Способы обновления групповых политик Windows на компьютерах домена

В этой статье мы рассмотрим особенности обновления параметров групповых политик на компьютерах домена Active Directory: автоматическое обновление политик, команду GPUpdate , удаленное обновление через консоль Group Policy Management Console ( GPMC.msc ) и командлет PowerShell Invoke-GPUpdate .

Интервал обновления параметров групповых политик

Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).

Вы можете изменить интервал обновления настрое GPO с помощью параметра Set Group Policy refresh interval for computers, который находится в секции GPO Computer Configuration -> Administrative Templates -> System -> Group Policy.

Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:

• This setting allow you to customize how often Group Policy is applied to computer (от 0 до 44640 минут) – как часто клиент должен обновлять настройка GPO (если указать тут 0 – политики начнут обновляться каждые 7 секунд – не стоит этого делать);
• This is a random time added to the refresh interval to prevent all clients from requesting Group Policy at the same time (от 0 до 1440 минут) – максимальное значение случайного интервал времени, которые добавляется в виде смещения к предыдущему параметру (используется для уменьшения количества одновременных обращений к DC за файлами GPO от клиентов).

GPUpdate.exe – команда обновления параметров групповых политики

Всем администраторов знакома команда gpupdate.exe, которая позволяет обновить параметры групповых политик на компьютере. Большинство не задумываясь используют для обновления GPO команду gpupdate /force . Эта команда заставляет компьютер принудительно перечитать все политики с контроллера домена и заново применить все параметры. Т.е. при использовании ключа force клиент обращается к контроллеру домена и заново получает файлы ВСЕХ нацеленных на него политик. Это вызывает повышенную нагрузку на сеть и контроллер домена.

Простая команда gpudate применяет только новые/измененные параметры GPO.

Если все OK, должны появится следующие строки:

Можно отдельно обновить параметры GPO из пользовательской секции:

или только политики компьютера:

gpupdate /target:computer /force

Если некоторые политики нельзя обновить в фоновом режиме, gpudate может выполнить logoff текущего пользователя:

gpupdate /target:user /logoff

Или выполнить перезагрузку компьютера (если изменения в GPO могут применится только во время загрузки Windows):

Принудительно обновление политики из консоли Group Policy Management Console (GPMC)

В консоли GPMC.msc (Group Policy Management Console), начиная с Windows Server 2012, появилась возможность удаленного обновления настроек групповых политик на компьютерах домена.

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools

Теперь после изменения настроек или создания и прилинковки новой GPO, вам достаточно щелкнуть правой клавишей по нужному Organizational Unit (OU) в консоли GPMC и выбрать в контекстном меню пункт Group Policy Update. В новом окне появится количество компьютеров, на которых будет выполнено обновление GPO. Подтвердите принудительное обновление политик, нажав Yes.

Затем GPO по очереди обновяться на каждом компьютере в OU и вы получите результат со статусом обновления политик на компьютерах (Succeeded/Failed).

Данная команда удаленно создает на компьютерах задание планировщика с командой GPUpdate.exe /force для каждого залогиненого пользователя. Задание запускается через случайный промежуток времени (до 10 минут) для уменьшения нагрузки на сеть.

• Открыт порт TCP 135 в Windows Firewall;
• Включены службы Windows Management Instrumentation и Task Scheduler.

Если компьютер выключен, или доступ к нему блокируется файерволом напротив имени такого компьютера появится надпись “The remote procedure call was cancelled”.

По сути этот функционал дает тот же эффект, если бы вы вручную обновили настройки политик на каждом компьютере командой GPUpdate /force .

Invoke-GPUpdate – обновление GPO из Powershell

Также вы можете вызвать удаленное обновление групповых политик на компьютерах с помощью PowerShell комнадлета Invoke-GPUpdate (входит в RSAT). Например, чтобы удаленно обновить пользовательские политики на определенном компьютере, можно использовать команду:

Invoke-GPUpdate -Computer «corp\Computer0200» -Target «User»

При запуске командлета Invoke-GPUpdate без параметров, он обновляет настройки GPO на текущем компьютере (аналог gpudate.exe).

В сочетании с командлетом Get-ADComputer вы можете обновить групповые политики на всех компьютерах в определенном OU:

Get-ADComputer –filter * -Searchbase «ou=Computes,OU=SPB,dc=winitpro,dc=com» | foreach

или на всех компьютерах, которые попадают под определенный критерий (например, на всех Windows Server в домене):

При удаленном выполнении командлета Invoke-GPUpdate или обновления GPO через консоль GPMC на мониторе пользователя может на короткое время появиться окно консоли с запущенной командой gpupdate .

Как изменить интервал обновления групповой политики в Windows Server 2012 R2

Групповые политики обновляются автоматически, когда пользователь перезагружает компьютер, проходи авторизацию а также каждые 90 минут. Можно также принудительно обновить с помощью командной строки. Но если вам необходимо что бы групповая политик обновлялась чаще, нужно изменить эти настройки и указать необходимо время. Давайте на примере Windows Server 2012 R2 посмотрим как можно изменить интервал обновления групповой политики компьютера.

