Способы обновления групповых политик Windows на компьютерах домена
В этой статье мы рассмотрим особенности обновления параметров групповых политик на компьютерах домена Active Directory: автоматическое обновление политик, команду GPUpdate , удаленное обновление через консоль Group Policy Management Console ( GPMC.msc ) и командлет PowerShell Invoke-GPUpdate .
Интервал обновления параметров групповых политик
Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).
Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:
- This setting allow you to customize how often Group Policy is applied to computer (от 0 до 44640 минут) – как часто клиент должен обновлять настройка GPO (если указать тут 0 – политики начнут обновляться каждые 7 секунд – не стоит этого делать);
- This is a random time added to the refresh interval to prevent all clients from requesting Group Policy at the same time (от 0 до 1440 минут) – максимальное значение случайного интервал времени, которые добавляется в виде смещения к предыдущему параметру (используется для уменьшения количества одновременных обращений к DC за файлами GPO от клиентов).
GPUpdate. exe – команда обновления параметров групповых политики
Всем администраторов знакома команда gpupdate.exe, которая позволяет обновить параметры групповых политик на компьютере. Большинство не задумываясь используют для обновления GPO команду gpupdate /force . Эта команда заставляет компьютер принудительно перечитать все политики с контроллера домена и заново применить все параметры. Т.е. при использовании ключа force клиент обращается к контроллеру домена и заново получает файлы ВСЕХ нацеленных на него политик. Это вызывает повышенную нагрузку на сеть и контроллер домена.
Простая команда gpudate применяет только новые/измененные параметры GPO.
Если все OK, должны появится следующие строки:
Можно отдельно обновить параметры GPO из пользовательской секции:
или только политики компьютера:
gpupdate /target:computer /force
Если некоторые политики нельзя обновить в фоновом режиме, gpudate может выполнить logoff текущего пользователя:
Или выполнить перезагрузку компьютера (если изменения в GPO могут применится только во время загрузки Windows):
Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
В консоли GPMC.msc (Group Policy Management Console), начиная с Windows Server 2012, появилась возможность удаленного обновления настроек групповых политик на компьютерах домена.
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools
Теперь после изменения настроек или создания и прилинковки новой GPO, вам достаточно щелкнуть правой клавишей по нужному Organizational Unit (OU) в консоли GPMC и выбрать в контекстном меню пункт Group Policy Update. В новом окне появится количество компьютеров, на которых будет выполнено обновление GPO. Подтвердите принудительное обновление политик, нажав Yes.
Затем GPO по очереди обновяться на каждом компьютере в OU и вы получите результат со статусом обновления политик на компьютерах (Succeeded/Failed).
- Открыт порт TCP 135 в Windows Firewall;
- Включены службы Windows Management Instrumentation и Task Scheduler.
Если компьютер выключен, или доступ к нему блокируется файерволом напротив имени такого компьютера появится надпись “The remote procedure call was cancelled”.
По сути этот функционал дает тот же эффект, если бы вы вручную обновили настройки политик на каждом компьютере командой GPUpdate /force .
Invoke-GPUpdate – обновление GPO из Powershell
Также вы можете вызвать удаленное обновление групповых политик на компьютерах с помощью PowerShell комнадлета Invoke-GPUpdate (входит в RSAT). Например, чтобы удаленно обновить пользовательские политики на определенном компьютере, можно использовать команду:
При запуске командлета Invoke-GPUpdate без параметров, он обновляет настройки GPO на текущем компьютере (аналог gpudate.exe).
В сочетании с командлетом Get-ADComputer вы можете обновить групповые политики на всех компьютерах в определенном OU:
или на всех компьютерах, которые попадают под определенный критерий (например, на всех Windows Server в домене):
При удаленном выполнении командлета Invoke-GPUpdate или обновления GPO через консоль GPMC на мониторе пользователя может на короткое время появиться окно консоли с запущенной командой gpupdate .
