By Leave a Comment on A Csoportházirend-frissítés kényszerítése és frissítése a háttérben

A csoportházirend-frissítés kényszerítése a

parancssor segítségével az első lehetőség egy egyszerű parancs futtatása, amely azt mondja az ügyfélnek, hogy hagyja ki a normál háttérfeldolgozási intervallumot, és frissítse az összes új vagy megváltozott GPO-t a szerverről. Azonban fizikailag ki kell lépnie minden felhasználói gépre, és be kell írnia a gpupdate parancsot, ezáltal manuálisan frissítenie kell a csoportházirend objektumot, valamint bármely más új vagy megváltozott GPO-t.,

vegye figyelembe, hogy a gpupdate parancs paraméter nélküli futtatása frissíti mind a Csoportházirend-objektumok felhasználói, mind a számítógép feleit. Az egyik vagy a másik fél frissítéséhez használja ezt a szintaxist:

gpupdate / Target: számítógép, / Target: User

futás gpupdate míg a felhasználó be van jelentkezve a gépre, azonnal megadja a Windows-nak az új GPO beállításokat (feltételezve, hogy természetesen a tartományvezérlő rendelkezik a replikált GPO információkkal).,

Windows XP-ben és később a gyors rendszerindítás, a Szoftverelosztás és a mappa átirányítása alapértelmezés szerint engedélyezve van, így a beállítások csak a következő bejelentkezési időpontban kerülnek feldolgozásra. Ha a megfelelő kapcsolókat használja, a gpupdate kiderítheti, hogy az újonnan megváltozott elemekhez szükség van-e a kijelentkezésre vagy az Újraindításra, hogy aktív legyen:

  • a gpupdate futtatása a /Logoff kapcsolóval kitalálja, hogy az Active Directory házirend-módosítása megköveteli-e a felhasználó kijelentkezését. Ha nem, akkor az új beállításokat azonnal alkalmazzák; ha igen, a felhasználó automatikusan kijelentkezik, majd a csoportházirend-beállításokat alkalmazza a bejelentkezéskor.,
  • hasonlóképpen, ha a Gyors indítás engedélyezve van, újraindításra van szükség a szoftverelosztási beállításokkal rendelkező GPO-k alkalmazásához. A gpupdate futtatása a / boot kapcsolóval kitalálja, hogy egy házirendnek van-e valami, ami újraindítást igényel, majd automatikusan újraindítja a számítógépet. Ha a frissített GPO nem igényel újraindítást, akkor a GPO beállításokat alkalmazza, majd a felhasználó be van jelentkezve.

mind a /Logoff, mind a /boot kapcsolók opcionálisak.

az eddigi vita csak az új GPO-kra és a meglévőkre vonatkozik., Néha azonban érdemes alkalmazni az összes GPO-t egy számítógépre – nem csak az új vagy megváltozott GPO-kra, hanem a régiekre is. Ebben az esetben a /force kapcsolót a gpupdate segítségével kell használni, az alábbiak szerint:

gpupdate /force

egyéb lehetőségek állnak rendelkezésre a /force programmal együtt, beleértve:

  • /Logoff — jelentkezzen ki a felhasználót a Csoportházirend beállításainak frissítése után.
  • / Sync-változás az előtérben (startup/logon) feldolgozás szinkron.
  • / Boot-indítsa újra a gépet a csoportházirend-beállítások alkalmazása után.,

A csoportházirend-frissítés kényszerítése a Csoportházirend-kezelő konzol segítségével

a parancssori eszközök alternatívájaként a Csoportházirend-frissítést a Csoportházirend-kezelő konzol (GPMC) segítségével kényszerítheti. A GPMC a Windows Server 2008 óta minden Microsoft Windows szerverhez tartozik; távoli szerver adminisztrációs eszközök (RSAT) telepítésével is megszerezheti.

a GPO alkalmazásának kényszerítéséhez hajtsa végre az alábbi egyszerű lépéseket:

  1. Open
  2. összekapcsolja a GPO-t egy OU-val.
  3. kattintson a jobb gombbal az OU-ra, majd válassza a “Csoportházirend-Frissítés” lehetőséget.,
  4. erősítse meg a műveletet a csoportházirendek frissítése párbeszédpanelen az “Igen”gombra kattintva.