Настройка интервала обновлений GPO

И так, необходимо открыть «Управление групповой политикой» думаю как это сделать вы знаете. Дальше изменяем групповую политику по умолчанию «Default Domain Policy» либо любую другую. Кликае на ней ПКМ и выбираем «Изменить».

В открывшемся окне редакторока идем по следующему пути.

Конфигурация компьютера — Политики — Административные шаблоны… — Система — Групповая политика.

Далее в списке ищем «Установить интервал обновления групповой политики для компьютера» и открываем её.

Включаем её и указываем необходимое время. Только не указывайте в обоих пунтках одинаковое время. В этом случае все компьютеры сети будут обновятся одновременно и могут загрузить сеть. В пункте «Случайная величина, добавляемая к интервалу времени обновления» указываем минут на 15-20 больше.

Все сохраняем настройки.

Вообще без особой необходимости не стоить менять стандартные настройки политик Windows.

Обновление/установка административных шаблонов групповых политик (ADMX)

В этой статье мы рассмотрим особенности процесса обновления (установки) новых административных шаблонов GPO (admx) в домене Active при обновлении билда Windows 10 или Windows Server 2016/2019 на устройствах.

Обновление ADMX шаблонов GPO при апгрейде билда Windows 10 на клиентах

В связи с тем, что Microsoft постоянно обновляет свои операционные системы и добавляет в них различный функционал, одновременно с этим она выпускает новые административные шаблоны. Чтобы администратор мог централизованной управлять новыми функциями Windows через GPO, ему необходимо регулярно обновлять административные шаблоны в домене AD.

Например, у вас имеется домен на базе Windows Server 2016 и компьютеры в домене, которые обновились до билда Windows 10 2004. В этом билде, например, появилась новая опция Delivery Optimization для управления механизмом Windows Update for Business (WUfB). Теперь вы можете указать максимальную пропускную способность, которую технология Delivery Optimization может использовать для фоновой загрузки обновлений.

Опция Maximum Foreground Download Bandwidth (in kb/s) доступа в следующем разделе локального редактора групповой политике (gpedit.msc) на компьютерах с Windows 10 2004 (20H2): Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Delivery Optimization.

Но вы не сможете настроить этот параметр на всех компьютерах с помощью доменных групповых политик, т.к. в консоли редактора GPO ( gpmc.msc ) этот параметр политики отсутствует, т.к. в хранилище шаблонов на DC новых параметров нет (их можно использовать только на в локальных политиках или MLGPO на компьютере с новым билдом Windows 10).

В этом случае вам нужно обновить административные шаблоны GPO на контроллерах домена. Рассмотрим как это сделать:

Перейдите на страницу загрузки административных шаблонов для максимального билда Windows 10, которые используется у вас в домене. В нашем случае это Windows 10 2004. Проще всего выполнить поиск в google по ключевой фразе “Administrative Templates (.admx) for Windows 10 2004”;

Установка нового административного шаблона в домене Active Directory

Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.

1. Перейдите нас страницу Microsoft Edge for business (https://www.microsoft.com/en-us/edge/business/download);
2. Выберите версию, билд и платформу Edge, которую вы хотите использовать. Нажмите кнопку Get Policy Files;
3. Распакуйте файл MicrosoftEdgePolicyTemplates.cab ;
4. Перейдите в каталог \MicrosoftEdgePolicyTemplates\windows\admx . Cкопируйте файлы msedge.admx,msedgeupdate.admx и каталоги с языковыми пакетами (например, ru-RU и en-US) в центральное хранилище политик на контроллере домена (\\winitpro.ru\SYSVOL\winitpro.ru\Policies\PolicyDefinitions);
5. Убедитесь, что новые разделы политик для настройки параметров Microsoft Edge появились в доменном редакторе GPO.

Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).

Настройка клиентов WSUS групповыми политиками

Итак, подразумевается что у Вас имеется установленный Wsus сервер, Групповые политики Active Directory (далее GPO) позволяют системным администраторам автоматически указать клиентов в различные группы WSUS сервера, избавляя от необходимости ручного перемещения компьютеров между группами в WSUS консоли. Такое назначение клиентов к различным группам основывается на основе меток на клиенте, такие метки задаются политикой или простой модификацией реестра. Данный тип соотнесения клиентов к группам WSUS называется Таргетинг на стороне клиента (client side targeting).

Обычно используются две различные политики обновления: для рабочих станций (workstations) и для серверов (Servers). Сначала указываем правило группировки клиентских компьютеров в WSUS консоли. По умолчанию в консоли компьютеры распределяются по группам вручную (server side targeting). Укажем, что клиенты распределяются в группы на основе client side targeting (групповых политик или параметров реестра). Для этого в WSUS консоли перейдите в раздел Options откройте параметр Computers и замените значение на Use Group Policy or registry setting on computers (Использовать групповые политики или значения в реестре, см скрин).

После этого начнем непосредственную настройку клиентов WSUS с помощью групповых политик (GPO). Откройте консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Групповая политика установки обновлений WSUS для рабочих станций (WorkstationWSUSPolicy)

Логика политики интуитивно понятна, в нашем случаем мы планируем устанавливать обновления автоматически ночью после их получения. Клиенты после установки обновлений перезагружаются автоматически (предупреждая пользователя за 10 минут). Открываем консоль редактирования GPO (gpmc.msc), переходим в Настройки групповых политик: Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows (Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update)

В политике указываем:

• Allow Automatic Updates immediate installation:Disabled — запрещаем немедленную установку обновлений при их получении
• Allow non-administrators to receive update notifications:Enabled — отображать пользователям предупреждение о появлении новых обновлений и разрешить их ручную установку
• Configure Automatic Updates:Enabled. Configure automatic updating:4 — Auto download and schedule the install.Scheduled install day:0 — Every day. Scheduled install time: 03:00 – клиентский ПК скачивает новые обновления и планирует их автоматическую установку на 3:00 утра
• Target group name for this computer:Workstations – в консоли WSUS отнести клиентов к группе Workstations
• No auto-restart with logged on users for scheduled automatic updates installations:Disabled — система автоматически перезагрузится через 10 минут после окончания установки обновлений
• Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates:http://wsus:8530, Set the intranet statistics server:http://wsus:8530 –адрес корпоративного WSUS сервера

Если Вы указываете адрес http://wsus, убедитесь что данный адрес разрешается ДНС (ping wsus), если нет то добавите адрес в ДНС сервер.

Групповая политика установки обновлений WSUS для серверов (ServerWSUSPolicy)

Напоминаем, что настройки групповых политик отвечающих за работу службы обновлений Windows находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Window).

Данная политика предназначена для серверов, доступность которых нам нужна непрерывная, по крайней мере в рабочее время. Для этого мы запрещаем автоматическую установку обновлений на целевых серверах при их получении. Предпологается, что клиент WSUS сервера должен просто скачать доступные обновления, после чего отобразить оповещение и ожидать подтверждения системного администратора для начала его установки .Таким образом мы гарантируем, что боевые сервера не будут автоматически устанавливать обновления и перезагружаться без контроля администратора.

В политике указываем:

• Не отображать параметр «Установить обновления и завершить работу» — Отключена. (Если данный параметр отключен, то уведомление при завершении работы появиться)
• Всегда автоматически перезагружаться в запланированное время — Отключена. (Если не настроить данный параметр политики, то Центр обновления не меняет стандартные правила перезагрузки)
• Указать размещение службы обновлений Microsoft во внутренней сети: Включена. Один из ключевых параметров: – задаем адрес локального WSUS сервера и сервера статистики (обычно они совпадают), http://wsus:8530.
• Разрешить клиенту присоединение к целевой группе. — Включена.

Совет. Рекомендуем в обоих политиках настроить принудительный запуск службы обновлений (wuauserv) на клиенте, чтобы быть уверенным что обновления дойдут до целевого сервера. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services (в русской локализации: Конфигурация компьютера -> Политики ->Параметры безопасности->Системные службы), найдите службу Центр обновления Windows (wuauserv) и задайте для нее тип запуска «Автоматически».

Назначаем политику WSUS на OU (контейнер) в Active Directory

Далее назначим стандартным способом политику на имеющиеся у нас контейнеры, в нашем случае это два контейнера для рабочих станций (workstations) и для серверов (Servers). В данном примере мы рассматриваем самый простой вариант привязки политик WSUS к компьютерам. В реальных условиях можно распространить одну политику WSUS на всех доменах (GPO привязывается к корню домена) или разнести различных клиентов на разные контейнеры. Для больших и распределенных сетей стоит привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные выше способы.

Чтобы привязать созданную политику к контейнеру запустите оснастку редактирования групповых политик (gpmc.msc), нажмите правой кнопкой на контейнер -> Привязать существующий обьект групповой политики, и указать контейнер с серверами, в нашем примере сервера в контейнере Servers. Также это можно сделать перетащив групповую политику drag&drop в контейнер, автоматически создастся ссылка на политику (черная стрелка), что означает политика привязана к контейнеру. Далее нажмите на контейнере правой кнопкой и -> обновление групповой политики.

Для ускорения получения политики на клиенте можно выполнить команду: gpupdate /force, данная команда инициирует немедленное применение групповой политики.

И через небольшой промежуток времени можно проверить клиентов на наличие всплывающего оповещений о наличии новых обновлений. В WSUS консоли в соответствующих группах должны появиться клиенты (в таблице отображается имя клиента, IP, ОС, процент их «обновленности» и дата последнего обновлений статуса).

Для управления Windows Server Update Services (WSUS) и службой Wuauclt имеется ряд команд, самые распространенные из них:

/DetectNow — поиск обновлений

/ResetAuthorization — запрос на обновление авторизации

runas /user:admin «wuauclt /detectnow» — поиск обновлений под определенным пользователем