Как отключить службу клиент групповой политики
Содержание:
- Примеры использования
- Установка ПО
- Настройка клиентов
- Как использоваться инструментом Group Policy Results (GPResult.exe)?
- Ссылки
- Обновление групповой политики
- Все опции: GPResult
- Настройка обновления с помощью Редактора локальной групповой политики
- Правило пути
- Сброс локальных политик с помощью консоли gpedit.msc
- Как обновить GPO через PowerShell
- Ректальное администрирование: Основы для практикующих системных АДминистраторов
- Как в Windows 10 принудительно обновить локальные политики без перезагрузки
- Используйте командную строку
- Политики приложений
Примеры использования
Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.
Разрешение и запрет запуска программ
Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:
- Запретить доступ к средствам редактирования реестра
- Запретить использование командной строки
- Не запускать указанные приложения Windows
- Выполнять только указанные приложения Windows
Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.
В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.
Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».
Изменение параметров контроля учетных записей UAC
В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.
Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).
Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.
Сценарии загрузки, входа в систему и завершения работы
Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.
Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.
В качестве скриптов можно использовать командные файлы .bat или же файлы сценариев PowerShell.
Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.
Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».
Например, мне нужно создать сценарий, выполняемый при загрузке: я дважды кликаю по «Автозагрузка» в сценариях конфигурации компьютера, нажимаю «Добавить» и указываю имя файла .bat, который следует выполнить. Сам файл должен находится в папке C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup (этот путь можно увидеть по нажатию кнопки «Показать файлы»).
В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.
Установка ПО
JRE 1.6
- Перейти к C:\Documents and Settings\<пользователь>\Local Settings\ApplicationData\Sun\Java\jre1.6.0_05\ (для Windows XP), C:\Users\<пользователь>\AppData\LocalLow\Sun\Java\jre1.6.0_05\jre1.6.0_05.msi (для Windows 7)
- Скопировать папку с .msi, .cab и др. в общую папку,
- В качестве файла политики приложения использовать .msi.
OpenOffice & LibreOffice
- перейти к папке с содержимым архива;
- скопировать установочные файлы в общую папку (или DFS шару) на сервере;
- В качестве файла политики приложения использовать .msi внутри каталога.
Mozilla Firefox и настройка его параметров средствами GPO
Берем с него актуальные версии MSI-установщика Firefox Community Edition и административного шаблона firefox.adm
Внимательно смотрим на то, что скачали с сайта и убеждаемся, что огнелис все-таки с суффиксом «CE», это важно.
Деплоим FF средствами домена.
Создаем соответствующую политику, добавляем в нее шаблон firefox.adm.
Правим административный шаблон по своему желанию.
Применяем политику (gpupdate /force).
Kaspersky Antivirus 6.0
Распаковываем дистрибутив в общую папку, в нее же (рядом с msi-файлом) кладем лицензионный ключ и конфигурационный файл с именем Install.cfg (имя важно!).
Установка касперского без GPO со всем настройками:
http://forum.kaspersky.com/lofiversion/index.php/t47801.html
Настройка клиентов
И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.
Групповая политика (GPO)
Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:
- Для тестовой группы.
- Для серверов.
- Для рабочих станций.
Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Центр обновления Windows. Стоит настроить следующие политики:
Название политики
Значение
Описание
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений
Включить
Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений.
Настройка автоматического обновления
Включить.
Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки.
Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок.
Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда
Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки.
Указать размещение службы обновлений Microsoft в интрасети
Включить.
Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 *
Настройка говорит клиентам, на каком сервере искать обновления.
Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях
Включить
Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям.
Не выполнять автоматическую перезагрузку, если в системе работают пользователи
Включить
Позволит избежать ненужных перезагрузок компьютера во время работы пользователя.
Повторный запрос для перезагрузки при запланированных установках
Включить и выставить значение в минутах, например, 1440
Если перезагрузка была отложена, необходимо повторить запрос.
Задержка перезагрузки при запланированных установках
Включить и выставить значение в минутах, например, 30
Дает время перед перезагрузкой компьютера после установки обновлений.
Разрешить клиенту присоединяться к целевой группе
Включить и задать значение созданной в WSUS группе компьютеров:
— Рабочие станции
— Серверы
— Тестовая группа
Позволяет добавить наши компьютеры в соответствующую группу WSUS.
* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.
Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.
Настройка клиентов через реестр Windows
Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.
Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:
- WUServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
- WUStatusServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
- TargetGroupEnabled, REG_DWORD — значение 1
- TargetGroup, REG_DWORD — значение целевой группы, например, «Серверы».
Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:
- AUOptions, REG_DWORD — значение 2
- AutoInstallMinorUpdates, REG_DWORD — значение 0
- NoAutoUpdate, REG_DWORD — значение 0
- ScheduledInstallDay, REG_DWORD — значение 0
- ScheduledInstallTime, REG_DWORD — значение 3
- UseWUServer, REG_DWORD — значение 1
После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:
wuauclt.exe /detectnow
Как использоваться инструментом Group Policy Results (GPResult.exe)?
Команду GPResult необходимо запустить на компьютере, на котором вы хотите проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:
GPRESULT [/S [/U ]] [/R | /V | /Z] [(/X | /H) ]
Чтобы получить подробную информацию о групповых политиках, применённых к пользователю или компьютеру, а также о других параметрах, относящихся к инфраструктуре GPO (итоговые параметры политики GPO — RsoP), выполните следующую команду:
Gpresult / r
Результаты этой команды разделены на два раздела:
- Конфигурация компьютера — раздел содержит информацию об объектах GP, применённых к компьютеру (как объект Active Directory);
- Конфигурация пользователя — это раздел политики пользователя (политики, применённые к учётной записи пользователя AD).
Давайте кратко рассмотрим основные настройки/разделы в выходных данных GPResult, которые могут нас заинтересовать:
- Имя сайта — это имя сайта AD, на котором расположен компьютер;
- CN — полное каноническое имя пользователя/компьютера, для которого были сгенерированы данные RSoP;
- Последнее применение групповой политики — время последнего применения групповых политик;
- Групповая политика была применена с — это имя контроллера домена, с которого была загружена последняя версия GPO;
- Имя домена и Тип домена — это имя и номер версии схемы домена Active Directory;
- Примененные объекты групповой политики — это списки применённых объектов групповой политики;
- Следующие политики GPO не были применены, так как они отфильтрованы — это объекты групповой политики, которые не применялись или были отфильтрованы;
- Пользователь является членом следующих групп безопасности — это группы домена, членом которых является пользователь.
В этом примере вы можете видеть, что к объекту пользователя применены 4 групповые политики.
- Disable Cached Credentials (Отключить кешированные учётные данные);
- DNS Suffix Search List (Список поиска DNS-суффиксов);
- Enable Windows Firewall (Включить брандмауэр Windows);
- Default Domain Policy (Политика домена по умолчанию).
Если вы не хотите одновременно отображать информацию о политиках пользователя и компьютера, вы можете использовать параметр /scope, чтобы отображать только нужный раздел. Только результирующая политика пользователя:
gpresult /r /scope:user
или только применяемые компьютерные политики:
gpresult /r /scope:computer
Поскольку инструмент Gpresult отображает свои данные непосредственно в командной строке, что не всегда удобно для дальнейшего анализа, вывод можно перенаправить в буфер обмена:
Gpresult /r | clip
или текстовый файл:
Gpresult /r > c:\ps\gpresult.txt
Чтобы отобразить сверхдетальную информацию RSOP, вам нужно добавить ключ /z:
Gpresult /r /z
Ссылки
Сеть |
||||||||||
---|---|---|---|---|---|---|---|---|---|---|
|
Windows |
||||||||||
---|---|---|---|---|---|---|---|---|---|---|
|
Обновление групповой политики
Сегодня мы предлагаем Вам узнать, как правильно обновлять групповые политики.
Изменения, вносимые в групповую политику, сохраняются немедленно, но применяются позже. Клиентские компьютеры запрашивают параметры политик в следующие моменты:
• при регистрации пользователя;
• когда приложение или пользователь явно запросили обновление;
• когда истек заданный интервал обновления групповой политики. Параметры конфигурации компьютера применяются при запуске ОС.
Параметры конфигурации пользователя применяются при входе пользователя в систему.
Поскольку параметры пользователя применяются позже параметров компьютера, по умолчанию приоритет конфигурации пользователя оказывается выше, чем у конфигурации компьютера.
Это означает, что при возникновении конфликта между параметрами компьютера и параметрами пользователя, применены будут параметры пользователя.
После применения параметров политики их обновление производится автоматически, чтобы всегда использовалась текущая версия.
Интервал обновления на контроллере домена по умолчанию равен 5 минутам, на всех остальных компьютерах – 90 минут с получасовой вариацией, чтобы не перегрузить контроллер домена массовыми одновременными клиентскими обращениями.
То есть, по сути, эффективное окно обновления на обычном компьютере (не контроллере домена) составляет от 90 до 120 минут.
Обновляя групповую политику, клиентский компьютер обращается к доступному контроллеру домена из локального сайта.
Если один или несколько объектов политики в домене изменились, контроллер домена предоставляет список всех объектов политики, примененных к данному компьютеру и к зарегистрированному в данный момент пользователю, независимо от того изменились ли номера версий объектов политики из этого списка.
По умолчанию компьютер обрабатывает объекты политики, только если изменился номер версии хотя бы одного объекта. Если изменена хотя бы одна связанная политика, обрабатывать приходится все политики – из-за наследования и взаимозависимостей между политиками.
Важным исключением из этого правила являются параметры безопасности. По умолчанию они обновляются каждые 16 часов (960 минут) независимо от изменений в объектах политики.
К интервалу обновления добавляется случайный 30-минутный сдвиг, чтобы сократить нагрузку на сеть и контроллеры домена (в результате эффективное окно обновления составляет от 960 до 990 минут).
Кроме того, если клиентский компьютер обнаруживает, что скорость сетевого подключения невысока, он уведомляет об этом контроллер домена, и по сети передаются только параметры безопасности и административные шаблоны. Соответственно, по умолчанию и применяются в медленной сети только они. При помощи политики способ использования медленной сети можно изменить.
Следите за соответствием между интервалом обновления и реальной частотой внесения изменений в политики. Если политика изменяется редко, окно обновления стоит увеличить, чтобы сократить нагрузку на ресурсы.
Интервал обновления задается отдельно для каждого объекта политики. Чтобы задать интервал обновления на контроллере домена, выполните следующие действия:
1. В GPMC щелкните правой кнопкой объект групповой политики, который хотите отредактировать, и выберите команду Изменить (Edit). Этот GPO должен быть связан с контейнером, содержащим объекты контроллеров домена.
2. Дважды щелкните политику Интервал обновления групповой политики для контроллеров домена (Group Policy Refresh Interval For Domain Controllers) в узле Конфигурация компьютера\Административные шаблоны\Система\Групповая политика (Computer Configuration\Administrative TempIates\System\Group Policy). Откроется диалоговое окно свойств политики.
3. Установите переключатель Включен (Enabled). Задайте базовый интервал обновления в первом счетчике Минуты (Minutes). Обычно его значение заключено между 5 и 59 минутами.
4. Во втором счетчике Минуты (Minutes) задайте минимальную и максимальную величину вариации интервала обновления. Вариация, по сути, создает окно обновления, позволяющее сократить нагрузку на сервер от одновременных клиентских обращений. Щелкните ОК.
Предлагаю Вам хорошее решение для Вашего будущего – Недвижимость в Чувашской республике из рук в руки в Мариинском Посаде. Вложение средств в недвижимость было и остаётся довольно привлекательным. Если не собираетесь жить в купленной квартире, или купленном доме – то недвижимость всегда можно выгодно сдать.
Все опции: GPResult
GPResult отображает результирующую политику (RSoP) для указанного пользователя и компьютера.
Использование:
GPRESULT [/S [/U ]] [/R | /V | /Z] [(/X | /H) ]
Список параметров:
/S <система> Подключаемый удаленный компьютер. /U <пользователь> Указание пользовательского контекста, в котором должна выполняться эта команда. Нельзя использовать с /X и /H. /P [] Пароль для этого пользовательского контекста. Запрос данных, если они не указаны. Невозможно использовать с /X и /H. /SCOPE <область> Определение области отображения данных: параметры пользователя или компьютера. Допустимые значения: "USER", "COMPUTER". /USER <пользователь> Пользовательский контекст, для которого следует отображать данные RSoP. /X <имя_файла> Сохранение отчета в XML-формате в расположении и с именем файла, заданным параметром <имя_файла>. (Допустимо в Windows Vista с пакетом обновления 1 (SP1) и выше, а также в Windows Server 2008 и выше) /H <имя_файла> Сохранение отчета в HTML-формате в расположении и с именем файла, заданным параметром <имя_файла>. (Допустимо в Windows Vista с пакетом обновления 1 (SP1) и выше, а также в Windows Server 2008 и выше) /F Указывает программе Gpresult перезаписать файл с именем, указанным в команде /X или /H. /R Отображение сводных данных RSoP. /V Отображение подробной информации. Подробная информация содержит сведения о параметрах, примененных с приоритетом 1. /Z Отображение сверхподробной информации. Сверхподробная информация содержит сведения о параметрах, примененных с приоритетом 1 и выше. Это позволяет увидеть, не был ли параметр задан одновременно в нескольких местах. Более подробная информация приведена в справке по групповой политике. /? Вывод справки по использованию.