A PowerShell

használatával a Csoportházirend-frissítés kényszerítése a Windows Server 2012 óta a PowerShell cmdlet Invoke-GPUpdate használatával kényszerítheti a Csoportházirend frissítését. Ez a parancs használható a Csoportházirend távoli frissítésére a Windows kliens számítógépeken. Telepítenie kell mind a PowerShell, mind a Csoportházirend-kezelő konzolt.,

itt egy példa arra, hogy ezt a parancsmagot egy adott számítógépen azonnali Csoportházirend-frissítésre kényszerítjük:

Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0

a RandomDelayMinutes 0 paraméter biztosítja, hogy a házirend azonnal frissüljön. Ennek a paraméternek az egyetlen hátránya, hogy a felhasználók cmd képernyő előugró ablakot kapnak.

ha frissítést szeretne kényszeríteni az összes számítógépre, futtassa ezeket a parancsokat:

Ez a kód minden számítógépet a tartományból kap, változóba helyezi őket, majd futtatja az egyes objektumok parancsait.,

GPO Háttér Frissítés

Minden csoportházirend-költségtérítést folyamat Csoportházirend-objektumokat, ha a háttér frissítési időköz jön át — de a folyamat csak azok a Csoportházirend-objektumokat, amelyek új, vagy megváltoztak azóta, hogy utoljára az ügyfél kérte őket.

a biztonsági beállításoknál azonban a Csoportházirend-motor másképp működik. Különleges háttérfrissítést kér csak a biztonsági irányelvek beállításaihoz. Ezt hívják háttérbiztonsági frissítésnek, amely a Windows Server minden verziójára érvényes., Minden 16 órában minden Csoportházirend-ügyfél megkérdezi az Active Directory-t az összes olyan GPO-ról, amely biztonsági beállításokat tartalmaz (nem csak azokat, amelyek megváltoztak), majd újra alkalmazza ezeket a biztonsági beállításokat. Ez biztosítja, hogy ha egy biztonsági beállítás megváltozott az ügyfélen (a Csoportházirend-motor hátulja mögött), akkor 16 órán belül automatikusan visszatér a megfelelő beállításhoz.,

Háttér Frissítési Folyamatot a Helyi Csoportházirend-objektumokat

Ha a felhasználók a helyi rendszergazdák a Windows gépek, hogy a teljes ellenőrzési körbe a csoportházirend-motor folyamatok pedig lehet, hogy változik a helyi házirend — módosítások semmissé politika beállított egy csoportházirend-objektumot, beleértve a dolgok, a rendszert nem lehet megváltoztatni. A probléma elkerülése érdekében a helyi rendszergazdai fiókokat csak olyan kiváltságos felhasználóknak kell megadnia, akik nem tudnak együttműködni a helyi rendszergazdai jogokkal, vagy csak azoknak az alkalmazásoknak adhatnak helyi rendszergazdai jogokat, amelyeket a kiváltságos felhasználóknak futtatniuk kell., Soha ne adjon rendszeres felhasználóknak adminisztratív jogokat.

A nem biztonsági csoportházirend-beállítások kötelező újraírása

a fent leírtak szerint a háttérbiztonsági frissítés 16 óránként frissíti az összes biztonsággal kapcsolatos házirend-beállítást. De néha arra is kényszerítenie kell a nem biztonsági beállításokat, hogy alkalmazzák, még akkor is, ha a kiszolgálókon lévő GPO-k nem változtak a kifejezetten biztonsággal kapcsolatos kihasználások javítása érdekében., Csoportházirend minden kezdeti házirend-feldolgozás és háttérfrissítés során:

  • Registry (Administrative Templates)
  • Internet Explorer Maintenance
  • IP Security
  • EFS Recovery Policy
  • Wireless Policy
  • lemezkvóta
  • szkriptek
  • biztonság
  • mappa átirányítás
  • Szoftvertelepítés
  • Vezetékes házirend

következtetés

összefoglalva, ha megváltoztatja a GPO Active Directory, akkor automatikusan alkalmazzák a következő frissítési intervallum; akkor is kényszeríteni egy frissítést alkalmazni, hogy azonnal a kliens rendszerek., További biztonsági intézkedésként beállíthatja a kötelező újrafelhasználást annak biztosítása érdekében, hogy bizonyos csoportházirend-beállítások mindig újra megjelenjenek, még akkor is, ha nem változtak meg. Ez lehetővé teszi a helyi rendszergazdák által végrehajtott nem kívánt módosítások visszaállítását.

Jeff a NetWrix Global Solutions Engineering igazgatója. Ő egy hosszú ideje Netwrix blogger, hangszóró, műsorvezető. A Netwrix blog, Jeff osztja lifehacks, tippek, trükkök, amelyek drámaian javítja a rendszer adminisztrációs tapasztalat.,

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük