- Remove From My Forums
-
Вопрос
-
Добрый день! Нужна помощь. не обновляются ГПО только на клиентах windows 10, на клиентах windows 7 обновляется все хорошо.
Нашел на форуме статью https://habr.com/post/304202/ выполнил все действия толку 0.
win2012r2 AD DNS DHCP.
Ответы
-
Проблема решена! 445 порт блокировал брандмауэром потому что этот порт использовал троян майнер. Открыл порт все заработало!
-
Помечено в качестве ответа
Vector BCOModerator
8 октября 2018 г. 12:37
-
Помечено в качестве ответа
Все ответы
-
не обновляется или не применяется?
что показывает:
gpresult /r
-
Не обновляются !
gpresult /r
Данные RSOP для domainuser на GM-PC01 : Режим ведения журнала
—————————————————————————Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 10.0.14393
Имя сайта: Н/Д
Перемещаемый профиль: Н/Д
Локальный профиль: C:Usersuser
Подключение по медленному каналу: НетКонфигурация пользователя
—————————
CN=ФИО,OU=Тех отдел,OU=Gal-users,DC=domain,DC=com
Последнее применение групповой политики: 01.10.2018 в 15:02:04
Групповая политика была применена с: Srv1.domain.com
Порог медленного канала для групповой политики: 500 kbps
Имя домена: domain
Тип домена: Windows 2008 или более поздняя версияПримененные объекты групповой политики
—————————————
Default Domain Policy
Ярлыки
Default Domain Policy
Ярлыки
Local Group PolicyСледующие политики GPO не были применены, так как они отфильтрованы
———————————————————————
TeamVeiwer
Фильтрация: Отказано (безопасность)TeamVeiwer
Фильтрация: Отказано (безопасность)USB
Фильтрация: Отказано (безопасность)USB
Фильтрация: Отказано (безопасность)Пользователь является членом следующих групп безопасности
———————————————————
Пользователи домена
Все
Пользователи
Администраторы
ИНТЕРАКТИВНЫЕ
КОНСОЛЬНЫЙ ВХОД
Прошедшие проверку
Данная организация
ЛОКАЛЬНЫЕ
Администраторы домена
IT
Подтвержденное центром проверки подлинности удостоверение
Группа с запрещением репликации паролей RODC
Высокий обязательный уровень -
gpupdate /force
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:
Ошибка при обработке групповой политики. Попытка чтения файла «\domain.comsysvoldomain.comPolicies{31B2F340-016D-11D2-945F-00C04FB984F9}gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть
применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).
Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:Ошибка при обработке групповой политики. Попытка чтения файла «\domain.comsysvoldomain.comPolicies{F45833BD-3F38-4615-9E60-6C7DEDF20B47}gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть
применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для просмотра сведений о результатах групповой политики
{31B2F340-016D-11D2-945F-00C04FB984F9} Это дефолтная политики
-
Изменено
DmitrySota
2 октября 2018 г. 7:40
-
Изменено
-
а теперь подробнее, где что у вас не обновляется?
вот примере что вы привели
-
Добрый День.
В чем суть проблемы, что именно у вас не обновляется….? немного не понятно…
Если про политики то:
В контексте ошибки и ее описания предложены варианты ее локализации, вы их пробовали проработать?
Я не волшебник, я только учусь
MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Пометить как ответ» или проголосовать «полезное сообщение». Мнения, высказанные здесь, являются отражением моих личных взглядов,
а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий.
Блог IT Инженера,
Twitter, YouTube, GitHub. -
хотя, имхо с большой долей вероятности, всетаки проблема в правах чтения для компов. на на win 7 никто обновления не накатывал.
-
ну выдаёт ошибку на дефолтную политику. Группу компьютеры домена добавил на чтение. Прошедшие проверку на чтение и выполнение.
-
Всё уже перепробовал ничего не помогает. И вот проблема только с клиентами у которых win 10
-
Проверьте на наличие ошибок контроллеры домена. Также встречал эту же ошибку, из-за того что на кд банально не запустилась служба dfsr.
-
еще раз и помедленнее… у вас не применяются только некоторые политики (судя по данным rsop), это новые политики или же у них есть какието различия в правах?
гляньте что пишут в эвентлоге, можете включить отладку (gpsvc.log).
-
dcdiag /c ошибок не нашел. Служба запущена.
По данным RSOP дефолтная политика применена но она не обновляется.
gpsvc.log при загрузке
GPSVC(c54.dc4) 10:18:18:968 CGPNotify::RegisterForNotification: Entering with target Machine and event 00000458
GPSVC(c54.dc4) 10:18:19:000 CGPNotify::RegisterForNotification: Exiting with status = 0
GPSVC(c54.dc4) 10:18:19:000 CGPNotify::RegisterForNotification: Entering with target User and event 000004B0
GPSVC(c54.dc4) 10:18:19:000 CGPNotify::RegisterForNotification: Exiting with status = 0 -
Клиентов windows 10 не пускает еще на общие папки на КД. На остальные сервера пускает. Может тут кроется проблема
-
Проблема решена! 445 порт блокировал брандмауэром потому что этот порт использовал троян майнер. Открыл порт все заработало!
-
Помечено в качестве ответа
Vector BCOModerator
8 октября 2018 г. 12:37
-
Помечено в качестве ответа
В этой статье мы рассмотрим особенности обновления параметров групповых политик на компьютерах домена Active Directory: автоматическое обновление политик, команду
GPUpdate
, удаленное обновление через консоль Group Policy Management Console (
GPMC.msc
) и командлет PowerShell
Invoke-GPUpdate
.
