In questo articolo, ti mostreremo un modo semplice per aggiornare in remoto i criteri di gruppo sui client (computer e server) in un dominio Active Directory, senza dover accedere alla console sulla macchina remota e senza utilizzare il comando gpupdate.
Una delle sfide più difficili nella gestione dei criteri di gruppo di AD è il test dei criteri al volo, senza riavviare il computer o accedere al computer locale ed eseguire un comando.
L'aggiornamento dei criteri di gruppo remoto offre la possibilità di utilizzare un'unica console di gestione degli oggetti Criteri di gruppo (GPMC.msc) per creare, modificare, applicare e testare Criteri di gruppo.
La funzionalità di aggiornamento remoto dei criteri di gruppo è apparsa per la prima volta in Microsoft Windows Server 2012, in tutte le versioni successive (Windows Server 2016, Microsoft Windows 10), questa funzionalità e la sua stabilità sono gradualmente migliorate.
Requisiti per il funzionamento dell'aggiornamento dei criteri di gruppo remoto:
Requisiti dell'ambiente del server:
- Windows Server 2012 e versioni successive
- O Windows 10 con RSAT (strumenti di gestione) installato
Requisiti per i clienti:
- Windows 7 e versioni successive
Requisiti per la comunicazione di rete (firewall) tra server e client
- La porta TCP 135 deve essere aperta
- Il servizio Strumentazione gestione Windows è abilitato
- Servizio Utilità di pianificazione (servizio di pianificazione delle attività)
Se l'ambiente soddisfa questi requisiti, aprire la Console Gestione criteri di gruppo (GPMC.msc), selezionare l'unità organizzativa (contenitore) che contiene i computer di destinazione su cui si desidera forzare l'aggiornamento dell'oggetto Criteri di gruppo.
Fare clic con il tasto destro del mouse sul contenitore desiderato e selezionare Aggiornamento criteri di gruppo.
Nella finestra che si apre, appariranno le informazioni sul numero di oggetti in questa UO su cui verrà aggiornato l'oggetto Criteri di gruppo. Per confermare l'azione, fare clic sul pulsante "Sì".
Nella finestra dei risultati dell'aggiornamento dei criteri di gruppo remoto viene visualizzato lo stato dell'aggiornamento dei criteri, nonché lo stato di questa operazione (esito positivo/errore, codice di errore). Naturalmente, se un computer è spento o l'accesso ad esso è limitato da un firewall, verrà visualizzato un errore corrispondente.
La configurazione dei criteri di aggiornamento di Windows 10 sta configurando la modalità di ricezione degli aggiornamenti di Windows 10. In Windows 10, le impostazioni di aggiornamento sono state spostate dal Pannello di controllo alle Impostazioni di sistema. Windows 10 non ha le stesse impostazioni che c'erano nel Pannello di controllo, e quindi è diventato impossibile disabilitare gli aggiornamenti o scegliere come riceverli. Tuttavia, è possibile utilizzare l'Editor del Registro di sistema e l'Editor Criteri di gruppo locali per disabilitare gli aggiornamenti e impostare la modalità di ricezione.
Configurazione degli aggiornamenti utilizzando l'editor dei criteri di gruppo locali
Avvia l'Editor Criteri di gruppo locale premendo due tasti contemporaneamente sulla tastiera VINCI + R gpedit.msc e fare clic su OK.
Criteri di gruppo per l'aggiornamento a Windows 10
Configurazione computer - Modelli amministrativi - Componenti di Windows - Windows Update... Fai clic sull'ultimo elemento Windows Update e poi sul lato destro trova l'elemento Configurazione degli aggiornamenti automatici e modificarne le impostazioni.
Configurazione dei criteri di gruppo degli aggiornamenti di Windows 10 Per fare ciò, nella finestra che si apre, devi mettere un punto in alto alla voce Abilitato, quindi impostare le impostazioni di aggiornamento in basso. Fare clic su OK. Quindi, per far funzionare le impostazioni che hai eseguito, apri Impostazioni di sistema - Aggiornamento e sicurezza - Windows Update e premere il pulsante Verifica aggiornamenti.
