Примусове поновлення політики. Як прискорити процес поновлення політики груп. Розширення для Active Directory User & Computers

Головна / Налаштування

Вирішив, що потрібно написати коротку статтю, на яку можна і потрібно буде часто посилатися. І тема цієї статті — як оновити групову політику.

Навіщо треба вручну оновлювати політику?

Коли це може стати в нагоді? Майже завжди, коли Ви змінюєте якийсь параметр у будь-якій політиці. Ні, не думайте, що політика повинна оновлюватися тільки вручну. Насправді вона автоматично оновлюється. Раз на півтори години! Уявіть, Ви змінили якусь політику і чекаєте на півтори години, щоб перевірити, чи працює вона саме так, як Вам хотілося. Маячня, чи не так?

Звичайно, марення. Тому існує спосіб змусити комп'ютер оновити групові політики вручну. А перед цим небагато теорії. Як відомо, політики поділяються на дві великі групи:

політики комп'ютера
політики користувача

Політики з першої групи застосовуються до всіх користувачів комп'ютера, тоді як політики з другої групи лише для окремих користувачів. Так ось, при завантаженні комп'ютера завантажуються одразу й групові політики. Причому зчитування всіх політик відбувається з нуля, що забезпечує застосування останніх змін. А ось політики користувача перевіряються та завантажуються при вході користувача до системи.

Знаючи ці факти, ось Вам і рішення. Щоб змінити політику користувача набрали чинності, вийдіть і знову увійдіть в систему. Якщо потрібно оновити політику комп'ютера, перезавантажте комп'ютер. Жарт.

Команда для оновлення локальної групової політики

Описані способи, звичайно, приведуть до потрібного результату, але вони досить дурні. Адже є одна чудова утиліта командного рядкапід назвою gpupdate.Загалом, щоб оновити групову політику, вистачає команди:

Gpupdate /force

Ось такою простою дією можна швидко оновити політики комп'ютера.

Налаштування політики оновлень Windows 10 це налаштування способу отримання оновлень у Windows 10. У Windows 10 параметри центру оновлень перенесли з Панелі керування до Параметри системи. У Windows 10 немає таких налаштувань як в Панелі керування і тому не стало можливості відключати оновлення або вибирати спосіб їх отримання. Однак за допомогою Редактора реєстру та Редактора локальної групової політики можна вимкнути оновлення та встановити спосіб їх отримання.

Налаштування оновлення за допомогою Редактора локальної групової політики

Запускаємо Редактор локальної групової політики, натиснувши на клавіатурі відразу дві клавіші WIN+R gpedit.mscта натискаєте ОК.

Групова політика оновлення Windows 10

Конфігурація комп'ютера – Адміністративні шаблони – Компоненти Windows– Центр оновлення Windows. Натискаєте на останній пункт Windows Update, а потім у правій частині знайдіть пункт Налаштування автоматичного оновлення та змінюєте його налаштування.

Налаштування оновлень Windows 10 групові політики

Для цього у вікні потрібно вгорі поставити крапку у пункті Увімкнено, а потім нижче встановіть налаштування оновлення. Натисніть кнопку ОК. Потім, щоб зроблені вами налаштування запрацювали відкрийте Параметри системи — Оновлення та безпека — Windows Updateта натисніть кнопку Перевірка наявності оновлень.

Закінчивши налаштування політик Windows 10, запустіть оновлення

Після цього налаштування в Редакторі локальної групової політики набудуть чинності.

Налаштування оновлень за допомогою Редактора реєстру

Запускаємо Редактор реєстру, натиснувши на клавіатурі відразу дві клавіші WIN+R. Відкриється вікно Виконати в яке вписуєте команду regeditта натискаєте ОК.

Відкрийте Редактор реєстру та створіть там чотири параметри для керування Оновленнями Windows 10

У лівій частині вікна редактора відкриваємо HKEY_LOCAL_MACHINE - SOFTWARE - Policies - Microsoft - Windows. Наведіть курсор на останній пункт Windowsта натисніть праву кнопку миші. У контекстному меню вибираєте Створити - Розділ. Новий розділ назвіть WindowsUpdate.
Потім наведіть курсор на тільки те, що створений розділ WindowsUpdate і знову створіть розділ який назвіть AU.
Потім наведіть курсор на тільки, що створений розділ AU і натисніть праву кнопку миші і у меню виберіть Створити – Параметр DWORD (32-біта). Новий створений параметр з'явиться у правій частині вікна, назвіть його AUOptions. Таким же чином навівши курсор на розділ AU, створіть ще три параметри і назвіть перший NoAutoUpdate, другий ScheduledInstallDay, а третій ScheduledInstallTime(опціонально NoAutoRebootWithLoggedOnUsers). Тепер у цих чотирьох новихпараметри потрібно змінити значення.