Содержание:
- Интервал обновления параметров групповых политик
- GPUpdate.exe – команда обновления параметров групповых политики
- Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
- Invoke-GPUpdate – обновление GPO из Powershell
Интервал обновления параметров групповых политик
Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).
Контроллеры домена по умолчанию обновляют настройки GPO намного чаще — раз в 5 минут.
Вы можете изменить интервал обновления настрое GPO с помощью параметра Set Group Policy refresh interval for computers, который находится в секции GPO Computer Configuration -> Administrative Templates -> System -> Group Policy.
Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:
- This setting allow you to customize how often Group Policy is applied to computer (от 0 до 44640 минут) – как часто клиент должен обновлять настройка GPO (если указать тут 0 – политики начнут обновляться каждые 7 секунд – не стоит этого делать);
- This is a random time added to the refresh interval to prevent all clients from requesting Group Policy at the same time (от 0 до 1440 минут) – максимальное значение случайного интервал времени, которые добавляется в виде смещения к предыдущему параметру (используется для уменьшения количества одновременных обращений к DC за файлами GPO от клиентов).
Имейте в виду, что частое обновление GPO приводит к увеличению трафика к контроллерам домена и повышенной нагрузке на сеть.
GPUpdate.exe – команда обновления параметров групповых политики
Всем администраторов знакома команда gpupdate.exe, которая позволяет обновить параметры групповых политик на компьютере. Большинство не задумываясь используют для обновления GPO команду
gpupdate /force
. Эта команда заставляет компьютер принудительно перечитать все политики с контроллера домена и заново применить все параметры. Т.е. при использовании ключа force клиент обращается к контроллеру домена и заново получает файлы ВСЕХ нацеленных на него политик. Это вызывает повышенную нагрузку на сеть и контроллер домена.
Простая команда
gpudate
применяет только новые/измененные параметры GPO.
Если все OK, должны появится следующие строки:
Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
Можно отдельно обновить параметры GPO из пользовательской секции:
gpupdate /target:user
или только политики компьютера:
gpupdate /target:computer /force
Если некоторые политики нельзя обновить в фоновом режиме, gpudate может выполнить logoff текущего пользователя:
gpupdate /target:user /logoff
Или выполнить перезагрузку компьютера (если изменения в GPO могут применится только во время загрузки Windows):
gpupdate /Boot
Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
В консоли GPMC.msc (Group Policy Management Console), начиная с Windows Server 2012, появилась возможность удаленного обновления настроек групповых политик на компьютерах домена.
В Windows 10 для использования этой консоли придется установить компонент RSAT:
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Теперь после изменения настроек или создания и прилинковки новой GPO, вам достаточно щелкнуть правой клавишей по нужному Organizational Unit (OU) в консоли GPMC и выбрать в контекстном меню пункт Group Policy Update. В новом окне появится количество компьютеров, на которых будет выполнено обновление GPO. Подтвердите принудительное обновление политик, нажав Yes.
Затем GPO по очереди обновяться на каждом компьютере в OU и вы получите результат со статусом обновления политик на компьютерах (Succeeded/Failed).
Данная команда удаленно создает на компьютерах задание планировщика с командой GPUpdate.exe /force для каждого залогиненого пользователя. Задание запускается через случайный промежуток времени (до 10 минут) для уменьшения нагрузки на сеть.
Для работы этого функционала GPMC на клиенте должны быть выполнены следующие условия:
- Открыт порт TCP 135 в Windows Firewall;
- Включены службы Windows Management Instrumentation и Task Scheduler.
Если компьютер выключен, или доступ к нему блокируется файерволом напротив имени такого компьютера появится надпись “The remote procedure call was cancelled”.
По сути этот функционал дает тот же эффект, если бы вы вручную обновили настройки политик на каждом компьютере командой
GPUpdate /force
.
Invoke-GPUpdate – обновление GPO из Powershell
Также вы можете вызвать удаленное обновление групповых политик на компьютерах с помощью PowerShell комнадлета Invoke-GPUpdate (входит в RSAT). Например, чтобы удаленно обновить пользовательские политики на определенном компьютере, можно использовать команду:
Invoke-GPUpdate -Computer "corpComputer0200" -Target "User"
При запуске командлета Invoke-GPUpdate без параметров, он обновляет настройки GPO на текущем компьютере (аналог gpudate.exe).
В сочетании с командлетом Get-ADComputer вы можете обновить групповые политики на всех компьютерах в определенном OU:
Get-ADComputer –filter * -Searchbase "ou=Computes,OU=SPB,dc=winitpro,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}
или на всех компьютерах, которые попадают под определенный критерий (например, на всех Windows Server в домене):
Вы можете задать случайную задержку обновления GPO с помощью параметра RandomDelayInMinutes. Таким образом вы можете уменьшить нагрузку на сеть, если одновременно обновляете политики на множестве компьютеров. Для немедленного применения политик используется параметр RandomDelayInMinutes 0.
Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows Server*' }| foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}
Для недоступных компьютеров команда вернет ошибку:
Invoke-GPUpdate: Computer "spb-srv01" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.
При удаленном выполнении командлета Invoke-GPUpdate или обновления GPO через консоль GPMC на мониторе пользователя может на короткое время появиться окно консоли с запущенной командой
gpupdate
.
Group policy is not updating on some of our Windows 10 workstations. I know there are a lot of references to this problem on the Net, but I am either not finding the correct answer or I am implementing them incorrectly.
Disabling Windows Firewall allows the policies to process correctly.