Dopo aver configurato i criteri di Windows 10, esegui l'aggiornamento Successivamente, le impostazioni effettuate nell'Editor criteri di gruppo locali avranno effetto.
Configurazione degli aggiornamenti utilizzando l'editor del registro
Avvia l'editor del registro premendo due tasti contemporaneamente sulla tastiera VINCI + R... Si aprirà la finestra Esegui in cui inserire il comando regedit e fare clic su OK.
Apri l'editor del registro e crea quattro impostazioni per gestire gli aggiornamenti di Windows 10 Nella parte sinistra della finestra dell'editor che si apre, apri HKEY_LOCAL_MACHINE - SOFTWARE - Criteri - Microsoft - Windows... Passa il mouse sull'ultimo elemento di Windows e fai clic con il pulsante destro del mouse. Nel menu contestuale che si apre, seleziona Crea - Sezione... Dai un nome alla nuova sezione Aggiornamento Windows.
Quindi passa il mouse sopra la sezione WindowsUpdate appena creata e crea nuovamente una sezione chiamata AU.
Quindi passa il mouse sulla sezione AU appena creata e fai clic con il pulsante destro del mouse e seleziona Nuovo - Parametro DWORD (32 bit)... Il parametro appena creato apparirà sul lato destro della finestra, chiamalo AUOpzioni... Allo stesso modo, passando con il mouse sulla sezione AU, crea altri tre parametri e nomina il primo Nessun aggiornamento automatico, secondo Giorno di installazione programmato e il terzo Tempo di installazione pianificato(opzionale NoAutoRebootWithLoggedOnUsers). Ora questi quattro nuovi parametri devono cambiare il valore.
Per il parametro AUOptions
- 2 - Ricevi una notifica prima di installare e scaricare eventuali aggiornamenti.
- 3 - Ricevi automaticamente aggiornamenti e notifiche sulla loro preparazione per l'installazione.
- 4 - Ricevi e installa automaticamente gli aggiornamenti in base a una pianificazione specifica.
- 5 - Consenti agli amministratori locali di scegliere la modalità di aggiornamento e le notifiche.
Per il parametro NoAutoUpdate
- 0 - Abilitata l'installazione automatica degli aggiornamenti che verranno scaricati e installati in base alle impostazioni effettuate nel parametro AUOptions.
- 1 - L'installazione automatica degli aggiornamenti è disabilitata.
Per il parametro ScheduledInstallDay
- 0: gli aggiornamenti verranno installati giornalmente con un valore di 4 per il parametro AUOptions.
- 1 - gli aggiornamenti verranno installati ogni lunedì con un valore di 4 per il parametro AUOptions.
- 2 - gli aggiornamenti verranno installati ogni martedì con un valore di 4 per il parametro AUOptions.
- 3 - gli aggiornamenti verranno installati ogni mercoledì con un valore di 4 per il parametro AUOptions.
- 4 - gli aggiornamenti verranno installati ogni giovedì con un valore di 4 per il parametro AUOptions.
- 5 - gli aggiornamenti verranno installati ogni venerdì con un valore di 4 per il parametro AUOptions.
- 6 - gli aggiornamenti verranno installati ogni sabato con un valore di 4 per il parametro AUOptions.
- 7 - gli aggiornamenti verranno installati ogni domenica con un valore di 4 per il parametro AUOptions.
Per il parametro ScheduledInstallTime
Da 0 a 23, gli aggiornamenti verranno installati a quel numero di ore, a seconda del parametro impostato e quando il parametro AUOptions è impostato su 4.
Per il parametro NoAutoRebootWithLoggedOnUsers
- 0 - Al termine dell'installazione degli aggiornamenti, il computer si riavvierà automaticamente, funziona con un valore di 4 per il parametro AUOptions.
- 1 - Al termine dell'installazione degli aggiornamenti, il computer non si riavvia automaticamente, funziona con un valore 4 per il parametro AUOptions.
Ho deciso che avevo bisogno di scrivere un breve articolo a cui si potesse e si dovesse fare riferimento abbastanza spesso. E l'argomento di questo articolo è come aggiornare i Criteri di gruppo.
Perché devo aggiornare manualmente la policy?
