Tw-city.info

IT Новости
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Обновление политики домена

Обновление политики домена

трабл такой, на компах в домене слетели настройки прокси сервера. компов очень много, пробежаться по всем нет возможности, в групповой политике домена еще вчера прописали настроки прокси, поставили галочку что политика главная самая, но ничего не обновилось почему то!

можно как то вручную, принудительно, обновить политику на всех компах?

Добавление от 10.11.2004 12:04:

это строки на серваке PDC в командной строке.

локалки или жди ( время можно выставить ) или перегружай

secedit /refreshpolicy machine_policy
secedit /refreshpolicy user_policy

или gpupdate для WinXP.

это я знаю, но это на локальном компе! мне же надо во всем домене сделать!

перегружать контроллер домены не прокатит их много и на них возложены и некоторые другие функции

Добавление от 10.11.2004 13:04:

Вот только все равно перегрузиться всем придется — а при перезагрузке GP и так обновится

Добавление от 10.11.2004 13:11:

Кстати перегрузить всех можно, если восп. утилями типа «Remoute Control» & «Remote Shutdown» из Ресурскита

У нас RAdmin есть у большинства, опять же есть утилита DameWare она вообще сама инсталится может принудительно! Но тяжело обойти как минимум 600 компов (всего в домене их более 1400) и обновлять политики.

то же относится к бат файлу. как это сообщить всем юзерам. почта есть далеко не у всех!

в общем политика вроде обновилась, правда не у всех почему то, научили тех поддержку через командную строку обновлять. при этом выяснилось что не все отделы через прокси ходят в общем все хреново

пролистал всякие там чаты майкрософта по политикам, вопросы тупые задают, про это ничего нет толком

Вот только все равно перегрузиться всем придется — а при перезагрузке GP и так обновится

а вот и нет, после обновления все данные появились без перезагрузки

цитата: а вот и нет, после обновления все данные появились без перезагрузки По умолчанию, пользовательские групповые политики обновляются в фоновом режиме каждые 90 минут, со случайным смещением времени обновления на интервал от 0 до 30 минут.

Как-то не совместимо с фразой: «. СРОЧНО. »

цитата: Но тяжело обойти как минимум 600 компов (всего в домене их более 1400) Сочувствую и. завидую одновременно
У меня всего лишь 35

Добавление от 10.11.2004 14:33:

цитата: как это сообщить всем юзерам net send, например, всем членам домена

А точнее возможны варианты:

net send * — вообще всем машинам в сети, т.е. по списку netbios службы browsing
net send domain or net send /DOMAIN:name

Правда для всех этих действ требуется NetBios, а в ТАКОЙ сети я бы постарался его как можно реже исп. — очень много пакетов с х.х.х.255 будет

Да мы не ставили эксперименты. просто вчера пошли звонки что типа в Инет не могу зайти. у всех не был прописан прокси. мы прописали политику, но стормозили и прописали её для компов, хотя политика для юзеров утром пошла лавина звонков. тут мы поняли свою ошибку. щас вроде все окей стало!

Я еще 2 недели назад админил офис с 35 компами. теперь понял разницу. если раньше один клик ничего толком не значил, то сейчас это может отключить несколько отделов

sergey vasin

The IT blog

Запуск обновления групповой политики в домене через PowerShell – Hey, Scripting Guy! Blog

Резюме: Microsoft Scripting Guy, Ed Wilson показывает, как вызвать обновление групповой политики посредством PowerShell.

Обновление групповой политики в домене

Иногда я вношу изменения в групповую политику в сети и мне нужно применить изменения на всех компьютерах. А иногда мне требуется обновить локальную групповую политику на моем компьютере.

Для обновления настроек групповой политики я использую утилиту GPUpdate. Она обладает некоторыми параметрами. По умолчанию, утилита обновляет политику как компьютера, так и пользователя. Но этим можно управлять, используя параметр /target. Например, если мне нудно обновить только политику компьютера, я укажу /target:computer. Для обновления только политики пользователя — /target:user.

PS C:> gpupdate /target:computer

Computer Policy update has completed successfully.

По умолчанию GPUpdate применяет только обновленные настройки групповой политики. Для применения всех настроек используется параметр /force. Приведенная ниже команда обновляет все настройки групповой политики (вне зависимости от того, были ли они изменены) для компьютера и пользователя.

Читать еще:  Войти в доменную учетную запись

PS C:> gpupdate /force

Computer Policy update has completed successfully.