Domain controllers are:
2012 Standard (PDC)
2008 R2 Standard
2008 Standard
Symptoms are that GP is not updated when running gpupdate /force from a command prompt and very long delays when logging into the computer.
Gpupdate failure results:
«The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.
User Policy update has completed successfully.»
Things I have tried—
1) DCDIAG on all domain controllers pass all tests and SYSVOL and NETLOGON folders are there. Neither was accessible until I…
2) …added the following registry keys to HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetworkProviderHardenedPaths:
\*\NETLOGON with values RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0
\*\SYSVOL with values RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0
3) Disjoined and rejoined the workstation to the domain.
4) Added the Group Policy templates by installing on the local machines as well as one of our domain controllers. Should they be installed on all domain controllers?
5) Created a PolicyDefinitions folder here:
\DC1sysvolDOMAINPolicies
Copied the PolicyDefinitions folder from that DC to this folder. This folder replicated to the othe domain controllers properly.
Items 4 and 5 are the attempts that I am unsure were correctly implemented.
System logs:
Event ID 1054
The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.
Group Policy log:
Event ID 7326
Group Policy failed to discover the Domain Controller details in 42734 milliseconds.
Event ID 7017
The LDAP call to connect and bind to Active Directory completed.
(One of our DC’s FQDN)
The call failed after 21000 milliseconds.
This seems to repeat, attempting contact with two DCs, but never attempting the third DC (2008 R2 Standard) which holds the operation master roles.
Any help would be greatly appreciated.
Thanks.
Group policy is not updating on some of our Windows 10 workstations. I know there are a lot of references to this problem on the Net, but I am either not finding the correct answer or I am implementing them incorrectly.
Disabling Windows Firewall allows the policies to process correctly.
Domain controllers are:
2012 Standard (PDC)
2008 R2 Standard
2008 Standard
Symptoms are that GP is not updated when running gpupdate /force from a command prompt and very long delays when logging into the computer.
Gpupdate failure results:
«The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.
User Policy update has completed successfully.»
Things I have tried—
1) DCDIAG on all domain controllers pass all tests and SYSVOL and NETLOGON folders are there. Neither was accessible until I…
2) …added the following registry keys to HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetworkProviderHardenedPaths:
\*\NETLOGON with values RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0
\*\SYSVOL with values RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0
3) Disjoined and rejoined the workstation to the domain.
4) Added the Group Policy templates by installing on the local machines as well as one of our domain controllers. Should they be installed on all domain controllers?
5) Created a PolicyDefinitions folder here:
\DC1sysvolDOMAINPolicies
Copied the PolicyDefinitions folder from that DC to this folder. This folder replicated to the othe domain controllers properly.
Items 4 and 5 are the attempts that I am unsure were correctly implemented.
System logs:
Event ID 1054
The processing of Group Policy failed. Windows could not obtain the name of a domain controller. This could be caused by a name resolution failure. Verify your Domain Name System (DNS) is configured and working correctly.
Group Policy log:
Event ID 7326
Group Policy failed to discover the Domain Controller details in 42734 milliseconds.
Event ID 7017
The LDAP call to connect and bind to Active Directory completed.
(One of our DC’s FQDN)
The call failed after 21000 milliseconds.
This seems to repeat, attempting contact with two DCs, but never attempting the third DC (2008 R2 Standard) which holds the operation master roles.
Any help would be greatly appreciated.
Thanks.
Обновлено 29.08.2022
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз мы с вами мы с вами разбирали процедуру создания центрального хранилища административных шаблонов GPO. Движемся дальше и сегодня мы рассмотрим, самую распространенную задачу связанную с групповыми политиками, а именно научимся ее обновлять локально и удаленно, я расскажу в каких ситуациях данная информация вам можете помочь. Мы рассмотрим, какие инструменты у вас есть в арсенале, и я уверяю вас, что вы явно знали не обо всех.
Для чего нужно уметь обновлять групповую политику?
Перед тем, как перейти к практической части я бы хотел описать ряд ситуаций, которые вы можете встретить в своей практике, где вам можете потребоваться ручное обновление GPO. Еще хочу напомнить, что по умолчанию, любая операционная система Windows, являющаяся членом домена AD сама, автоматически производит обновление групповых политик каждые 90-120 минут, это позволяет не генерировать много сетевого трафика и сделать балансировку при обращении к мастеру PDC, но бывают и другие ситуации.
Предположим, что вы внесли важные обновления настроек для ваших серверов, например для авторизации CredSSP, или закрываете какую-то дыру безопасности, логично, что в Active Directory, это делается через групповые политики. Когда у вас 5-10 серверов, то нет проблем чтобы зайти на каждый из них через удаленный рабочий стол и выполнить команду, а когда серверов сотни, тут уже нужна массовость. Еще не нужно сбрасывать со счетов ситуации, когда вы по RDP не можете зайти, через редактор политик обновить не получается, что делать, тут можно сделать все удаленно через PowerShell или командную строку, об этом то же поговорим.
Вы всегда должны уметь и иметь возможность вносить массовые изменения на ваших серверах, и применять их как можно скорее
Методы обновления GPO
Давайте составим список способов и инструментов, которые вы можете использовать:
- Командная строка Windows — позволяет быстро выполнить обновление, работает локально
- Оболочка PowerShell — так же, как и cmd позволяет сделать обновление, как локально, так и удаленно
- Оснастка «Управление групповой политикой» — удаленное обновление GPO, есть возможность выбрать отдельные объекты
- Утилита PsExec — позволяет удаленно выполнить задачу
Давайте теперь опробуем каждый из этих методов.
