Способы обновления групповых политик Windows на компьютерах домена
В этой статье мы рассмотрим особенности обновления параметров групповых политик на компьютерах домена Active Directory: автоматическое обновление политик, команду GPUpdate , удаленное обновление через консоль Group Policy Management Console ( GPMC.msc ) и командлет PowerShell Invoke-GPUpdate .
Интервал обновления параметров групповых политик
Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).
Вы можете изменить интервал обновления настрое GPO с помощью параметра Set Group Policy refresh interval for computers, который находится в секции GPO Computer Configuration -> Administrative Templates -> System -> Group Policy.
Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:
This setting allow you to customize how often Group Policy is applied to computer (от 0 до 44640 минут) – как часто клиент должен обновлять настройка GPO (если указать тут 0 – политики начнут обновляться каждые 7 секунд – не стоит этого делать);
This is a random time added to the refresh interval to prevent all clients from requesting Group Policy at the same time (от 0 до 1440 минут) – максимальное значение случайного интервал времени, которые добавляется в виде смещения к предыдущему параметру (используется для уменьшения количества одновременных обращений к DC за файлами GPO от клиентов).
GPUpdate.exe – команда обновления параметров групповых политики
Всем администраторов знакома команда gpupdate.exe, которая позволяет обновить параметры групповых политик на компьютере. Большинство не задумываясь используют для обновления GPO команду gpupdate /force . Эта команда заставляет компьютер принудительно перечитать все политики с контроллера домена и заново применить все параметры. Т.е. при использовании ключа force клиент обращается к контроллеру домена и заново получает файлы ВСЕХ нацеленных на него политик. Это вызывает повышенную нагрузку на сеть и контроллер домена.
Простая команда gpudate применяет только новые/измененные параметры GPO.
Если все OK, должны появится следующие строки:
Можно отдельно обновить параметры GPO из пользовательской секции:
или только политики компьютера:
gpupdate /target:computer /force
Если некоторые политики нельзя обновить в фоновом режиме, gpudate может выполнить logoff текущего пользователя:
gpupdate /target:user /logoff
Или выполнить перезагрузку компьютера (если изменения в GPO могут применится только во время загрузки Windows):
Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
В консоли GPMC.msc (Group Policy Management Console), начиная с Windows Server 2012, появилась возможность удаленного обновления настроек групповых политик на компьютерах домена.
Теперь после изменения настроек или создания и прилинковки новой GPO, вам достаточно щелкнуть правой клавишей по нужному Organizational Unit (OU) в консоли GPMC и выбрать в контекстном меню пункт Group Policy Update. В новом окне появится количество компьютеров, на которых будет выполнено обновление GPO. Подтвердите принудительное обновление политик, нажав Yes.
Затем GPO по очереди обновяться на каждом компьютере в OU и вы получите результат со статусом обновления политик на компьютерах (Succeeded/Failed).
Данная команда удаленно создает на компьютерах задание планировщика с командой GPUpdate.exe /force для каждого залогиненого пользователя. Задание запускается через случайный промежуток времени (до 10 минут) для уменьшения нагрузки на сеть.
Открыт порт TCP 135 в Windows Firewall;
Включены службы Windows Management Instrumentation и Task Scheduler.
Если компьютер выключен, или доступ к нему блокируется файерволом напротив имени такого компьютера появится надпись “The remote procedure call was cancelled”.
По сути этот функционал дает тот же эффект, если бы вы вручную обновили настройки политик на каждом компьютере командой GPUpdate /force .
Invoke-GPUpdate – обновление GPO из Powershell
Также вы можете вызвать удаленное обновление групповых политик на компьютерах с помощью PowerShell комнадлета Invoke-GPUpdate (входит в RSAT). Например, чтобы удаленно обновить пользовательские политики на определенном компьютере, можно использовать команду:
или на всех компьютерах, которые попадают под определенный критерий (например, на всех Windows Server в домене):
При удаленном выполнении командлета Invoke-GPUpdate или обновления GPO через консоль GPMC на мониторе пользователя может на короткое время появиться окно консоли с запущенной командой gpupdate .
Установка обновлений windows через gpo
Сообщения: 723 Благодарности: 128
Групповые политики не предназначены для установки exe-файлов. MSI да, но не Exe оставьте это стартап скриптам, но это должны быть вполне осознанные скрипты где должен проверяться результат выполнения ПОСЛЕ и наличие установленного пакета ДО.
Иными словами для того что бы пытаться автоматизировать процесс установки необходимы довольно твердые знания.
В контексте данной темы автору нужно рекомендовать простейший метод.