Quando può tornare utile? Quasi sempre quando si modifica un parametro in una politica. No, non dare per scontato che la politica debba essere aggiornata solo manualmente. In effetti, si aggiorna automaticamente. Una volta ogni ora e mezza! Immagina di aver cambiato una politica e di aspettare un'ora e mezza per verificare se funziona esattamente come volevi. Brad, non è vero?
Naturalmente, una sciocchezza. Pertanto, esiste un modo per forzare il computer ad aggiornare manualmente Criteri di gruppo. E prima ancora, una piccola teoria. Come sapete, i politici si dividono in due grandi gruppi:
- politiche informatiche
- criteri utente
I criteri del primo gruppo si applicano a tutti gli utenti del computer, mentre i criteri del secondo gruppo si applicano solo ai singoli utenti. Quindi, all'avvio del computer, i criteri di gruppo vengono caricati immediatamente. Inoltre, tutte le politiche vengono lette da zero, il che garantisce l'applicazione delle ultime modifiche. Le policy utente, invece, vengono verificate e caricate quando l'utente accede al sistema.
Conoscendo questi fatti, ecco una soluzione per te. Affinché le modifiche ai criteri utente abbiano effetto: disconnettiti e accedi di nuovo. Se devi aggiornare i criteri del computer, riavvia il computer. Scherzo.
Comando per aggiornare i criteri del gruppo locale
I metodi descritti porteranno sicuramente al risultato desiderato, ma sono piuttosto stupidi. Dopotutto, c'è una grande utility da riga di comando chiamata aggiornamento gp. In generale, il comando è sufficiente per aggiornare la policy di gruppo:
Aggiorna / forza
Con un'azione così semplice, puoi aggiornare rapidamente i criteri del computer.
Riepilogo: Microsoft Scripting Guy, Ed Wilson ti mostra come attivare un aggiornamento di Criteri di gruppo utilizzando PowerShell.
Aggiornamento dei criteri di gruppo nel dominio
A volte apporto modifiche ai Criteri di gruppo sulla rete e devo applicare le modifiche a tutti i computer. E a volte ho bisogno di aggiornare i criteri di gruppo locali sul mio computer.
Per aggiornare le impostazioni dei Criteri di gruppo, utilizzo l'utilità Aggiornamento GPU... Ha alcuni parametri. Per impostazione predefinita, l'utilità aggiorna i criteri sia del computer che dell'utente. Ma questo può essere controllato usando il parametro / obbiettivo... Ad esempio, se mi annoio di aggiornare solo la politica del computer, lo specificherò / obiettivo: computer... Per aggiornare solo il criterio utente - / target: utente.
PS C: \> gpupdate / destinazione: computer
Aggiornamento della politica in corso...
Predefinito Aggiornamento GPU applica solo le impostazioni di Criteri di gruppo aggiornate. Per applicare tutte le impostazioni, utilizzare il parametro / forza... Il comando seguente aggiorna tutte le impostazioni dei Criteri di gruppo (indipendentemente dal fatto che siano state modificate) per il computer e l'utente.
PS C: \> gpupdate / force
Aggiornamento della politica in corso...
L'aggiornamento dei criteri del computer è stato completato correttamente.
L'aggiornamento dei criteri utente è stato completato correttamente.
Innanzitutto, otteniamo un elenco di computer nel dominio
La prima cosa che devo fare è ottenere un elenco di tutti i computer nel dominio. Per questo uso il cmdlet Ottieni-ADComputer incluso nel modulo Active Directory.
Nota: il modulo Active Directory fa parte di RSAT.
Memorizzo gli oggetti computer risultanti nella variabile $ cn.
$ cn = Get-ADComputer -filt *
Secondo, creiamo sessioni remote
La prossima cosa che devo fare è creare sessioni remote con tutti i computer. Per fare ciò, devo fornire le credenziali per connettermi ai computer, oltre a creare le sessioni stesse utilizzando il cmdlet Nuova sessione PS.
Per prima cosa, userò il cmdlet Ottieni-Credenziali e memorizzare l'oggetto restituito nella variabile $ cred.
