свою ошибку. щас вроде все окей стало!

Я еще 2 недели назад админил офис с 35 компами. теперь понял разницу. если раньше один клик ничего толком не значил, то сейчас это может отключить несколько отделов

Выполняю установку, настройку, сопровождение серверов. Для уточнения деталей используйте форму обратной связи

Хороши обновления под windows, но настраивать их на каждой машине так, как вам это хочется — задача трудная да и не нужная, если вы используете домен и групповые политики. Ниже опишу какие параметры и где нужно настроить, что обновления ставились сами собой, обычным юзерам как можно меньше надоедали. Другими словами максимально автоматически.

И так. Создаём новую групповую политику «update«. Какие параметры нам нужно будет настроить. Описание настроек привожу на русском (у кого на английском, сложностей перевести не возникнет). Жирным выделено, какие значения нужно придать парамтерам.

Открываем «Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows/Windows Update» и настраиваем следующие параметры:

Задержка перезагрузки при запланированных установках Disabled

Настройка автоматического обновления Enabled
— Настройка автоматического обновления 4 — авт. загрузка и устан. по расписанию
— Установка по расписанию — день: 0 — ежедневно
— Установка по расписанию — время: 10:00

Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи Enabled
Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне завершения работы Windows Disabled
Повторный запрос для перезагрузки при запланированных установках Disabled
Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях Disabled
Разрешить Windows Update автоматически пробуждать систему для установки запланированных обновлений Enabled
Разрешить немедленную установку автоматических обновлений Enabled
Разрешить получение рекомендуемых обновлений через службу автоматического обновления Enabled

Указать размещение службы обновлений Microsoft в интрасети Enabled
— Укажите службу обновлений в интрасети для поиска обновлений:http://saturn:8530
— Укажите сервер статистики в интрасети: http://saturn:8530

Частота поиска автоматических обновлений Enabled

Открываем «Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows/Windows Update» и настраиваем следующие параметры:

Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне завершения работы Windows Disabled
Удалить доступ к возможностям Windows Update Disabled

После этого принудительно обновляем политики:

Теперь что бы принудительно обновиться, выполняем такую команду:

и смотрим, что обновления скачиваются быстрее.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×