User Policy update has completed successfully.

Во-первых, получаем список компьютеров в домене

Первое, что мне необходимо сделать – это получить список всех компьютеров в домене. Для этого я использую командлет Get-ADComputer, входящий в модуль Active Directory.

Заметка: модуль Active Directory входит в состав RSAT.

Я сохраняю полученные объекты компьютеров в переменной $cn.

$cn = Get-ADComputer -filt *

Во-вторых, создаем удаленные сессии

Следующее, что мне нужно сделать – это создать удаленные сессии со всеми компьютерами. Для этого мне нужно предоставить учетные данные для подключения к компьютерам, а также создать сами сессии посредством командлета New-PSSession.

Для начала я воспользуюсь командлетом Get-Credentials и сохраню возвращенный им объект в переменной $cred.

$cred = Get-Credential iammredadministrator

Далее используем командлет New-PSSession. В качестве параметров я указал имена компьютеров и необходимые учетные данные.

$session = New-PSSession -cn $cn.name -cred $cred

Необходимо помнить о том, что в домене могут быть выключенные компьютеры, поэтому при выполнении команды могут возвращаться ошибки. Тем не менее, несмотря на ошибки, Windows PowerShell создает сессии с рабочими компьютерами.

Наличие большого числа ошибок может внушить некоторые опасения. Поскольку объекты сессий хранятся в переменной $sessions, я легко могу убедиться в том, что они созданы.

Теперь запустим команду на всех удаленных машинах

Для запуска команды GPUpdate на всех удаленных машинах я использую командлет Invoke-Command. Он использует сессии, сохраненные нами в переменной $sessions. Алиас для командлета Invoke-Commandicm.

icm -Session $session -ScriptBlock

После запуска команды, результаты отображаются в консоли Windows PowerShell.

Проверка обновления групповой политики

Когда на рабочей станции происходит успешное обновление настроек групповой политики, в журнал System записывается событие с кодом 1502. Я могу воспользоваться командлетом Invoke-Command для получения этой информации.

icm -Session $session -ScriptBlock

Команда и ее результаты приведены на рисунке ниже.

Еще одна интересная вещь касаемо групповой политики

Иногда мне приходится звонить в техподдержку и они просят обновить групповую политику на моем локальном компьютере. Это не проблема, так как я могу запустить GPUpdate прямо из PowerShell. Сложность возникает тогда, когда они просят меня выполнить обновление групповой политики 5 раз с интервалом в 5 минут. Но и это решается с помощью одной строки кода.

Обновление групповой политики в Windows

Компьютеры будут обновлять групповую политику в фоновом режиме каждые 90 минут, кроме того, групповая политика обновляется при запуске компьютера. Иногда вы вносите изменения или создаете новые объекты групповой политики, и вам нужно, чтобы изменения вступили в силу немедленно.

    Существует 3 способа обновить групповую политику:

Способ 1 Обновление групповой политики с помощью команды gpupdate /force

Шаг 1: Запустите окно командной строки

Windows 7

Нажмите кнопку «Пуск» , введите «cmd» (без кавычек) в строку поиска в самом низу меню «Пуск», а затем щелкните значок cmd.exe, который должен появиться вверху списка результатов.

Windows 10

Щелкните правой кнопкой мыши кнопку «Пуск» Нажмите на командную строку(Admin), чтобы открыть окно CMD.

Шаг 2: Запустите команду gpupdate /force

Использование команды PsExec для обновления групповой политики удаленных компьютеров PsExec

Теперь, если у вас есть куча компьютеров, которые нуждаются в обновлении, было бы сложно войти в каждый из них и запустить эту команду. Для её запуска на удаленном компьютере вы можете использовать команду PsExec из набора инструментов Sysinternals. Вот пример использования PsExec для удаленного обновления групповой политики

Просто замените Computername на фактическое имя хоста компьютера

Чтобы выполнить GPUpdate.exe на группе компьютеров, указанных в текстовом файле, используйте команду PSExec.exe:

PSExec.exe @Computers.TXT GPUpdate.exe /force

Шаг 3: Перезагрузите компьютер

В окне командной строки введите gpupdate /force и нажмите клавишу Enter на клавиатуре. Строка «Обновление политики …» должна появиться в окне командной строки ниже, где вы только что набрали.