Как обновить GPO через командную строку
Для выполнения этого метода, вы должны зайти локально на компьютер или сервер, открыть командную строку и ввести вот такую, небольшую команду:
Ключ /force произведет принудительное обновление групповой политики. Хочу отметить, что некоторые настройки могут применяться, только после выхода из системы. Если политика показала, что успешно обновилась, но эффекта не произошло, то смотрите мою статью «Почему не применяются GPO», придется делать траблшутинг.
Как вы можете обратить внимание, что команда выше производит обновление политик, как для пользователя, так и для компьютера, но при желании вы можете этим манипулировать и явным образом указать, что подлежит апдейту. Для этого есть ключ /Target:{Computer | User}. Предположим, что мне нужно выполнить только для пользователя, для этого пишем:
gpupdate /force /target:User
Еще интересный ключик, это выполнить задержку /Wait:{ваше значение}.По умолчанию значение 600 секунд.
Как обновить GPO через PowerShell
Оболочка PowerShell так же имеет отдельный командлет, который легко может инициировать запрос на обновление групповой политики, называется он Invoke-GPUpdate.
Invoke-GPUpdate — это командлет обновляющий параметры групповой политики, включая настройки безопасности, которые установлены на удаленных компьютерах с помощью планирования хода выполнения команды Gpupdate. Вы можете комбинировать этот командлет по сценарию, чтобы запланировать команду Gpupdate на группе компьютеров. Обновление может быть запланировано для немедленного запуска параметров политики или ожидания в течение определенного периода времени, максимум до 31 дня. Чтобы избежать нагрузки на сеть, время обновления будет смещено на случайную задержку.
Давайте запросим обновление политик GPO на моем тестовом сервере с Windows Server 2019, для этого запускаем оболочку PowerShell и вводим команду:
Invoke-GPUpdate –RandomDelayInMinutes 0
Ключ –RandomDelayInMinutes 0 установит задержку в выполнении на ноль секунд, в противном случае обновление будет выполнено рандомно, через некоторое время.
Обратите внимание, что командлет не выдает никаких результатов, если все работает нормально. В некоторых случаях ваши пользователи могут увидеть всплывающее окно командной строки с заголовком taskeng.exe, которое отображает сообщение «Политика обновления». Через секунду окно исчезает.
Если нужно произвести обновление на удаленном компьютере, то нужно воспользоваться ключом -Computer, команда примет вот такой вид:
Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org –RandomDelayInMinutes 0
Если нужно выполнить принудительно без запроса подтверждения пользователя, то укажите ключ -Force.
Если нужно указать явно, что необходимо запросить политики только для пользователя или компьютера, то можно использовать ключ -Target, который имеет значения User или Computer. Кстати если удаленный компьютер не отвечает, то вы получите ошибку:
Invoke-GPUpdate : Компьютер «dc01.root.pyatilistnik.org» не отвечает. Целевой компьютер выключен или отключены правила брандмауэра удаленного управления запланированными задачами (Invoke-GPUpdate : Computer «dc01.root.pyatilistnik.org» is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.).
Имя параметра: computer
строка:1 знак:1
+ Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org -Target User –Ra …
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationTimeout: (:) [Invoke-GPUpdate], ArgumentException
+ FullyQualifiedErrorId : COMException,Microsoft.GroupPolicy.Commands .InvokeGPUpdateCommand
Еще одним преимуществом командлета PowerShell является то, что у вас есть больше возможностей в выборе машин, которые вы хотите обновить. Например, с помощью приведенной ниже команды вы должны выбрать все компьютеры, которые начинаются с «Note*«.
Get-ADComputer –Filter ‘Name -like «Note*»‘ | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Если нужно выбрать все компьютеры, то ставим звездочку «*»
Get-ADComputer –Filter * | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
При желании вы можете найти все компьютеры по версиям операционных систем и сделать обновление групповых политик по данному критерию.
Не забываем, что можно ограничить поиск отдельным организационным подразделением, для этого есть ключ -Searchbase и команда примет вот такой вид:
Get-ADComputer –Filter * -Searchbase «OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org» | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Еще вы можете подготовить текстовый файл со списком серверов, который так же можно через цикл обработать, вот по такому принципу:
$comps = Get-Content «C:tempcomps.txt»
foreach ($comp in $comps)
{
Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0
}
Я также добавил здесь параметр -Force, чтобы обеспечить повторное применение параметров групповой политики, даже если клиент замечает, что новые версии GPO недоступны. Таким образом, когда мы говорим о принудительном обновлении групповой политики, мы на самом деле имеем в виду две разные вещи. Без параметра Force мы просто незамедлительно инициируем обновление; если мы добавим параметр Force, мы форсируем обновление, даже если обновлять нечего. Параметр Force вступает в игру, если вы считаете, что что-то пошло не так в предыдущем обновлении объекта групповой политики.
Очень важно выполнять скрипт в системе, на которой установлен пакет RSAT, или отдельный его компонент консоль управления групповой политикой, инача вы будите получать ошибку.
Invoke-GPUpdate : The term ‘Invoke-GPUpdate’ is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, o
r if a path was included, verify that the path is correct and try again.
At C:TempGPupdate-Force.ps1:12 char:5
+ Invoke-GPUpdate -ComputerName $server -AsJob -Target «Computer»-R …
+ ~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (Invoke-GPUpdate:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException
Обновление групповой политики через оснастку GPMC
Начиная с операционной системы Windows Server 2012 R2, компания Microsoft расширила функционал оснастки по управлению политиками. Разработчики внедрили механизм, массового и точечного инициирования применения политик GPO к нужным объектам и заметьте через графический интерфейс. Откройте оснастку «Управление групповой политикой«, проще всего, это сделать через окно «Выполнить«, введя там там команду gpmc.msc.