Для параметра AUOptions

2 — Отримувати сповіщення перед інсталяцією та завантаженням будь-яких оновлень.
3 — Автоматично отримувати оновлення та сповіщення про їх приготування.
4 — Автоматично отримувати та інсталювати оновлення за розкладом.
5 — Дозволити локальним адміністраторам самим вибирати режим оновлення та сповіщення.

Для параметра NoAutoUpdate

0 — Увімкнено автоматичне встановленняоновлень, які будуть завантажуватися та встановлюватися в залежності від зроблених налаштувань у параметрі AUOptions.
1 — Вимкнено автоматичне встановлення оновлень.

Для параметра ScheduledInstallDay

0 — встановлення оновлень буде проводитися щодня при значенні 4 параметрів AUOptions.
1 — встановлення оновлень буде проводитися щопонеділка при значенні 4 параметра AUOptions.
2 — встановлення оновлень буде проводитися щовівторка при значенні 4 параметра AUOptions.
3 — встановлення оновлень буде проводитися щосереди при значенні 4 параметра AUOptions.
4 — встановлення оновлень буде проводитися щочетверга при значенні 4 параметра AUOptions.
5 — встановлення оновлень буде проводитися щоп'ятниці при значенні 4 параметра AUOptions.
6 — встановлення оновлень буде проводитися щосуботи при значенні 4 параметра AUOptions.
7 — встановлення оновлень буде проводитися щонеділі при значенні 4 параметра AUOptions.

Для параметра ScheduledInstallTime

Від 0 до 23 встановлюватимуться оновлення в стільки годин в залежності від встановленого параметра і при значенні 4 параметра AUOptions.

Для параметра NoAutoRebootWithLoggedOnUsers

0 — Після завершення інсталяції оновлень комп'ютер автоматично перезавантажиться, працює за 4 параметрами AUOptions.
1 — Після завершення інсталяції оновлень комп'ютер автоматично не перезавантажиться, працює за 4 параметрами AUOptions.

Після змін GPO необхідно деякий час (90 хвилин +/- 30) доки вони поширяться на інші системи, але якщо їх потрібно застосувати терміново, адмін реєструвався на віддаленій системі та виконував команду “ gpupdate”. За великої кількості ПК процес займав деякий час, та й сам процес незручний. Тепер про це можна забути. У консолі управління груповою політикою(GPMC) у контекстному меню домену та підрозділу з'явився новий пункт “ Оновлення групової політики” (Group Policy Update) дозволяє зробити оновлення політик систем починаючи з Windows Vista/2008 двома клацаннями мишки. Після активації завдання буде отримано список комп'ютерів та зареєстрованих користувачів, після чого створюється завдання “ Gpupdate.exe /force”. Щоб уникнути навантаження мережі, воно буде виконуватися з випадковою затримкою в інтервалі 0-10 хвилин. Результат виконання завдання відображається в окремому вікні, успішність оновлення можна визначити за допомогою майстра результуючої політики.
Нова функція отримала і свій командлет. Invoke-GPUpdate, що дозволяє віддалено оновити GP і дають навіть більші можливості, ніж GPMC. До речі, тепер за групові політики відповідає 27 командлетів, тобто. на один більше (отримати повний списокможна ввівши « Get-Command -Module GroupPolicy«).
Щоб негайно оновити політики на конкретній системі достатньо виконати:

PS> Invoke-GPUpdate - Computer< имя компьютера>

PS> Invoke-GPUpdate -Computer< имя компьютера>

Додатковий ключ –RandomDelayInMinutesдозволяє встановити інтервал очікування, що корисно, якщо команда буде виконана на декількох системах.
Але головне, в консолі GPMC можна вибрати лише підрозділ, окремого контейнера комп'ютери там немає. Ось тут і рятує Invoke-GPUpdate, який разом із командлетом Get-ADComputer, дозволяє відібрати системи за будь-яким критерієм:

PS> Get-ADComputer -filter * - Searchbase "cn=computers, dc=example,dc=org"| foreach ( Invoke- GPUpdate –computer $_ .name –force –- RandomDelayInMinutes 5 )

PS> Get-ADComputer -filter * -Searchbase "cn=computers, dc=example,dc=org" | foreach( Invoke-GPUpdate –computer $_.name –force –-RandomDelayInMinutes 5)

Ще важливий моментНа клієнтських системах необхідно відкрити кілька портів брандмауера. Щоб спростити життя адміну в MS запропонували 2 нові початкові політики (до 8 наявних), що дозволяють швидко створити та поширити потрібні налаштування:

— порти брандмауера для віддаленого оновлення групової політики;
- Порти брандмауера для звітів групової політики.

Призначення їх зрозуміло з назви. Нас цікавить перша. Рекомендується створити новий об'єкт групової політики та перемістити його на початок, привласнивши таким чином більший пріоритет, ніж об'єкт групової політики домену за замовчуванням.
Процес простий. Вибираємо домен і в меню пункт "Створити об'єкт групової політики у цьому домені". У вікні вводимо назву і вибираємо зі списку «Порти брандмауера для віддаленого оновлення групової політики». Як варіант можна скористатися PowerShell.