$ cred = Get-Credential iammred \ amministratore
$ sessione = New-PSSession -cn $ cn.name -cred $ cred
Tieni presente che il dominio potrebbe avere computer spenti, quindi il comando potrebbe restituire errori. Tuttavia, nonostante gli errori, Windows PowerShell crea sessioni con i computer di lavoro.
La presenza di un gran numero di errori può destare qualche preoccupazione. Poiché gli oggetti sessione sono archiviati nella variabile $sessioni, posso facilmente verificare che siano stati creati.
Ora eseguiamo il comando su tutte le macchine remote
Per eseguire il comando Aggiornamento GPU su tutte le macchine remote utilizzo il cmdlet Invoca-Comando... Utilizza le sessioni che abbiamo salvato nella variabile $ sessioni. Alias per cmdlet Invoca-Comando – icm.
icm -Session $ session -ScriptBlock (gpupdate / force)
Dopo aver eseguito il comando, i risultati vengono visualizzati nella console di Windows PowerShell.
Verifica degli aggiornamenti dei criteri di gruppo
Quando le impostazioni dei criteri di gruppo vengono aggiornate correttamente sulla workstation, l'ID evento 1502 viene scritto nel registro di sistema.Posso utilizzare il cmdlet Invoca-Comando per queste informazioni.
icm -Session $ session -ScriptBlock (Get-EventLog -LogName system -InstanceId 1502 -Newest 1)
Il comando e i suoi risultati sono mostrati nella figura seguente.
Un'altra cosa interessante dei Criteri di gruppo
A volte devo chiamare il supporto tecnico e mi chiedono di aggiornare i Criteri di gruppo sul mio computer locale. Questo non è un problema perché posso correre Aggiornamento GPU direttamente da PowerShell. La difficoltà sorge quando mi chiedono di aggiornare Criteri di gruppo 5 volte con un intervallo di 5 minuti. Ma questo può essere risolto con una singola riga di codice.
1..5 | % ("Aggiornamento GP $ (Get-Date)"; gpupdate / force; sleep 300)
Ed Wilson, Microsoft Scripting Guy
Originale:
· Non ci sono commenti
L'aggiornamento delle impostazioni dei criteri di gruppo di Microsoft Windows su un computer locale non è molto difficile da eseguire con uno strumento come Gpupdate, ma l'aggiornamento di questi criteri sui computer remoti in un dominio non può essere eseguito utilizzando Microsoft Management Console (MMC) o qualsiasi prodotto Microsoft disponibile oggi. In questo articolo, ti guiderò attraverso vari trucchi, script e strumenti gratuiti che ti consentono di aggiornare le impostazioni dei Criteri di gruppo sui computer remoti in un dominio.
introduzione
La maggior parte degli amministratori è consapevole del problema dell'applicazione dei criteri di gruppo ai computer remoti. Dopo aver configurato alcuni criteri importanti, a volte vorremmo che questo criterio di gruppo GP appaia immediatamente sui computer client. Ma il problema è che per impostazione predefinita, la cosiddetta elaborazione in background si verifica solo nell'intervallo da 90 a 120 minuti (a caso) - se vogliamo accelerare il processo di aggiornamento, allora eccoci da soli. Naturalmente, c'è un motivo per cui le politiche semplicemente non si aggiornano ogni cinque minuti o addirittura in tempo reale. Il carico sui controller di dominio e sulla rete nella maggior parte degli ambienti sarà troppo pesante da gestire. Ma se diventa necessario applicare rapidamente un'impostazione di sicurezza molto importante per un gran numero di client, allora sarebbe una buona idea prepararsi per una situazione del genere.
Ciò di cui abbiamo veramente bisogno è consentire all'amministratore di aggiornare le policy sui computer Computer1, Computer2 e/o Computer3 - nonché le policy per gli utenti A, B e C da un punto centralizzato - la workstation dell'amministratore, nel caso in cui l'amministratore lo ritenga necessario . ... Dai un'occhiata alla Figura 1.
Figura 1: Scenario
Abbiamo un ottimo strumento chiamato Gpupdate che è integrato in Microsoft Windows XP e nei sistemi operativi più recenti - e abbiamo anche uno strumento chiamato Secedit per Windows 2000 - ma sfortunatamente il comando Gpresult per gli strumenti Gpupdate e Secedit può essere gestito solo su computer locali. Ovviamente abbiamo già un sistema di installazione configurato, come Microsoft Systems Management Server (SMS), possiamo usare questo sistema per inviare piccoli script che eseguiranno il comando richiesto per un gruppo di utenti o computer.