Как изменить интервал обновления групповой политики в Windows Server 2012 R2
Групповые политики обновляются автоматически, когда пользователь перезагружает компьютер, проходи авторизацию а также каждые 90 минут. Можно также принудительно обновить с помощью командной строки. Но если вам необходимо что бы групповая политик обновлялась чаще, нужно изменить эти настройки и указать необходимо время. Давайте на примере Windows Server 2012 R2 посмотрим как можно изменить интервал обновления групповой политики компьютера.
Настройка интервала обновлений GPO
И так, необходимо открыть «Управление групповой политикой» думаю как это сделать вы знаете. Дальше изменяем групповую политику по умолчанию «Default Domain Policy» либо любую другую. Кликае на ней ПКМ и выбираем «Изменить».
В открывшемся окне редакторока идем по следующему пути.
Далее в списке ищем «Установить интервал обновления групповой политики для компьютера» и открываем её.
Включаем её и указываем необходимое время. Только не указывайте в обоих пунтках одинаковое время. В этом случае все компьютеры сети будут обновятся одновременно и могут загрузить сеть. В пункте «Случайная величина, добавляемая к интервалу времени обновления» указываем минут на 15-20 больше.
Все сохраняем настройки.
Вообще без особой необходимости не стоить менять стандартные настройки политик Windows.
Обновление/установка административных шаблонов групповых политик (ADMX)
В этой статье мы рассмотрим особенности процесса обновления (установки) новых административных шаблонов GPO (admx) в домене Active при обновлении билда Windows 10 или Windows Server 2016/2019 на устройствах.
Обновление ADMX шаблонов GPO при апгрейде билда Windows 10 на клиентах
В связи с тем, что Microsoft постоянно обновляет свои операционные системы и добавляет в них различный функционал, одновременно с этим она выпускает новые административные шаблоны. Чтобы администратор мог централизованной управлять новыми функциями Windows через GPO, ему необходимо регулярно обновлять административные шаблоны в домене AD.
Например, у вас имеется домен на базе Windows Server 2016 и компьютеры в домене, которые обновились до билда Windows 10 2004. В этом билде, например, появилась новая опция Delivery Optimization для управления механизмом Windows Update for Business (WUfB). Теперь вы можете указать максимальную пропускную способность, которую технология Delivery Optimization может использовать для фоновой загрузки обновлений.
Но вы не сможете настроить этот параметр на всех компьютерах с помощью доменных групповых политик, т.к. в консоли редактора GPO ( gpmc.msc ) этот параметр политики отсутствует, т.к. в хранилище шаблонов на DC новых параметров нет (их можно использовать только на в локальных политиках или MLGPO на компьютере с новым билдом Windows 10).
В этом случае вам нужно обновить административные шаблоны GPO на контроллерах домена. Рассмотрим как это сделать:
Установка нового административного шаблона в домене Active Directory
- Перейдите нас страницу Microsoft Edge for business (https://www.microsoft.com/en-us/edge/business/download);
- Выберите версию, билд и платформу Edge, которую вы хотите использовать. Нажмите кнопку Get Policy Files;
- Распакуйте файл MicrosoftEdgePolicyTemplates.cab ;
- Перейдите в каталог MicrosoftEdgePolicyTemplateswindowsadmx . Cкопируйте файлы msedge.admx,msedgeupdate.admx и каталоги с языковыми пакетами (например, ru-RU и en-US) в центральное хранилище политик на контроллере домена (\winitpro.ruSYSVOLwinitpro.ruPoliciesPolicyDefinitions);
- Убедитесь, что новые разделы политик для настройки параметров Microsoft Edge появились в доменном редакторе GPO.
Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).
Настройка клиентов WSUS групповыми политиками
Итак, подразумевается что у Вас имеется установленный Wsus сервер, Групповые политики Active Directory (далее GPO) позволяют системным администраторам автоматически указать клиентов в различные группы WSUS сервера, избавляя от необходимости ручного перемещения компьютеров между группами в WSUS консоли. Такое назначение клиентов к различным группам основывается на основе меток на клиенте, такие метки задаются политикой или простой модификацией реестра. Данный тип соотнесения клиентов к группам WSUS называется Таргетинг на стороне клиента (client side targeting).
