Разное

Обновить групповую политику: Обновление групповой политики удаленно и локально

Содержание

Обновление групповой политики удаленно и локально

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз мы с вами мы с вами разбирали процедуру создания центрального хранилища административных шаблонов GPO. Движемся дальше и сегодня мы рассмотрим, самую распространенную задачу связанную с групповыми политиками, а именно научимся ее обновлять локально и удаленно, я расскажу в каких ситуациях данная информация вам можете помочь. Мы рассмотрим, какие инструменты у вас есть в арсенале, и я уверяю вас, что вы явно знали не обо всех.

Для чего нужно уметь обновлять групповую политику?

Перед тем, как перейти к практической части я бы хотел описать ряд ситуаций, которые вы можете встретить в своей практике, где вам можете потребоваться ручное обновление GPO.  Еще хочу напомнить, что по умолчанию, любая операционная система Windows, являющаяся членом домена AD сама, автоматически производит обновление групповых политик каждые 90-120 минут, это позволяет не генерировать много сетевого трафика и сделать балансировку при обращении к мастеру PDC, но бывают и другие ситуации.

Предположим, что вы внесли важные обновления настроек для ваших серверов, например для авторизации CredSSP, или закрываете какую-то дыру безопасности, логично, что в Active Directory, это делается через групповые политики. Когда у вас 5-10 серверов, то нет проблем чтобы зайти на каждый из них через удаленный рабочий стол и выполнить команду, а когда серверов сотни, тут уже нужна массовость. Еще не нужно сбрасывать со счетов ситуации, когда вы по RDP не можете зайти, через редактор политик обновить не получается, что делать, тут можно сделать все удаленно через PowerShell или командную строку, об этом то же поговорим.

Вы всегда должны уметь и иметь возможность вносить массовые изменения на ваших серверах, и применять их как можно скорее

Методы обновления GPO

Давайте составим список способов и инструментов, которые вы можете использовать:

  • Командная строка Windows - позволяет быстро выполнить обновление, работает локально
  • Оболочка PowerShell - так же, как и cmd позволяет сделать обновление, как локально, так и удаленно
  • Оснастка "Управление групповой политикой" - удаленное обновление GPO, есть возможность выбрать отдельные объекты
  • Утилита PsExec - позволяет удаленно выполнить задачу

Давайте теперь опробуем каждый из этих методов.

Как обновить GPO через командную строку

Для выполнения этого метода, вы должны зайти локально на компьютер или сервер, открыть командную строку и ввести вот такую, небольшую команду:

Ключ /force произведет принудительное обновление групповой политики. Хочу отметить, что некоторые настройки могут применяться, только после выхода из системы. Если политика показала, что успешно обновилась, но эффекта не произошло, то смотрите мою статью "Почему не применяются GPO", придется делать траблшутинг.

Как вы можете обратить внимание, что команда выше производит обновление политик, как для пользователя, так и для компьютера, но при желании вы можете этим манипулировать и явным образом указать, что подлежит апдейту. Для этого есть ключ /Target:{Computer | User}. 

Предположим, что мне нужно выполнить только для пользователя, для этого пишем:

gpupdate /force /target:User

Еще интересный ключик, это выполнить задержку /Wait:{ваше значение}. По умолчанию значение 600 секунд.

Как обновить GPO через PowerShell

Оболочка PowerShell так же имеет отдельный командлет, который легко может инициировать запрос на обновление групповой политики, называется он Invoke-GPUpdate.

Invoke-GPUpdate - это командлет обновляющий параметры групповой политики, включая настройки безопасности, которые установлены на удаленных компьютерах с помощью планирования хода выполнения команды Gpupdate. Вы можете комбинировать этот командлет по сценарию, чтобы запланировать команду Gpupdate на группе компьютеров. Обновление может быть запланировано для немедленного запуска параметров политики или ожидания в течение определенного периода времени, максимум до 31 дня. Чтобы избежать нагрузки на сеть, время обновления будет смещено на случайную задержку.

Давайте запросим обновление политик GPO на моем тестовом сервере с Windows Server 2019, для этого запускаем оболочку PowerShell и вводим команду:

Invoke-GPUpdate –RandomDelayInMinutes 0

Ключ –RandomDelayInMinutes 0 установит задержку в выполнении на ноль секунд, в противном случае обновление будет выполнено рандомно, через некоторое время.