Далее, что вы делаете. Находите нужную вам OU, щелкнуть правым кликом и из контекстного меню выбрать пункт «Обновление групповой политики«.
У вас появится окно «Принудительное обновление групповой политики», в котором вы увидите количество объектов, к которым будет применено действие
На следующем экране вы увидите результат отработки команды, в первом моем примере политики успешно применилась.
При желании все результаты команды можно сохранить в CSV файле
Вот пример содержимого такого файла
на компьютерах, где таким методом была запущена процедура принудительного применения GPO, вы в логах Windows можете обнаружить событие с кодом 1704:
Политика безопасности в объектах групповой политики успешно применена.
То же самое можно посмотреть и в Windows Admin Center, где нужно зайти в раздел события.
Ошибка 8007071a «Удаленный вызов процедуры был отменен»
Иногда в консоли GPMC вы можете получать ошибку:
8007071a «Удаленный вызов процедуры был отменен»
Связана она с тем, что на удаленных компьютерах у вас брандмауэр Windows блокирует эти вызовы, чтобы это поправить я вам советую сделать разрешающую политику, подробнее читайте, как исправить ошибку 8007071a.
Обновление GPO через PSexec
Я вам очень часто рассказываю в своих примерах из моей практики, об утилите PSexec и сборнике SysInternals от Марка Руссиновича. Суть метода в том, что с помощью специальной утилиты вы сможете выполнить удаленную команду, ранее я так удаленно включал RDP на сервере или клиентской машинке.
Далее вы распаковываете архив, если он в таком виде и открываете папку с утилитами SysInternals в командной строке, напомню сделать, это можно через команду cd или через правый клик с зажатым Shift по нужной папке, выбрав пункт «Открыть окно команд».
Обращаю внимание, что у вас должны быть соблюдены несколько требований:
- Как и в случае Invoke-GPUpdate, вы должны изменить настройки брандмауэра на своих клиентах. Поскольку PsExec использует протокол SMB, вам нужно открыть TCP-порт 445. Как открыть порт я уже подробно рассказывал, можете посмотреть, советую использовать для этого групповую политику.
- Второе, это наличие прав на удаленном компьютере, чтобы запустить там Gpupdate
Теперь выполните команду:
psexec \имя компьютера –i gpupdate
Обратите внимание, что параметр -i здесь важен. Это гарантирует, что PsExec взаимодействует с удаленным рабочим столом, что необходимо для обновления пользовательских политик. Если этот параметр не указан, будут обновлены только конфигурации компьютера, хотя ни PsExec, ни gpupdate не выдадут сообщение об ошибке. Без параметра –i gpupdate обновит пользовательские настройки, только если вы вошли в систему с одинаковой учетной записью на исходном и целевом компьютере.
В результате будет удаленный запуск утилиты gpupdate, если все хорошо, то вы получите сообщение «gpupdate exited on svt2019s01.root.pyatilistnik.org with error code 0«.
на удаленном компьютере в журналах системы вы увидите два события 1500 и 1501.
Событие 1500: Параметры групповой политики для этого компьютера обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.
Событие 1501: Параметры групповой политики для этого пользователя обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.
Так же вы можете подключиться вообще к удаленной командной строке, через команду:
psexec \имя компьютера –i cmd
Далее просто пишите gpupdate /force, обратите внимание я через команду hostname показал, что подключение идет с одного компьютера на другой.
Если компьютер не подключен к сети, вы получите следующее сообщение об ошибке:
Couldn’t access ComputerName:The network name cannot be found.
Make sure that the default admin$ share is enabled on ComputerName
Чтобы массово обновить групповую политику на всех компьютерах домена, воспользуйтесь знаком звездочки «*»:
Если это не помогло и выскочила ошибка, то может воспользоваться через PowerShell. В оболочке перейдите в каталог с утилитами PSTools и выполните:
Get-ADComputer –filter ‘Name -like «*»‘ | Select-Object -ExpandProperty Name | foreach{ Invoke-Expression –Command «.psexec.exe \$_ -i gpupdate.exe»}
Или можно из конкретного OU добавив
Get-ADComputer –filter ‘Name -like «*»‘-Searchbase «OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org» | Select-Object -ExpandProperty Name | foreach{ Invoke-Expression –Command «.psexec.exe \$_ -i gpupdate.exe»}
Другой вариант — сначала экспортировать все имена компьютеров из контейнера Active Directory в текстовый файл с помощью командлета Get-ADComputer:
Get-ADComputer –filter ‘Name -like «win*»‘ -Searchbase «OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org» | Select-Object -ExpandProperty Name | Out-File -Encoding ascii c:tmpComputerList.txt
Обратите внимание, что мы должны кодировать выходной файл с помощью ASCII, чтобы мы могли прочитать его содержимое из пакетного файла следующим образом:
For /f «tokens=*» %%a in (c:tmpComputerList.txt) Do psexec \%%a -i gpupdate
PsExec против Invoke-GPUpdate
Основным недостатком метода PsExec является то, что он относительно медленный. Это может занять от 3 до 4 секунд на компьютер, а для компьютеров, которые не подключены к сети, это может занять еще больше времени. PsExec иногда даже зависал во время моих тестов.
Разрешение входящих подключений через порт 445 является угрозой безопасности. Компьютерные черви могут использовать этот порт, а хакеры могут делать много неприятных вещей с помощью PsExec. Открытие порта планировщика заданий для Invoke-GPUpdate также проблематично, но я думаю, что порт 445 более популярен среди программистов вредоносных программ.