Философский смысл прост — Group Policy (не GPO т.е. Group Policy Object и не GPT и не GPC) предназначена в первую очередь для настройки рабочих мест.
Последний раз редактировалось monkkey, 11-11-2011 в 14:41 .
Групповые политики не предназначены для установки exe-файлов »
——- Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.
Это сообщение посчитали полезным следующие участники:
Когда обновление качества будет выпущено, оно предлагается устройствам в пилотном кольце при следующем сканировании обновлений. When the quality update is released, it is offered to devices in the pilot ring the next time they scan for updates.
Пять дней спустя Five days later
Устройствам в быстром кольце предлагается обновление качества при следующем сканировании обновлений. The devices in the fast ring are offered the quality update the next time they scan for updates.
Десять дней спустя Ten days later
Через 10 дней после выпуска обновления качества оно предлагается устройствам на медленном ринге при следующем сканировании обновлений. Ten days after the quality update is released, it is offered to the devices in the slow ring the next time they scan for updates.
Если проблем не возникает, всем устройствам, которые сканируют обновления, будет предложено обновление качества в течение десяти дней после его выпуска в три волны. If no problems occur, all of the devices that scan for updates will be offered the quality update within ten days of its release, in three waves.
Что делать, если с обновлением возникает проблема? What if a problem occurs with the update?
В этом примере при развертывании обновления на «пилотное» кольцо обнаруживается какая-то проблема. In this example, some problem is discovered during the deployment of the update to the «pilot» ring.
На этом этапе ИТ-администратор может настроить политику для приостановки обновления. At this point, the IT administrator can set a policy to pause the update. В этом примере администратор выбирает поле обновления качества Пауза. In this example, the admin selects the Pause quality updates check box.
Теперь все устройства не обновляются в течение 35 дней. Now all devices are paused from updating for 35 days. После удаления паузы им будет предложено следующее обновление качества, которое в идеале не будет иметь той же проблемы. ** When the pause is removed, they will be offered the next quality update, which ideally will not have the same issue. Если по-прежнему существует проблема, ИТ-администратор может снова приостановить обновления. If there is still an issue, the IT admin can pause updates again.
Я хочу остановиться на определенной версии I want to stay on a specific version
Если вам нужно, чтобы устройство оставалось на версии после того, как срок отложений в следующей версии иссяк, или если вам нужно пропустить версию (например, обновление осеннего выпуска до осеннего выпуска), используйте параметр Select the target Feature Update version setting instead of using the Specify when Preview Builds and Feature Updates are received setting for feature update deferrals. If you need a device to stay on a version beyond the point when deferrals on the next version would elapse or if you need to skip a version (for example, update fall release to fall release) use the Select the target Feature Update version setting instead of using the Specify when Preview Builds and Feature Updates are received setting for feature update deferrals. При использовании этой политики укажите версию, которую необходимо использовать вашему устройству. When you use this policy, specify the version that you want your device(s) to use. Если устройство не обновляется до окончания службы, устройство будет автоматически обновляться после окончания службы за 60 дней до его выпуска. If you don’t update this before the device reaches end of service, the device will automatically be updated once it is 60 days past end of service for its edition.
При задайте политику целевой версии, если укажите версию обновления функций, которая старше текущей версии, или задайте значение, которое не является допустимым, устройство не получит обновлений функций до тех пор, пока политика не будет обновлена. When you set the target version policy, if you specify a feature update version that is older than your current version or set a value that isn’t valid, the device will not receive any feature updates until the policy is updated. При указании политики целевой версии отсрочка обновления функций не будет действовать. When you specify target version policy, feature update deferrals will not be in effect.
Управление обновлениями пользователей Manage how users experience updates
Я хочу управлять загрузкой, установкой и перезапуском устройств после обновления I want to manage when devices download, install, and restart after updates
Рекомендуется разрешить автоматическое обновление по умолчанию. We recommend that you allow to update automatically—this is the default behavior. Если не задана политика автоматического обновления, устройство будет пытаться скачивать, устанавливать и перезапускать в самое удобное время для пользователя с помощью встроенного интеллекта, например интеллектуальных активных часов и проверки активности. If you don’t set an automatic update policy, the device will attempt to download, install, and restart at the best times for the user by using built-in intelligence such as intelligent active hours and smart busy check.
Для более подробного управления можно задать максимальный период активных часов, который пользователь может задать с помощью конфигурации компьютера > административных шаблонов > Компонентов Windows > Обновления Windows > Укажитедиапазон активных часов для автоматической перезагрузки. For more granular control, you can set the maximum period of active hours the user can set with Computer Configuration > Administrative Templates > Windows Components > Windows Update > Specify active hours range for auto restart.