Читать еще:  Редактирование групповой политики домена

После завершения обновления вам будет предложено либо выйти из системы, либо перезагрузить компьютер. Нажмите N,чтобы отклонить эти запросы, а затем перезагрузите компьютер вручную. Иногда вам не будет предложено перезагрузить компьютер или выйти из системы после обновления. Тем не менее, вам все равно следует перезагрузить компьютер, если ИТ-специалист не примет иного решения.

После завершения обновления вы можете перезагрузить компьютер командой gpupdate / boot или вручную. Перезагрузить компьютер вручную немного быстрее, чем через окно командной строки.

Способ 2. Использование консоли управления групповой политикой

В Windows Server 2012 и более поздних версиях теперь можно принудительно обновить групповую политику на удаленных компьютерах из консоли управления групповой политикой. Этот метод очень прост и позволяет запускать обновление для одного подразделения или всех подразделений.

Шаг 1. Откройте консоль управления групповыми политиками.

Шаг 2: Щелкните правой кнопкой мыши, чтобы обновить

Вы можете обновить отдельное подразделение или родительское подразделение, и оно обновит все подчиненные подразделения.

Я собираюсь обновить свой родительский OU «ADPRO Computers», в этом OU есть несколько подразделений, разбитых на отделы. Это запустит обновление групповой политики на всех компьютерах.

Способ 3: использование Powershell Invoke-GPUpdate

В Windows 2012 можно принудительно выполнить немедленное обновление с помощью команды powershell invoke-GPUupdate . Эта команда может использоваться для обновления клиентов Windows 10 и Windows 7.

Вам потребуется установленный Powershell, а также консоль управления групповыми политиками (GPMC).

RandomDelayMinutes 0 гарантирует, что политика обновляется сразу, а не ..

Единственным недостатком использования этой команды является то, что клиенты получат всплывающее окно CMD, как показано ниже. Отображается только около 3 секунд, затем закрывается.

Если вы хотите использовать команду PowerShell для принудительного обновления на всех компьютерах, вы можете использовать эти команды:

Вышеприведенные команды будут извлекать каждый компьютер из домена, помещать их в переменную и запускать команды для каждого объекта в переменной

Information Security Squad

stay tune stay secure

🇸🇭 Использование GPUpdate для обновления параметров групповой политики

После изменения любого параметра групповой политики с помощью локального редактора объекта групповой политики (gpedit.msc) или редактора политики домена (gpmc.msc) новый параметр политики не сразу применяется к пользователю / компьютеру.

Вы можете подождать автоматического обновления объекта групповой политики (до 90 минут) или вы можете обновить и применить политики вручную с помощью команды GPUpdate.

Команда GPUpdate используется для принудительного обновления параметров политики компьютера и / или группы пользователей.

Заметка. Команда secedit/refreshpolicy использовалась в Windows 2000 для ручного обновления групповых политик. В следующих версиях Windows она была заменена утилитой GPUpdate.

Полный синтаксис инструментов gpupdate выглядит следующим образом:

Когда вы запускаете команду gpupdate без параметров, применяются только новые и измененные параметры политики пользователя и компьютера.

Computer Policy update has completed successfully.

User Policy update has completed successfully.

Обновлять политики пользователей или компьютеров можно только с помощью параметра /target. Например,

  • gpudate /target:user
  • gpupdate /target:computer

Для принудительного обновления параметров групповой политики вы можете использовать команду GPUpdate /force.

В чем разница между GPUpdate и GPUpdate / force?

Команда gpupdate применяет только измененные политики, а команда GPUpdate / force повторно применяет все клиентские политики — как новые, так и старые (независимо от того, были ли они изменены).

В большинстве случаев вам нужно использовать gpupdate для обновления политик на компьютере.

В больших доменах Active Directory частое использование параметра / force при обновлении объектов групповой политики создает большую нагрузку на контроллеры домена (поскольку компьютеры повторно запрашивают все политики, нацеленные на них или пользователей).

Как мы уже говорили ранее, групповые политики обновляются автоматически каждые 90 минут или во время запуска компьютера.

Поэтому в большинстве случаев не следует использовать команду gpupdate / force (особенно в различных сценариях) из-за высокой нагрузки на клиентские компьютеры и контроллеры домена.

Вы можете добавить задержку (до 600 секунд) перед обновлением политик с помощью параметра / wait:

Поскольку некоторые пользовательские политики не могут быть обновлены в фоновом режиме, а только при входе пользователя в систему (установка программ, перенаправление папок и т. д.), вы можете выйти из системы для текущего пользователя с помощью команды:

Читать еще:  Установка контроллера домена

Некоторые параметры политики компьютера могут применяться только при запуске, поэтому вы можете запустить перезагрузку компьютера с помощью параметра /Boot:

Параметр /Sync указывает, что следующее приложение политики должно выполняться синхронно.

Активное применение политики происходит, когда компьютер перезагружается или когда пользователь входит в систему.

Командлет Invoke-GPUpdate был добавлен в PowerShell 3.0, который можно использовать для обновления политик на удаленных компьютерах.

Например, следующая команда запустит обновление удаленной групповой политики на компьютере ПК1:

Вы можете принудительно обновить политику на всех компьютерах в указанном подразделении Active Directory, используя команды:

Администраторам ЛВС предприятия, особенно когда компьютеры входят в корпоративную доменную сеть, приходится сталкиваться с ситуацией, когда ПК некоторое время стоял без работы, отключенным от сети. Соответственно и пользователь работавший за этим компьютером уже работает за другой ПЭВМ или же уволен по разным причинам. Пылившийся в серверной компьютер находит своего нового владельца и его необходимо настроить, но групповые политики все еще действуют, поскольку они не исчезают после отключения от СПД. Проверить, какие политики действуют на ПК можно следующей командой, выполненной из командной строки:

В результате в корне диска “С” будет создан файл gpreport.html в котором удобно просмотреть все действующие политики.
Поскольку требуется привести комп в состояние близкое к первоначальному без переустановки операционной системы Windows, нужно воспользоваться полномочиями более высокими чем у рядового пользователя.

К примеру, очень неудобно вводить каждый раз пароль администратора для запуска той или иной программы (например деинсталлятора) или переименования ПК, а таких операций необходимо будет сделать много.
Для начала необходимо удостовериться в наличии доступа к учетной записи администратора ОС.
Если пароль не известен, то придется воспользоваться какой-либо утилитой сброса пароля. Такая например входит в состав всем известного HirensBootCD..
Будем считать, что пароль вы сбросили.
Сброс пароля администратора может потребоваться и в том случае, если действующая доменная политика накладывает ограничения на структуру пароля и нет возможности поставить пустой, но если пароль администратора известен, то выполнение команды приведенной ниже избавит Вас от необходимости сброса сторонними программами.
Прежде чем перейти к командам избавления от действий доменных групповых политик, следует сказать как они попадают в систему и почему действуют при отключении от сети.
Параметры групповых политик хранятся в специальном файле “registry.pol“. Он расположен, как правило, в каталоге “C:Windowssystem32GroupPolicy”. Политики действующие на компьютер в целом, вне зависимости от учетной записи пользователя, размещаются в подкаталоге “Machine”, а политики учетной записи в подкаталоге “User”.
Редактировать файл “registry.pol” вручную не стоит, для этого есть специальная оснастка, но она скорее всего будет недоступна по правилам той же GroupPolicy.
Как правило, политики задаются из домена при входе в систему, перезаписью файлов “MachineRegistry.pol” и “UserRegistry.pol”, которые операционная система импортирует в соответсвующий раздел реестра.
Эти ветки реестра могут быть недоступны для редактирования, даже если ваша учетная запись является локальным администратором на ПК.
Решение проблемы:

1 способ.
Нужно удалить файлы Registry.pol в каталоге GroupPolicy. Для этого запустите командную строку от учетной записи администратора и выполните следующую последовательность команд.

Последняя команда обновляет настройки политик (в данном случае будет выполнен сброс на состояние “по умолчанию”).
Первая строка может не выполнится, если в вашей ОС нет такого каталога.

2 способ.
На мой взгляд более универсальный. Опять же необходимо запустить CMD от имени админитратора и выполнить одну из приведенных ниже команд. Для Win 7 и выше:

Для Win XP:

Теперь необходимо выполнить перезагрузку ПК.
Все. Доменные политики прекратили свое действие.
Следует учесть, что если учетная запись администартора которую вы использовали была создана из домена, то и политики еще существования были не локальными, а доменными, и следовательна она станет отключенной и Вы ей не сможете воспользоваться, поэтому рекомендую создать дополнительную админскую учетку до использования командной строки с целью избавления от политик.

Можно конечно приведенные команды сложить в один пакетный файл, но это, надеюсь, Вы сможете сделать и без моей помощи.

PS: Не забудьте поделиться статьей кнопкой соцсети справа от записи.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×