Примеры запуска GPRESULT:
GPRESULT /R GPRESULT /H GPReport.html GPRESULT /USER targetusername /V GPRESULT /S system /USER targetusername /SCOPE COMPUTER /Z GPRESULT /S system /U username /P password /SCOPE USER /V
Настройка обновления с помощью Редактора локальной групповой политики
Запускаем Редактор локальной групповой политики нажав на клавиатуре сразу две клавиши WIN+R
gpedit.msc
и нажимаете ОК.
Групповая политика обновления Windows 10
Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Центр обновления Windows
. Нажимаете на последний пункт Центр обновления Windows и затем в правой части находите пункт Настройка автоматического обновления
и изменяете его настройки.
Для этого в открывшемся окне нужно вверху поставить точку у пункта Включено, а затем ниже установите настройки обновления. Нажмите кнопку ОК. Затем чтобы сделанные вами настройки заработали откройте Параметры системы — Обновление и безопасность — Центр обновления Windows
и нажмите кнопку Проверка наличия обновлений
.
После этого сделанные вами настройки в Редакторе локальной групповой политики вступят в силу.
Правило пути
Идентифицирует исполняемое приложение по его местоположению. Может содержать имя каталога или полный путь к исполняемой программе. Используется как локальный путь, так и универсальный путь в формате UNC. Допустимо применение переменных среды и подстановочных знаков «?» для любого единичного символа и «*» для любого количества символов.
Правило пути
Путь можно ввести вручную в соответствующее поле или воспользоваться кнопкой Обзор.
Кроме указания самих путей в явном виде, допускается указание пути в реестре. Такая возможность полезна в том случае, когда у пользователя существует возможность установить приложение в неопределенное заранее место файловой системы компьютера, а программа хранит пути к своим рабочим каталогам в реестре. Правило будет просматривать соответствующую ветвь реестра, и при его совпадении будет производиться заданное в правиле действие – разрешение или запрет на запуск. Путь в реестре должен быть заключен между знаками «%». Он может содержать в окончании пути подстановочные знаки и использовать переменные среды. Не допускается использовать сокращения HKLM и HKCU (должен использоваться полный формат в виде HKEY_LOCAL_MACHINE), путь не должен заканчиваться символом «\» непосредственно перед закрывающим знаком «%» в правиле. Параметр реестра может быть типа REG_SZ или REG_EXPAND_SZ. По умолчанию, при активировании политик ограниченного использования программ создается четыре разрешающих правила пути в реестре.
Правило пути в реестре
Они позволяют выполнить гарантированный запуск необходимых для работы ОС программ и служб, и при необходимости могут быть отредактированы. Если программа соответствует сразу нескольким определенным правилам пути, высший приоритет будет иметь то из них, которое наиболее точно описывает данную программу.
Очень удобное для использования правило пути имеет один существенный недостаток, значительно ограничивающий его применение. Поскольку оценка программы производится только по ее местоположению, придется постоянно учитывать права доступа пользователя к файловой системе. Если учетная запись пользователя позволяет копировать и переименовывать файлы, он с легкостью может обойти это правило, просто переименовав приложение, а затем переместив его в нужное место файловой системы.
Сброс локальных политик с помощью консоли gpedit.msc
Откройте консоль управления локальными групповыми политиками gpedit.msc .
Перейдите в раздел All Settings системных локальных политик безопасности (Local Computer Poice -> Computer Configuration — > Administrative templates). Данные раздел содержит список всех политик, доступных к конфигурированию в административных шаблонах. Отсортируйте политики по столбцу State (состояние) и найдите все активные политики (состояние Disabled и Enabled). Отключите действие всех или только определенных политик, переведя их в состояние Not configured (Не задана).
Такие же действия нужно провести и в разделе пользовательских политик (User Configuration). Таким образом можно отключить действие всех административных групповых политик.