Лучше воздержаться от установки политики активных часов, так как она включена по умолчанию, если автоматические обновления не отключены, и это позволяет пользователям устанавливать свои собственные часы активного времени. It’s best to refrain from setting the active hours policy because it’s enabled by default when automatic updates are not disabled and provides a better experience when users can set their own active hours. Если вы хотите установить активные часы, используйте конфигурацию компьютера > административные шаблоны > компоненты Windows > Windows Update > Отключитьавтозапуск обновлений в активные часы . If you do want to set active hours, use Computer Configuration > Administrative Templates > Windows Components > Windows Update > Turn off auto-restart for updates during active hours.
Чтобы обновиться вне активных часов, не нужно устанавливать дополнительные параметры: просто не отключите автоматические перезапуски. To update outside of the active hours, you don’t need to set any additional settings: simply don’t disable automatic restarts. Для более детального управления рассмотрите возможность использования автоматических обновлений для расписания времени установки, дня или недели. For even more granular control, consider using automatic updates to schedule the install time, day, or week. Для этого используйте конфигурацию компьютера > административные шаблоны > компоненты Windows > Windows Update > Настройка автоматических обновлений и выберите автозакапку и запланировать установку . **** To do this, use Computer Configuration > Administrative Templates > Windows Components > Windows Update > Configure Automatic Updates and select Auto download and schedule the install. Вы можете настроить этот параметр, чтобы уместить время установки обновления для устройств. You can customize this setting to accommodate the time that you want the update to be installed for your devices.
При установке этих политик установка происходит автоматически в указанное время, и устройство перезапустится через 15 минут после завершения установки (если она не будет прервана пользователем). When you set these policies, installation happens automatically at the specified time and the device will restart 15 minutes after installation is complete (unless it’s interrupted by the user).
Я хочу, чтобы устройства были безопасными и соответствовали срокам обновления I want to keep devices secure and compliant with update deadlines
Рекомендуется использовать конфигурацию компьютера > административные шаблоны > компоненты Windows > Обновление Windows > Укажите крайний срок для автоматического обновления и перезапуска обновлений компонентов и качества, чтобы обеспечить безопасность устройств в Windows 10, версии 1709 и более поздней версии. We recommend that you use Computer Configuration > Administrative Templates > Windows Components > Windows Update > Specify deadline for automatic updates and restarts for feature and quality updates to ensure that devices stay secure on Windows 10, version 1709 and later. Это позволяет указать количество дней, которые могут пройти после того, как обновление будет предложено устройству перед его установкой. This works by enabling you to specify the number of days that can elapse after an update is offered to a device before it must be installed. Кроме того, можно установить количество дней, которые могут быть завершены после ожидающих перезапуска, прежде чем пользователь будет вынужден перезапуститься. Also you can set the number of days that can elapse after a pending restart before the user is forced to restart.
Эта политика также предлагает возможность отказаться от автоматических перезапусков до истечения крайнего срока, выдав «опыт перезапуска», пока срок фактически не истек. This policies also offers an option to opt out of automatic restarts until a deadline is reached by presenting an «engaged restart experience» until the deadline has actually expired. В этот момент устройство будет автоматически планировать перезапуск независимо от активных часов. At that point the device will automatically schedule a restart regardless of active hours.
Эти уведомления являются тем, что пользователь видит в зависимости от параметров, которые вы выбираете: These notifications are what the user sees depending on the settings you choose:
Когда устанавливаются сроки автоматического обновления и перезапуска (для Windows 10, версии 1709 и более поздней версии): When Specify deadlines for automatic updates and restarts is set (For Windows 10, version 1709 and later):
Пока перезапуск ожидается, до истечения крайнего срока: While restart is pending, before the deadline occurs:
В течение первых нескольких дней пользователь получает всплывающее уведомление For the first few days, the user receives a toast notification
После этого периода пользователь получает этот диалог: After this period, the user receives this dialog:
Если у пользователя запланирована перезагрузка или запланирована автоматическая перезагрузка, за 15 минут до запланированного времени пользователь получает это уведомление о том, что перезапуск должен произойти: If the user scheduled a restart, or if an auto restart is scheduled, 15 minutes before the scheduled time the user is receives this notification that the restart is about to occur:
Если перезапуск еще не завершен после истечения крайнего срока: If the restart is still pending after the deadline passes:
В течение 12 часов до истечения крайнего срока пользователь получает уведомление о приближении срока: Within 12 hours before the deadline passes, the user receives this notification that the deadline is approaching:
После того как крайний срок истек, пользователь вынужден перезапустить, чтобы сохранить свои устройства в соответствии с требованиям и получает это уведомление: Once the deadline has passed, the user is forced to restart to keep their devices in compliance and receives this notification:
Я хочу управлять уведомлениями, которые видит пользователь I want to manage the notifications a user sees
Есть дополнительные параметры, влияющие на уведомления. There are additional settings that affect the notifications.