Se la tua rete non ha un tale sistema, dovresti provare approcci più creativi. l'alternativa è andare su tutti i computer di cui hai bisogno con uno strumento come Assistenza remota, oppure inviare un'e-mail a tutti gli utenti chiedendo loro di eseguire il comando Gpupdate... Quindi sii più creativo.
I problemi
Prima di immergermi nei dettagli, voglio menzionare i problemi comuni che le persone affrontano quando cercano di utilizzare i metodi menzionati in questo articolo.
Problemi con il firewall:
Come con altre connessioni avviate sulla rete, i pacchetti che tentano di aggiornare le impostazioni dei criteri sui computer remoti non saranno in grado di attraversare il firewall locale sui computer remoti (come il firewall integrato nel sistema operativo Windows, a partire da Windows XP Service Pack 2 o successivo) se il firewall non è configurato per consentire tale traffico in entrata (dalla sottorete selezionata, IP o simili). Il firewall integrato in Windows deve essere configurato per consentire il traffico in entrata che generiamo utilizzando un oggetto Criteri di gruppo, quindi per quanto possa sembrare ironico, questo criterio è l'unico che non possiamo utilizzare per i computer remoti con firewall abilitato.
Le impostazioni dei criteri che devono essere impostate per tutti i metodi menzionati in questo articolo sono le seguenti:
Impostazioni del computer | Modelli amministrativi | Rete | Connessioni di rete | Windows Firewall | Profilo del dominio | "Windows Firewall: consenti eccezione amministrazione remota".
Anche altri dispositivi che fungono da firewall tra il computer centrale e i computer remoti devono rispettare le impostazioni di cui sopra (vedere Test di aiuto per la policy menzionata in GPEDIT.MSC).
Diritti di amministratore:
L'utente che avvia il processo sul computer remoto deve disporre dei diritti di amministratore locale, altrimenti tutto non funzionerà come previsto.
Dopo esserti preso cura di tutto questo, esaminiamo i metodi stessi.
Scripting
Gli script sono gratuiti e ampiamente distribuiti ai professionisti della tecnologia dell'informazione su Internet - sono davvero "Open Source". Microsoft ci ha fornito diverse funzionalità integrate per estendere le funzionalità del sistema operativo e dell'ambiente: in questo articolo ti mostreremo come utilizzare queste funzionalità per aggiornare i criteri GP in remoto.
Gpupdate e secedit
Dobbiamo prima menzionare gli strumenti Gpupdate e Secedit, senza questi strumenti, nessuno dei seguenti sarebbe possibile. Gli script e gli strumenti qui menzionati presuppongono tutti che uno di questi strumenti sia installato sul client remoto, a seconda della versione del sistema operativo. Come accennato in precedenza, lo strumento Secedit è incluso nel sistema operativo Windows 2000 e lo strumento Gpupdate è stato preso dal sistema operativo Windows XP e versioni successive, è persino presente nel sistema operativo Longhorn così com'è ora. Negli script seguenti, mi concentrerò su Gpupdate: possiamo controllare la versione del sistema operativo prima di eseguire Gpupdate o Secedit, ma questo controllo può essere aggiunto in seguito senza troppe difficoltà.
Il file Gpupdate.exe si trova per impostazione predefinita nella cartella "% windir% \ system32", quindi non è necessario conoscere il percorso assoluto della sua posizione sul computer remoto. Lo strumento può essere chiamato con una serie di chiavi diverse:
Sintassi: Gpupdate
Nei nostri script fai-da-te per HTML Application (HTA) e Windows Management Instrumentations (WMI), ci concentreremo sull'esecuzione di Gpupdate senza chiavi, con "/ Taget: Computer" (per aggiornare i criteri specifici del computer) o "/ Target: Utente ”(per aggiornare i criteri specifici dell'utente). Altre opzioni possono essere abilitate con un po' di lavoro, ma abbiamo davvero bisogno di "/ Logoff" o "/ Boot"? Ciò significa che gli utenti possono disconnettersi quando necessario (installazione di software, modifica di cartelle, ecc.) o persino richiedere il riavvio del computer mentre l'utente è connesso. È davvero questo ciò di cui abbiamo bisogno? Ad ogni modo, possiamo anche usare uno strumento come Shutdown.exe per questo scopo, quindi la mia opinione non sarà troppo popolare.