Таким образом, в большинстве сценариев Invoke-GPUpdate является лучшим вариантом. Однако, если вы все равно открыли порт 445 по другим причинам и не хотите открывать порты Invoke-GPUpdate, вы можете предпочесть PsExec для принудительного обновления групповой политики.
Удаленное обновление GPO через Enter-PSSession
Еще в PowerShell есть командлет для удаленного подключения к компьютеру, называется он Enter-PSSession, его принцип работ, как у PsExec. Откройте оснастку PowerShell и введите:
Enter-PSSession -ComputerName svt2019s01
Далее вы подключитесь к удаленному компьютеру, где потом просто введите gpupdate /force.
Удаленное обновление GPO через Windows Admin Center
Если вы в своей практике используете утилиту удаленного администрирования Windows Admin Center, то вы легко можете подключиться к удаленному серверу и обновить политики GPO все через тот же gpupdate /force.
На этом у меня все. Я вам постарался подробно рассказать, о всех методах локального и дистанционного обновления групповых политик пользователя и компьютера на ваших компьютерах домена. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Поврежденная локальная групповая политика может быть большой проблемой, особенно потому, что групповая политика отвечает за многие дополнительные параметры. Тем не менее, есть способ исправить поврежденную локальную групповую политику, и в этой статье мы покажем вам, как это сделать.
Поврежденная локальная групповая политика может вызвать много проблем, и, говоря о проблемах, вот некоторые распространенные проблемы, о которых сообщают пользователи:
- Registry.pol не обновляется, не создается — файл Registry.pol отвечает за параметры вашей групповой политики, и вы можете решить большинство проблем с групповой политикой, просто воссоздав этот файл.
- Папка групповой политики отсутствует в system32. Иногда папка групповой политики может отсутствовать, но эту проблему можно устранить, выполнив сканирование SFC и DISM.
Коррумпированная локальная групповая политика, как это исправить?
- Удалить или переместить файл registry.pol
- Переместить или удалить файл secedit.sdb
- Использовать командную строку
- Выполните сканирование DISM и SFC
- Отключить клиент служб сертификации — политика регистрации сертификатов
- Удалить содержимое папки «История»
- Выполните восстановление системы
- Выполните обновление на месте или перезагрузите Windows 10
Решение 1 — Удалить или переместить файл registry.pol
Все параметры вашей групповой политики хранятся в файле registry.pol, и вы можете решить эту проблему, просто удалив или переместив этот файл. Это относительно просто сделать, и вы можете сделать это, выполнив следующие действия:
- Откройте проводник .
- В проводнике вставьте C: Windows System32 GroupPolicy Machine в адресную строку и нажмите Enter . Переход вручную в этот каталог может не работать, поскольку папка «Компьютер» скрыта, но при желании вы можете открыть скрытые файлы и вручную перейти в этот каталог.
- Теперь найдите файл registry.pol и переместите или удалите его. Более безопасный вариант — перенести его на рабочий стол, поскольку вы можете восстановить этот файл, если возникнут какие-либо новые проблемы.
После перемещения или удаления этого файла вам нужно будет выполнить одну команду в командной строке, чтобы воссоздать этот файл и восстановить исходные значения групповой политики. Для этого просто выполните следующие действия:
- Нажмите Windows Key + X, чтобы открыть меню Win + X. Теперь выберите Командная строка (Администратор) или Powershell (Администратор) .
- Когда откроется командная строка , выполните команду gpupdate / force .
- Теперь перезагрузите компьютер.
Как только ваш компьютер перезагрузится, файл registry.pol будет воссоздан, и проблема должна быть полностью решена. Многие пользователи сообщили, что это решение исправило их проблему с поврежденной локальной групповой политикой, поэтому обязательно попробуйте ее.
- ЧИТАЙТЕ ТАКЖЕ: Исправлено: Cortana отключена политикой компании в Windows 10
Решение 2. Переместите или удалите файл secedit.sdb.
Другой причиной для поврежденной локальной групповой политики может быть файл secedit.sdb . Удалив этот файл, вы сбросите настройки групповой политики по умолчанию. Чтобы удалить или переместить этот файл, вам просто нужно сделать следующее:
- Перейдите в каталог C: WINDOWS security Database .
- Теперь найдите файл secedit.sdb и переместите его на рабочий стол.
После этого перезагрузите компьютер, и проблема должна быть решена.
Решение 3 — Использование командной строки
Если у вас есть проблемы с поврежденной локальной групповой политикой, вы можете решить эту проблему, просто используя командную строку. Чтобы решить эту проблему, вам просто нужно запустить командную строку и запустить несколько команд. Для этого выполните следующие действия:
- Запустите командную строку от имени администратора.
- При запуске командной строки выполните следующие команды:
- RD / S / Q «% WinDir% System32 GroupPolicyUsers»
- RD / S / Q «% WinDir% System32 GroupPolicy»
- gpupdate / force
После выполнения этих трех команд перезагрузите компьютер и проверьте, устранена ли проблема. Это не самое надежное решение, но несколько пользователей сообщили, что оно работает, поэтому не стесняйтесь попробовать его.
Решение 4 — Выполните сканирование DISM и SFC
По словам пользователей, иногда поврежденная локальная групповая политика может быть вызвана поврежденной установкой Windows. Однако вы можете восстановить вашу установку, выполнив сканирование SFC и DISM. Для этого просто выполните следующие действия:
- Сначала запустите командную строку от имени администратора.
- После запуска командной строки введите команду sfc / scannow и нажмите Enter, чтобы запустить ее.
- Начнется сканирование SFC. Этот процесс может занять около 15 минут, поэтому оставьте свой компьютер, пока сканирование SFC делает свое дело.
После завершения сканирования проверьте, сохраняется ли проблема. Если это так, вам нужно запустить сканирование DISM . Вы можете выполнить это сканирование, выполнив следующие действия:
- Запустите командную строку от имени администратора.
- Запустите команду DISM / Online / Cleanup-Image / RestoreHealth .
- Сканирование DISM начнется. Сканирование обычно занимает около 20 минут, поэтому не мешайте ему.
После завершения сканирования DISM проверьте, сохраняется ли проблема.
- ЧИТАЙТЕ ТАКЖЕ: Как редактировать групповую политику в Windows 10, 8.1
Решение 5 — Отключить клиент служб сертификации — Политика регистрации сертификатов
Если у вас есть проблемы с поврежденной локальной групповой политикой, проблема может заключаться в клиенте служб сертификации — политика регистрации сертификатов . По словам пользователей, эта политика приведет к повреждению вашей локальной групповой политики, поэтому для устранения проблемы необходимо отключить эту политику.
Для этого перейдите в раздел «Политики открытых ключей» в разделе «Объект групповой политики по умолчанию» и отключите клиент служб сертификации — Политика регистрации сертификатов . Для этого выполните следующие действия:
- Нажмите Windows Key + R и введите gpedit.msc . Теперь нажмите Enter или нажмите ОК .
- На левой панели перейдите к Конфигурация компьютера Конфигурация Windows Параметры безопасности Политики открытого ключа . На правой панели дважды щелкните Клиент служб сертификации — Политика регистрации сертификатов .
- Установите для модели конфигурации значение Не настроено . Теперь нажмите Apply и OK, чтобы сохранить изменения.
После этого эта политика будет отключена, и проблема должна быть решена. Возможно, вам придется запустить gpupdate / force после отключения этой политики, чтобы применить изменения.
Решение 6. Удалите содержимое папки «История»
По словам пользователей, у групповой политики есть собственная папка кеша, но если есть проблема с кешем, у вас могут возникнуть проблемы с групповой политикой. Чтобы исправить поврежденную групповую политику, вам просто нужно удалить содержимое папки «История».
Это относительно просто сделать, и вы можете сделать это, выполнив следующие действия:
- Откройте проводник и вставьте C: ProgramData Microsoft Group Policy History в адресную строку. Папка истории скрыта, и, вставив адрес непосредственно в нее, вы сможете мгновенно получить к ней доступ.
- Теперь удалите все файлы из каталога истории .
- После этого откройте командную строку и введите команду GPUpdate / force .
Это не универсальное решение, и если на вашем компьютере нет папки «История», вы можете просто пропустить это решение.
- Читайте также: полное исправление: Защитник Windows отключен групповой политикой
Решение 7 — Выполнить восстановление системы
Если у вас продолжают возникать проблемы с поврежденной групповой политикой, вы можете решить проблему, просто выполнив Восстановление системы . Восстановление системы — это функция Windows, которая позволяет восстановить прежнее состояние системы и устранить многие проблемы. Чтобы выполнить восстановление системы, вам необходимо сделать следующее:
- Нажмите клавиши Windows + S и введите восстановление системы . Выберите Создать точку восстановления из списка результатов.
- Появится новое окно. Нажмите кнопку Восстановление системы .
- Когда откроется окно восстановления системы , нажмите Далее, чтобы продолжить.
- Проверьте Показать еще вариант восстановления точек, если таковые имеются. Выберите нужную точку восстановления и нажмите « Далее» .
- Следуйте инструкциям на экране, чтобы завершить процесс.
Как только ваш компьютер будет восстановлен, проблема должна быть решена, и все снова начнет работать.
Решение 8. Выполните обновление или сброс Windows 10 на месте
Если все другие решения не сработали, последний вариант — выполнить обновление на месте. Этот процесс переустановит Windows 10, сохранит все ваши файлы и приложения и восстановит все поврежденные файлы. Если у вас возникают проблемы с поврежденной локальной групповой политикой, обновление на месте может быть лучшим способом их устранения.
Чтобы выполнить обновление на месте, вам необходимо сделать следующее:
- Скачайте и запустите Media Creation Tool .
- Выберите Обновить этот компьютер сейчас .
- Выберите Загрузить и установить обновления (рекомендуется) и нажмите Далее . Этот шаг не является обязательным, поэтому, если вы спешите, вы можете не устанавливать обновления.
- Следуйте инструкциям на экране. Когда вы попадете на экран « Готов к установке» , выберите « Изменить то, что сохранить» .
- Выберите Сохранить личные файлы и приложения и нажмите Далее .
- Следуйте инструкциям на экране, чтобы завершить процесс.
После обновления на месте у вас будет новая установка Windows 10, и все ваши проблемы должны быть решены. Если проблема все еще существует, мы рекомендуем вам перезагрузить Windows 10 .
Поврежденная групповая политика может вызвать много проблем, но мы надеемся, что вам удалось решить их с помощью одного из наших решений.
ЧИТАЙТЕ ТАКЖЕ:
- ИСПРАВЛЕНИЕ: «Служба политики диагностики не работает» Ошибка Windows 10
- Исправлено: заикание в играх, вызванное службой политики диагностики
- Как установить редактор групповой политики в Windows 10 Home
Во всех популярных редакциях Windows 10 выше Home имеется встроенный инструмент администрирования gpedit.msc или локальные групповые политики. Данный инструмент включает в себя широкий спектр политик (настроек) и предназначается для принудительного изменения базовой конфигурации операционной системы и учетных записей. Реализован он в виде консоли управления MMC с достаточно удобным и интуитивно понятным графическим интерфейсом.