Обычно используются две различные политики обновления: для рабочих станций (workstations) и для серверов (Servers). Сначала указываем правило группировки клиентских компьютеров в WSUS консоли. По умолчанию в консоли компьютеры распределяются по группам вручную (server side targeting). Укажем, что клиенты распределяются в группы на основе client side targeting (групповых политик или параметров реестра). Для этого в WSUS консоли перейдите в раздел Options откройте параметр Computers и замените значение на Use Group Policy or registry setting on computers (Использовать групповые политики или значения в реестре, см скрин).
После этого начнем непосредственную настройку клиентов WSUS с помощью групповых политик (GPO). Откройте консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.
Групповая политика установки обновлений WSUS для рабочих станций (WorkstationWSUSPolicy)
В политике указываем:
- Allow Automatic Updates immediate installation:Disabled — запрещаем немедленную установку обновлений при их получении
- Configure Automatic Updates:Enabled. Configure automatic updating:4 — Auto download and schedule the install.Scheduled install day:0 — Every day. Scheduled install time: 03:00 – клиентский ПК скачивает новые обновления и планирует их автоматическую установку на 3:00 утра
- Target group name for this computer:Workstations – в консоли WSUS отнести клиентов к группе Workstations
- Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates:http://wsus:8530, Set the intranet statistics server:http://wsus:8530 –адрес корпоративного WSUS сервера
Если Вы указываете адрес http://wsus, убедитесь что данный адрес разрешается ДНС (ping wsus), если нет то добавите адрес в ДНС сервер.
Групповая политика установки обновлений WSUS для серверов (ServerWSUSPolicy)
- Не отображать параметр «Установить обновления и завершить работу» — Отключена. (Если данный параметр отключен, то уведомление при завершении работы появиться)
- Всегда автоматически перезагружаться в запланированное время — Отключена. (Если не настроить данный параметр политики, то Центр обновления не меняет стандартные правила перезагрузки)
- Разрешить клиенту присоединение к целевой группе. — Включена.
Назначаем политику WSUS на OU (контейнер) в Active Directory
Далее назначим стандартным способом политику на имеющиеся у нас контейнеры, в нашем случае это два контейнера для рабочих станций (workstations) и для серверов (Servers). В данном примере мы рассматриваем самый простой вариант привязки политик WSUS к компьютерам. В реальных условиях можно распространить одну политику WSUS на всех доменах (GPO привязывается к корню домена) или разнести различных клиентов на разные контейнеры. Для больших и распределенных сетей стоит привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные выше способы.
Для ускорения получения политики на клиенте можно выполнить команду: gpupdate /force, данная команда инициирует немедленное применение групповой политики.
И через небольшой промежуток времени можно проверить клиентов на наличие всплывающего оповещений о наличии новых обновлений. В WSUS консоли в соответствующих группах должны появиться клиенты (в таблице отображается имя клиента, IP, ОС, процент их «обновленности» и дата последнего обновлений статуса).
Для управления Windows Server Update Services (WSUS) и службой Wuauclt имеется ряд команд, самые распространенные из них:
/DetectNow — поиск обновлений
/ResetAuthorization — запрос на обновление авторизации
Установка обновлений windows через gpo
Сообщения: 723 Благодарности: 128
Групповые политики не предназначены для установки exe-файлов. MSI да, но не Exe оставьте это стартап скриптам, но это должны быть вполне осознанные скрипты где должен проверяться результат выполнения ПОСЛЕ и наличие установленного пакета ДО.
Иными словами для того что бы пытаться автоматизировать процесс установки необходимы довольно твердые знания.
В контексте данной темы автору нужно рекомендовать простейший метод.
Философский смысл прост — Group Policy (не GPO т.е. Group Policy Object и не GPT и не GPC) предназначена в первую очередь для настройки рабочих мест.
Последний раз редактировалось monkkey, 11-11-2011 в 14:41 .
Сообщения: 129 Благодарности: 9
Групповые политики не предназначены для установки exe-файлов »
——- Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.
Это сообщение посчитали полезным следующие участники:
Когда обновление качества будет выпущено, оно предлагается устройствам в пилотном кольце при следующем сканировании обновлений. When the quality update is released, it is offered to devices in the pilot ring the next time they scan for updates.