Рекомендуется использовать уведомления по умолчанию, чтобы обеспечить оптимальный пользовательский интерфейс при корректировке установленных политик соответствия требованиям. We recommend that you use the default notifications as they aim to provide the best user experience while adjusting for the compliance policies that you have set. Если у вас есть дополнительные потребности, которые не удовлетворены настройками уведомлений по умолчанию, вы можете использовать конфигурацию компьютера > Административные шаблоны > компоненты Windows > Windows Update > Отображая параметры уведомлений об обновлении с помощью этих значений: If you do have further needs that are not met by the default notification settings, you can use Computer Configuration > Administrative Templates > Windows Components > Windows Update > Display options for update notifications with these values:
0 (по умолчанию) — Используйте уведомления об обновлении Windows по умолчанию 1 — Отключите все уведомления, за исключением предупреждений о перезапуске 2 — отключите все уведомления, включая предупреждения о перезапуске. 0 (default) – Use the default Windows Update notifications 1 – Turn off all notifications, excluding restart warnings 2 – Turn off all notifications, including restart warnings
Вариант 2 создает плохое впечатление для личных устройств; рекомендуется использовать только для устройств киосков, где отключены автоматические перезапуски. Option 2 creates a poor experience for personal devices; it’s only recommended for kiosk devices where automatic restarts have been disabled.
Еще больше вариантов доступны в конфигурации компьютера > Административные шаблоны > компоненты Windows > Обновления Windows > Настройкаавтоматического перезапуска оповещения об уведомлениях о перезапуске для обновлений . Still more options are available in Computer Configuration > Administrative Templates > Windows Components > Windows Update > Configure auto-restart restart warning notifications schedule for updates. Этот параметр позволяет указать период для автоматически перезапуска уведомлений о предупреждении (от 2 до 24 часов; 4 часа по умолчанию) перед обновлением и указать период автоматического перезапуска оповещений о неминуемом предупреждении (по умолчанию — 15-60 минут). This setting allows you to specify the period for auto-restart warning reminder notifications (from 2-24 hours; 4 hours is the default) before the update and to specify the period for auto-restart imminent warning notifications (15-60 minutes is the default). Рекомендуется использовать уведомления по умолчанию. We recommend using the default notifications.
Я хочу управлять настройками обновления, к которые пользователь может получить доступ I want to manage the update settings a user can access
Каждое устройство Windows предоставляет пользователям различные элементы управления, которые они могут использовать для управления обновлениями Windows. Every Windows device provides users with a variety of controls they can use to manage Windows Updates. Они могут получить доступ к этим средствам управления с помощью поиска для поиска обновлений Windows или путем выбора обновлений и безопасности впараметрах. They can access these controls by Search to find Windows Updates or by going selecting Updates and Security in Settings. Мы предоставляем возможность отключить различные элементы управления, доступные пользователям. We provide the ability to disable a variety of these controls that are accessible to users.
Пользователи с доступом к настройкам паузы обновления могут предотвращать обновления функций и качества в течение 7 дней. Users with access to update pause settings can prevent both feature and quality updates for 7 days. Вы можете запретить пользователям приостанавливовку обновлений через страницу параметров обновления Windows с помощью компьютерной конфигурации > Административные шаблоны > компоненты Windows > Обновление Windows > Удалениедоступа к «Приостановка обновлений . You can prevent users from pausing updates through the Windows Update settings page by using Computer Configuration > Administrative Templates > Windows Components > Windows Update > Remove access to “Pause updates. При отключке этого параметра **** пользователи увидят, что некоторые параметры управляются вашей организацией, а параметры паузы обновления отключаются. When you disable this setting, users will see Some settings are managed by your organization and the update pause settings are greyed out.
Если вы используете сервер обновления Windows Server (WSUS), вы можете запретить пользователям сканировать Обновление Windows. If you use Windows Server Update Server (WSUS), you can prevent users from scanning Windows Update. Для этого используйте конфигурацию компьютера > административные шаблоны > компоненты Windows> Windows Update > Удалить доступ к использованию всех функций обновления Windows. To do this, use Computer Configuration > Administrative Templates > Windows Components > Windows Update > Remove access to use all Windows Update features.