После изменения ряда политик компьютер необходимо перезагрузить или выждать от 30 до 90 минут, чтобы новые настройки смогли вступить в силу, но вы можете заставить их работать сразу, сэкономив время и избавив себя от необходимости перезапускать систему.
Давайте же посмотрим, как это можно сделать.
Всё довольно просто, если вы хотите обновить все политики сразу, откройте от имени администратора PowerShell или командную строку и выполните команду gpupdate /force.
Эта команда «перезапустит» политики и компьютера, и пользователей.
А теперь представим, что вы хотите обновить лишь определенную категорию политик, скажем, только именные политики пользователя. И тут ничего сложного, просто к команде gpupdate добавляется соответствующий ключ. А чтобы всё было ясно, приводим примеры:
• gpupdate /target:computer — Обновляет только измененные политики компьютера.
• gpupdate /target:user — Обновляет только измененные пользовательские политики.
Если же вы хотите обновить все политики только пользователя или только компьютера, добавьте в конец каждой команды через пробел ключ /force.
К слову, всем тем, кто пользуется редактором локальных групповых политик не помешает ознакомиться и с другими полезными ключами утилиты gpupdate.exe.
К примеру, есть политики, обновление которых в фоновом режиме невозможно, и в этом случае добавленный в конец команды ключ /boot позволит вам выполнить перезагрузку прямо из командной строки.
Загрузка…
Если изменения, сделанные вами с помощью Редактора групповой политики , не отражаются на клиентском компьютере, и вы получаете ошибки, которые могут указывать на тот факт, что ваша система Windows не может прочитать файл групповой политики (реестр). pol), тогда вам может понадобиться восстановить потенциально поврежденную групповую политику в Windows 10. Давайте посмотрим, как вы могли бы это сделать.
Групповая политика – это функция Microsoft Windows Active Directory, которая позволяет администратору вносить изменения в функции на компьютерах с Windows, которые находятся в сети. Если изменения, которые вы пытаетесь выдвинуть, не зарегистрированы на клиентском компьютере, возможно, проблема в файле registry.pol на клиенте или в папке Group Policy отсутствует.
Содержание
- Восстановление поврежденной групповой политики в Windows 10
- 1] Выполнить восстановление системы
- 2] Запустите DISM Tool
- 3] Удалить и восстановить отсутствующий файл registry.pol
- 4] Сброс групповой политики по умолчанию
- 5] Восстановить файл secedit.sdb
Восстановление поврежденной групповой политики в Windows 10
Мы начнем с основного предложения, а затем продвинемся дальше. Вам нужно будет запустить его на компьютере с правами администратора.
1] Выполнить восстановление системы
Выполните восстановление системы и посмотрите, поможет ли это вам.
2] Запустите DISM Tool
Когда вы запускаете инструмент DISM (Управление развертыванием образов и обслуживанием), он восстанавливает образ системы Windows и хранилище компонентов Windows в Windows 10. Это обеспечит восстановление папок и файлов, если они отсутствуют или повреждены. Все системные несоответствия и повреждения должны быть исправлены.
Если это не помогает, возможно, вам нужно запустить DISM с хорошим источником, который может быть на внешнем диске, используя следующие команды:
DISM.exe/Online/Cleanup-Image/RestoreHealth/Источник: C: RepairSource Windows
Замените C: RepairSource Windows на местоположение вашего источника восстановления
Чтобы восстановить автономный образ, используя подключенный образ в качестве источника восстановления, используйте:
Dism/Image: C: offline/Cleanup-Image/RestoreHealth/Source: c: test mount windows
Посмотрите, решило ли это проблему.
3] Удалить и восстановить отсутствующий файл registry.pol
Все параметры групповой политики хранятся в файле registry.pol. Если этот файл отсутствует, любые изменения, отправленные клиенту, вообще не будут отражены. Хорошей новостью является то, что вы можете воссоздать его. Просто чтобы убедиться, что файл удален, даже если он существует.
Перейдите в C: Windows System32 GroupPolicy Machine .
Проверьте, есть ли у него файл registry.pol. Удалите его навсегда, используя Shift + Delete.
Чтобы восстановить его, откройте PowerShell с правами администратора. (Win + Х + А)
Выполните следующую команду:
gpupdate/force
Это повторно создаст групповую политику и заново создаст файл групповой политики.
4] Сброс групповой политики по умолчанию
Существует несколько способов сброса групповой политики по умолчанию. Это позволит убедиться, что если возникнут какие-либо проблемы из-за текущих настроек, они будут решены. Вы можете использовать gpupdate или secedit, чтобы сделать это.
5] Восстановить файл secedit.sdb
Все параметры безопасности групповой политики хранятся в файле secedit.sdb . Если какие-либо изменения, внесенные в безопасность, не отражаются, то вместо удаления файла групповой политики нам нужно удалить и заново создать файл secedit.sdb.
Перейдите в папку C: WINDOWS security Database .
Найдите файл secedit.sdb . Затем переименуйте его или переместите в другую папку.
Перезагрузите компьютер, и он автоматически заново создаст файл.
Все эти советы должны помочь вам исправить потенциально поврежденную групповую политику на компьютере Windows.
Этот пост покажет вам, как сбросить Windows 10, если вы когда-либо чувствуете необходимость.