PsExec
Il primo metodo di cui voglio parlare è molto facile da usare e richiede poca o nessuna abilità di programmazione. Perché inventare qualcosa che è già stato inventato, giusto? Lo strumento, chiamato PsExec, è stato sviluppato da Mark Russinovich, l'ex proprietario di Sysinternals, acquisito da Microsoft nel luglio 2006. La versione 1.73 è ora disponibile e può essere scaricata dal sito Web Microsoft Technet.
PsExec è ottimo quando si tratta di esecuzione remota, principalmente perché non richiede l'installazione di agenti sulla macchina remota. Devi solo specificare il nome del computer e il comando che devi eseguire insieme alle opzioni nella riga di comando - e il gioco è fatto!
Un piccolo trucco è mettere il file PsExec.exe nella directory "% windir%" perché in questo caso, non è necessario specificare il percorso completo di questo file quando lo si esegue dalla riga di comando.
Per aggiornare i criteri di gruppo su una macchina remota, tutto ciò che dobbiamo fare è impostare 'Computername' (nome computer) nel seguente comando: "PsExec \\ Computername Gpupdate". L'utente che sta lavorando sulla macchina remota non saprà nemmeno cosa è successo, ma in background il comando Gpupdate aggiornerà i criteri per l'utente e per il computer e applicherà le impostazioni perse. Si potrebbe pensare che il comando PsExec debba essere eseguito con l'opzione -i per aggiornare i criteri specifici dell'utente per gli utenti remoti, ma i test mostrano che ciò non è necessario.
Script COMANDO FLEX
Quindi, il metodo sopra menzionato consente di aggiornare i criteri per un singolo utente o computer, ma per quanto riguarda l'aggiornamento di un'intera unità organizzativa (OU) utilizzando PsExec e Gpupdate insieme? A questo scopo, ho creato uno script demo per mostrare alcune delle possibilità che possiamo sfruttare attraverso lo scripting. Lo script si chiama FLEX COMMAND e può essere scaricato da qui. Puoi facilmente aprire il file HTA con un editor di testo come Blocco note e vedere il codice, nessuna magia nascosta.
All'avvio, FLEX COMMAND si connette al dominio Active Directory AD del computer su cui è in esecuzione. Pertanto, deve essere eseguito su un computer membro del dominio, altrimenti l'unità organizzativa non verrà trovata.
Selezionare OU, lo strumento deve essere elaborato su macchine "vive" (che rispondono alle richieste WMI). L'ultima cosa da fare è inserire la riga di comando che vogliamo eseguire sulla macchina locale per ogni oggetto che si trova nell'unità organizzativa selezionata. La riga di testo “(C)” deve essere lasciata così com'è. verrà sostituito con il nome del computer durante l'esecuzione dello script.
Figura 2: COMANDO FLEX in azione
Supponiamo che l'unità organizzativa denominata "MyComputers" contenga solo 3 computer: Computer1, Computer2 e Computer3. Il comando che abbiamo digitato "psexec \\ (C) gpupdate" si traduce quindi in 3 seguenti comandi: "psexec \\ computer1 gpupdate", "psexec \\ computer2 gpupdate", "psexec \\ computer3 gpupdate" - tutti i comandi verranno eseguiti in sequenza (se i computer sono "vivi") e i criteri eliminati verranno aggiornati.
Lo strumento può essere modificato in modo che l'elenco dei computer provenga da un file (txt, csv, xls, ecc.), un database, un gruppo di sicurezza speciale in AD, utilizzando la selezione manuale dall'elenco. Anche il modo in cui viene eseguito lo script può essere modificato, è solo uno script demo, il cui scopo principale è mostrare le capacità che abbiamo.
Lo script è distribuito gratuitamente e puoi testarlo, utilizzarlo e modificarlo a tua discrezione - dettagli.
Strumentazione gestione Windows (WMI)
Ok, lo strumento PsExec è davvero eccezionale, ma ci sono metodi manuali che posso utilizzare per personalizzare meglio la soluzione per il mio ambiente? Sì, infatti c'è! WMI è molto potente e facile da usare dopo poche ore di studio. Se possiedi WMI e sei a tuo agio con i permessi del firewall e i diritti di amministratore, puoi fare quasi tutto nell'ambiente Windows, anche spegnere il computer in remoto, riavviare ed eseguire comandi remoti.
Ho creato un altro script a scopo dimostrativo chiamato OU GPUPDATE. Questo script HTA utilizza diverse tecniche: in realtà è una piccola modifica dello script FLEX COMMAND. Innanzitutto, analizza la struttura dell'unità organizzativa in AD (elenco a discesa in alto), offre agli utenti la possibilità di selezionare i computer dall'unità organizzativa, eseguire Gpupdate con "/ Target: User" o "/ Target: Computer" o nessun parametro in tutto. Per impostazione predefinita, saranno interessati solo i computer attivi (che rispondono alle richieste WMI).
Figura 3: selezionare ciò che deve essere aggiornato: Impostazioni utente, Impostazioni computer o entrambi
Questo script è gratuito e puoi testarlo, usarlo e modificarlo come meglio credi da qui.
Script remoto
Oltre a WMI, abbiamo la possibilità di utilizzare lo script remoto convenzionale (VBScript). Questo può essere abilitato impostando un solo valore nella parte HKLM del registro del computer e il motore di scripting deve supportare lo script remoto e da quel momento in poi tutto il resto diventa abbastanza ovvio. La procedura consiste nel copiare il file di script sul computer remoto (questo script deve utilizzare Gpupdate) e quindi inviare un comando VBScript che esegue lo script in remoto.
RPGREFRESH
RGPREFRESH è uno strumento sviluppato da Daren Mar-El. Il suo strumento utilizza WMI ed esegue Secedit o Gpupdate a seconda del sistema operativo sulla macchina remota, con le chiavi selezionate dall'utente. Queste chiavi forniscono le stesse funzionalità di quando si utilizza questo strumento localmente.
Questo strumento elabora una macchina alla volta, ma insieme a uno strumento chiamato FLEX COMMAND (come shell), questo strumento può essere utilizzato per un'intera unità organizzativa con pochi clic ... Sia RGPREFRESH che PsExec possono essere utilizzati anche con DSQUERY , FOR e altre utilità della riga di comando su più di un computer alla volta.
Figura 4: parametri per RGPREFRESH
Questo strumento può essere scaricato gratuitamente da questa pagina.
Specops Gpupdate
Special Operations Software, Specops, una società di software internazionale, offre prodotti di gestione di Active Directory basati sulla tecnologia dei criteri di gruppo. L'azienda ha rilasciato la propria soluzione per gli aggiornamenti dei criteri remoti e la parte migliore è che è completamente gratuita. La versione corrente di Specops Gpupdate è 1.0.2.13 (2006-10-25) e l'utilità stessa può essere scaricata da qui. Questo strumento non solo ha le funzionalità che abbiamo sviluppato negli scenari sopra menzionati, ma aggiunge anche diverse capacità di controllo. Diamo un'occhiata a questa grande utilità ...
Installazione di Specops Gpupdate
L'installazione di un'applicazione MSI è molto semplice: tutto ciò che serve sono utenti e computer MMC Active Directory Users & Computers (ADUC), nonché Microsoft .NET Framework versione 2.0.
Figura 5: Il processo di installazione è semplice come installare i pacchetti MSI (fare clic su Avanti, Avanti, Avanti)
Dopo aver installato il file MSI nella GUI, nulla cambia la GUI e solo con l'aiuto di "Aggiungi / Rimuovi programmi" puoi scoprire che Specops è installato sulla nostra macchina. Pertanto, dobbiamo fare un lavoro aggiuntivo per la trasformazione magica ...
Estensione per utenti e computer di Active Directory
Dopo aver installato Specops Gpupdate nella foresta AD, è necessario eseguire un comando speciale
“% CommonProgramFiles% \ Specopssoft \ Specops ADUC Extension \ SpecopsAducMenuExtensionInstaller.exe” / aggiungi
Questo non è un aggiornamento dello schema, anche se è necessario disporre dei diritti di amministratore aziendale per eseguire questo comando. Questo comando è completamente reversibile, basta eseguirlo di nuovo con l'opzione "/ remove". Tutto ciò che fa è registrare i cosiddetti "Specificatori di visualizzazione" per migliorare la visualizzazione con ADUC.
Quindi fai clic con il pulsante destro del mouse sull'oggetto OU o Computer e vedrai apparire quattro nuovi comandi: Gpupdate, Restart, Shut down e Start. È possibile effettuare una selezione di più computer e unità organizzative tenendo premuto il tasto e premendo il tasto destro del mouse sugli oggetti necessari.
Figura 6: ADUC MMC espanso
Se tu, come me, hai una domanda se le modifiche possono essere applicate anche a controller di dominio non DC, la risposta è sì! Dopo aver installato Windows Server 2003 Admin Pack Service Pack 1 Administration Tools Pack sul client Windows XP Professional, .NET Framework 2.0 e Specops Gpupdate, la console di amministrazione ha lo stesso aspetto di un controller di dominio e ha le stesse funzionalità.
Opzioni di aggiornamento di Gp
Il primo parametro che abbiamo ci permette di eseguire il comando Gpupdate in remoto su computer selezionati. Dopo aver selezionato Gpupdate, dobbiamo confermare la selezione, come mostrato in Figura 7, e selezionare l'opzione use force se vogliamo usare l'impostazione del guadagno.
Figura 7
Dopo aver cliccato sul pulsante OK, apparirà un grafico dinamico, vedi Figura 8, oltre a un report sullo stato di avanzamento dell'aggiornamento.
Figura 8
Opzioni di riavvio e spegnimento
I prossimi due parametri, "Riavvia" e "Spegni", sono molto importanti da controllare, quindi ne abbiamo bisogno proprio in ADUC. Possiamo eseguire il comando di riavvio o spegnimento e anche impostare l'intervallo di tempo in secondi che viene dato all'utente per chiudere tutte le applicazioni in esecuzione. Scrivere uno script che fa lo stesso non è molto difficile usando WMI o usando il comando Shutdown.exe con i tasti corretti, ma grazie a Specops Gpupdate, otteniamo questa funzionalità completamente gratuita, senza tempo o fatica.
Figura 9: finestra di dialogo del messaggio di riavvio
Parametro di avvio L'ultimo dei quattro parametri si chiama 'Start' ed è in realtà la funzionalità Wake on LAN o WOL incorporata nell'ADUC. Dopo aver selezionato e confermato questa opzione, vedi Figura 10, i cosiddetti pacchetti Magic verranno inviati agli indirizzi MAC dei computer client e inizieranno il download. Perché WOL funzioni, la funzionalità corrispondente deve essere supportata dal BIOS dei computer. Specops Gpupdate interagisce con i server DHCP Microsoft nell'azienda per trovare le informazioni necessarie per avviare questo processo, quindi è possibile attivare i client DHCP e solo su una rete con server DHCP Microsoft installati.
Figura 10: Conferma avvio remoto WOL
A proposito, puoi anche usare script per WOL, gli esempi di tale codice vanno oltre lo scopo di questo articolo.
Conclusione
Abbiamo esaminato diversi modi in cui è possibile applicare criteri di gruppo ai computer remoti. Quale metodo è il migliore per te dipende dal tuo ambiente. Personalmente, amo lo scripting, ma perché lavorare sodo su ciò che altre persone hanno già creato? Ho due risposte a questa domanda. In primo luogo, durante la scrittura di tali scenari, apprendiamo, e il secondo - condizioni speciali o su misura. Lo scripting migliora le nostre capacità di professionisti IT e ci consente inoltre di personalizzare soluzioni pronte all'uso per adattarsi meglio a condizioni specifiche.
Specops ha sviluppato un'ottima utility gratuita che svolge la funzione di base di aggiornare le politiche sui client di rete. Ti consiglio di provarlo!
Fonte www.windowsecurity.com