Совет. В том случае если вам нужно совсем отключить действие доменных политик на компьютер, рекомендуем статью Отключить применение доменных GPO в Windows 7.
Указанный выше способ сброса групповых политик в Windows подойдет для самых «простых» случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам, например: невозможности запуску оснастки gpedit.msc или вообще всех программ, потери пользователем прав администратора системы, или запрета на вход в систему. Рассмотрим эти случаи подробнее.
Как обновить GPO через PowerShell
Оболочка PowerShell так же имеет отдельный командлет, который легко может инициировать запрос на обновление групповой политики, называется он Invoke-GPUpdate.
Invoke-GPUpdate — это командлет обновляющий параметры групповой политики, включая настройки безопасности, которые установлены на удаленных компьютерах с помощью планирования хода выполнения команды Gpupdate. Вы можете комбинировать этот командлет по сценарию, чтобы запланировать команду Gpupdate на группе компьютеров. Обновление может быть запланировано для немедленного запуска параметров политики или ожидания в течение определенного периода времени, максимум до 31 дня. Чтобы избежать нагрузки на сеть, время обновления будет смещено на случайную задержку.
Давайте запросим обновление политик GPO на моем тестовом сервере с Windows Server 2021, для этого запускаем оболочку PowerShell и вводим команду:
Invoke-GPUpdate –RandomDelayInMinutes 0
Ключ –RandomDelayInMinutes 0 установит задержку в выполнении на ноль секунд, в противном случае обновление будет выполнено рандомно, через некоторое время.
Обратите внимание, что командлет не выдает никаких результатов, если все работает нормально. В некоторых случаях ваши пользователи могут увидеть всплывающее окно командной строки с заголовком taskeng.exe, которое отображает сообщение «Политика обновления»
Через секунду окно исчезает.
Если нужно произвести обновление на удаленном компьютере, то нужно воспользоваться ключом -Computer, команда примет вот такой вид:
Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org –RandomDelayInMinutes 0
Если нужно выполнить принудительно без запроса подтверждения пользователя, то укажите ключ -Force.
Если нужно указать явно, что необходимо запросить политики только для пользователя или компьютера, то можно использовать ключ -Target, который имеет значения User или Computer. Кстати если удаленный компьютер не отвечает, то вы получите ошибку:
Invoke-GPUpdate : Компьютер «dc01.root.pyatilistnik.org» не отвечает. Целевой компьютер выключен или отключены правила брандмауэра удаленного управления запланированными задачами (Invoke-GPUpdate : Computer «dc01.root.pyatilistnik.org» is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.). Имя параметра: computer строка:1 знак:1 + Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org -Target User –Ra … + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : OperationTimeout: (:) , ArgumentException + FullyQualifiedErrorId : COMException,Microsoft.GroupPolicy.Commands .InvokeGPUpdateCommand
Еще одним преимуществом командлета PowerShell является то, что у вас есть больше возможностей в выборе машин, которые вы хотите обновить. Например, с помощью приведенной ниже команды вы должны выбрать все компьютеры, которые начинаются с «Note*«.
Get-ADComputer –Filter ‘Name -like «Note*»‘ | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Если нужно выбрать все компьютеры, то ставим звездочку «*»
Get-ADComputer –Filter * | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
При желании вы можете найти все компьютеры по версиям операционных систем и сделать обновление групповых политик по данному критерию.
Не забываем, что можно ограничить поиск отдельным организационным подразделением, для этого есть ключ -Searchbase и команда примет вот такой вид:
Get-ADComputer –Filter * -Searchbase «OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org» | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Еще вы можете подготовить текстовый файл со списком серверов, который так же можно через цикл обработать, вот по такому принципу:
$comps = Get-Content «C:\temp\comps.txt» foreach ($comp in $comps) { Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0 }
Я также добавил здесь параметр -Force, чтобы обеспечить повторное применение параметров групповой политики, даже если клиент замечает, что новые версии GPO недоступны. Таким образом, когда мы говорим о принудительном обновлении групповой политики, мы на самом деле имеем в виду две разные вещи. Без параметра Force мы просто незамедлительно инициируем обновление; если мы добавим параметр Force, мы форсируем обновление, даже если обновлять нечего. Параметр Force вступает в игру, если вы считаете, что что-то пошло не так в предыдущем обновлении объекта групповой политики.
Ректальное администрирование: Основы для практикующих системных АДминистраторов
Одной из самых популярных и зарекомендовавших себя методологий системного администрирования является так называемое ректальное. Редкий случай сопровождения и обслуживания информационных систем, инфраструктуры организации обходится без его использования. Зачастую без знания данной методологии сисадминам даже бывает сложно найти работу в сфере ИТ, потому что работодатели, особенно всякие аутсорсинговые ИТ фирмы, в основном отдают предпочтение классическим, зарекомендовавшим себя методикам, а не новомодным заграничным веяниям: практикам ITIL, нормальным ITSM и прочей ерунде.
Как в Windows 10 принудительно обновить локальные политики без перезагрузки
Во всех популярных редакциях Windows 10 выше Home имеется встроенный инструмент администрирования gpedit.msc или локальные групповые политики. Данный инструмент включает в себя широкий спектр политик (настроек) и предназначается для принудительного изменения базовой конфигурации операционной системы и учетных записей. Реализован он в виде консоли управления MMC с достаточно удобным и интуитивно понятным графическим интерфейсом.
После изменения ряда политик компьютер необходимо перезагрузить или выждать от 30 до 90 минут, чтобы новые настройки смогли вступить в силу, но вы можете заставить их работать сразу, сэкономив время и избавив себя от необходимости перезапускать систему.
Давайте же посмотрим, как это можно сделать.
Всё довольно просто, если вы хотите обновить все политики сразу, откройте от имени администратора PowerShell или командную строку и выполните команду gpupdate /force .
Эта команда «перезапустит» политики и компьютера, и пользователей.
А теперь представим, что вы хотите обновить лишь определенную категорию политик, скажем, только именные политики пользователя. И тут ничего сложного, просто к команде gpupdate добавляется соответствующий ключ. А чтобы всё было ясно, приводим примеры:
• gpupdate /target:computer — Обновляет только измененные политики компьютера. • gpupdate /target:user — Обновляет только измененные пользовательские политики.
Если же вы хотите обновить все политики только пользователя или только компьютера, добавьте в конец каждой команды через пробел ключ /force.
К слову, всем тем, кто пользуется редактором локальных групповых политик не помешает ознакомиться и с другими полезными ключами утилиты gpupdate.exe .
Если у вас включена защита системы, через определенное время и перед установкой вносящего серьезные изменения Читать далее
На этой неделе в сеть утекла очередная мажорная версия Windows под индексом 11, выход которой Читать далее
Меню «Пуск» в Windows 10 – верх эволюции этого меню на данный момент, оно самое Читать далее
При подключении различных внешних устройств к компьютеру – флешек, внешних дисков, камер, карт памяти, мобильных Читать далее
1 комментарий
Извиняюсь, что отфтоп, но боюсь под статьей 3 летней давности уже нет смысла писать — вы как-то писали про изменение параметров отображения exe файлов в области сведений через реестр, но в случае с папками там не отображается их размер и кол-во файлов внутри, а в тупую адаптировать способ в статье под папки не удалось, хотел спросить совета, как это исправить.
Используйте командную строку
Если у вас не получается использовать вышеописанный метод, вы также можете попробовать автономный установщик Windows или программу командной строки wusa.exe. Для этого вам нужно знать номер КБ. Если вы не знаете его, следуйте руководству изложенному выше, чтобы получить весь список апдейтов.
Запустите командную строку с повышенными правами (admin), а затем введите оператор, указанный ниже после замены идентификатора КБ на тот, который вы хотите убрать:
wusa / uninstall / kb:
Пример:
Если вы хотите еще и перезагрузить компьютер, введите эту команду:
wusa / uninstall / kb: / quiet / promptrestart
Если вы не хотите принудительно перезагружать систему, наберите:
wusa / uninstall / kb: / quiet / norestartИспользование этого инструмента особенно полезно для системных администраторов, которые хотят отключить Update для большого количества компьютеров с помощью сценариев входа или других автоматических методов.
Политики приложений
С помощью Group Policy можно реализовать два варианта развертывания приложений:
- Публикация — приложение появляется в оснастке Add or Remove Programs панели управления, так что вопрос о том, следует ли устанавливать данное приложение, решает сам пользователь.
- Назначение — приложение появляется в меню Start на рабочем столе пользователя, как если бы оно уже было установлено. Затем, когда пользователь запускает приложение в первый раз, программа установки выполняет процедуру оперативной инсталляции (just-in-time — JIT- installation) программы из сетевой общедоступной дистрибутивной папки.