Пять дней спустя Five days later
Устройствам в быстром кольце предлагается обновление качества при следующем сканировании обновлений. The devices in the fast ring are offered the quality update the next time they scan for updates.
Десять дней спустя Ten days later
Через 10 дней после выпуска обновления качества оно предлагается устройствам на медленном ринге при следующем сканировании обновлений. Ten days after the quality update is released, it is offered to the devices in the slow ring the next time they scan for updates.
Если проблем не возникает, всем устройствам, которые сканируют обновления, будет предложено обновление качества в течение десяти дней после его выпуска в три волны. If no problems occur, all of the devices that scan for updates will be offered the quality update within ten days of its release, in three waves.
Что делать, если с обновлением возникает проблема? What if a problem occurs with the update?
В этом примере при развертывании обновления на «пилотное» кольцо обнаруживается какая-то проблема. In this example, some problem is discovered during the deployment of the update to the «pilot» ring.
Я хочу остановиться на определенной версии I want to stay on a specific version
Если вам нужно, чтобы устройство оставалось на версии после того, как срок отложений в следующей версии иссяк, или если вам нужно пропустить версию (например, обновление осеннего выпуска до осеннего выпуска), используйте параметр Select the target Feature Update version setting instead of using the Specify when Preview Builds and Feature Updates are received setting for feature update deferrals. If you need a device to stay on a version beyond the point when deferrals on the next version would elapse or if you need to skip a version (for example, update fall release to fall release) use the Select the target Feature Update version setting instead of using the Specify when Preview Builds and Feature Updates are received setting for feature update deferrals. При использовании этой политики укажите версию, которую необходимо использовать вашему устройству. When you use this policy, specify the version that you want your device(s) to use. Если устройство не обновляется до окончания службы, устройство будет автоматически обновляться после окончания службы за 60 дней до его выпуска. If you don’t update this before the device reaches end of service, the device will automatically be updated once it is 60 days past end of service for its edition.
При задайте политику целевой версии, если укажите версию обновления функций, которая старше текущей версии, или задайте значение, которое не является допустимым, устройство не получит обновлений функций до тех пор, пока политика не будет обновлена. When you set the target version policy, if you specify a feature update version that is older than your current version or set a value that isn’t valid, the device will not receive any feature updates until the policy is updated. При указании политики целевой версии отсрочка обновления функций не будет действовать. When you specify target version policy, feature update deferrals will not be in effect.
Управление обновлениями пользователей Manage how users experience updates
Эта политика также предлагает возможность отказаться от автоматических перезапусков до истечения крайнего срока, выдав «опыт перезапуска», пока срок фактически не истек. This policies also offers an option to opt out of automatic restarts until a deadline is reached by presenting an «engaged restart experience» until the deadline has actually expired. В этот момент устройство будет автоматически планировать перезапуск независимо от активных часов. At that point the device will automatically schedule a restart regardless of active hours.
Когда устанавливаются сроки автоматического обновления и перезапуска (для Windows 10, версии 1709 и более поздней версии): When Specify deadlines for automatic updates and restarts is set (For Windows 10, version 1709 and later):
Пока перезапуск ожидается, до истечения крайнего срока: While restart is pending, before the deadline occurs:
Если перезапуск еще не завершен после истечения крайнего срока: If the restart is still pending after the deadline passes:
Я хочу управлять уведомлениями, которые видит пользователь I want to manage the notifications a user sees
Есть дополнительные параметры, влияющие на уведомления. There are additional settings that affect the notifications.
0 (по умолчанию) — Используйте уведомления об обновлении Windows по умолчанию 1 — Отключите все уведомления, за исключением предупреждений о перезапуске 2 — отключите все уведомления, включая предупреждения о перезапуске. 0 (default) – Use the default Windows Update notifications 1 – Turn off all notifications, excluding restart warnings 2 – Turn off all notifications, including restart warnings
Вариант 2 создает плохое впечатление для личных устройств; рекомендуется использовать только для устройств киосков, где отключены автоматические перезапуски. Option 2 creates a poor experience for personal devices; it’s only recommended for kiosk devices where automatic restarts have been disabled.