Обратите внимание, что командлет не выдает никаких результатов, если все работает нормально. В некоторых случаях ваши пользователи могут увидеть всплывающее окно командной строки с заголовком taskeng.exe, которое отображает сообщение "Политика обновления". Через секунду окно исчезает.

Если нужно произвести обновление на удаленном компьютере, то нужно воспользоваться ключом -Computer, команда примет вот такой вид:

Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org –RandomDelayInMinutes 0

Если нужно выполнить принудительно без запроса подтверждения пользователя, то укажите ключ -Force.

Если нужно указать явно, что необходимо запросить политики только для пользователя или компьютера, то можно использовать ключ -Target, который имеет значения User или Computer. Кстати если удаленный компьютер не отвечает, то вы получите ошибку:

Invoke-GPUpdate : Компьютер "dc01.root.pyatilistnik.org" не отвечает. Целевой компьютер выключен или отключены правила брандмауэра удаленного управления запланированными задачами (Invoke-GPUpdate : Computer "dc01. root.pyatilistnik.org" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.).
Имя параметра: computer
строка:1 знак:1
+ Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org -Target User –Ra ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationTimeout: (:) [Invoke-GPUpdate], ArgumentException
+ FullyQualifiedErrorId : COMException,Microsoft.GroupPolicy.Commands .InvokeGPUpdateCommand

Еще одним преимуществом командлета PowerShell является то, что у вас есть больше возможностей в выборе машин, которые вы хотите обновить. Например, с помощью приведенной ниже команды вы должны выбрать все компьютеры, которые начинаются с "

Note*".

Get-ADComputer –Filter 'Name -like "Note*"' | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Если нужно выбрать все компьютеры, то ставим звездочку "*"

Get-ADComputer –Filter * | foreach{ Invoke-GPUpdate –Computer $_. name -Force -RandomDelayInMinutes 0}

При желании вы можете найти все компьютеры по версиям операционных систем и сделать обновление групповых политик по данному критерию.

Не забываем, что можно ограничить поиск отдельным организационным подразделением, для этого есть ключ -Searchbase и команда примет вот такой вид:

Get-ADComputer –Filter * -Searchbase "OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Еще вы можете подготовить текстовый файл со списком серверов, который так же можно через цикл обработать, вот по такому принципу:

$comps = Get-Content "C:\temp\comps.txt"
foreach ($comp in $comps)
{
Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0
}

Я также добавил здесь параметр -Force, чтобы обеспечить повторное применение параметров групповой политики, даже если клиент замечает, что новые версии GPO недоступны. Таким образом, когда мы говорим о принудительном обновлении групповой политики, мы на самом деле имеем в виду две разные вещи. Без параметра Force мы просто незамедлительно инициируем обновление; если мы добавим параметр Force, мы форсируем обновление, даже если обновлять нечего. Параметр Force вступает в игру, если вы считаете, что что-то пошло не так в предыдущем обновлении объекта групповой политики.

Обновление групповой политики через оснастку GPMC

Начиная с операционной системы Windows Server 2012 R2, компания Microsoft расширила функционал оснастки по управлению политиками. Разработчики внедрили механизм, массового и точечного инициирования применения политик GPO к нужным объектам и заметьте через графический интерфейс. Откройте оснастку "

Управление групповой политикой", проще всего, это сделать через окно "Выполнить", введя там там команду gpmc.msc.

Далее, что вы делаете. Находите нужную вам OU, щелкнуть правым кликом и из контекстного меню выбрать пункт "Обновление групповой политики".

У вас появится окно "Принудительное обновление групповой политики", в котором вы увидите количество объектов, к которым будет применено действие

На следующем экране вы увидите результат отработки команды, в первом моем примере политики успешно применилась.

При желании все результаты команды можно сохранить в CSV файле

Вот пример содержимого такого файла

на компьютерах, где таким методом была запущена процедура принудительного применения GPO, вы в логах Windows можете обнаружить событие с кодом 1704:

Политика безопасности в объектах групповой политики успешно применена.

То же самое можно посмотреть и в Windows Admin Center, где нужно зайти в раздел события.

Ошибка 8007071a "Удаленный вызов процедуры был отменен"

Иногда в консоли GPMC вы можете получать ошибку:

8007071a "Удаленный вызов процедуры был отменен"

Связана она с тем, что на удаленных компьютерах у вас брандмауэр Windows блокирует эти вызовы, чтобы это поправить я вам советую сделать разрешающую политику, подробнее читайте, как исправить ошибку 8007071a.

Обновление GPO через PSexec

Я вам очень часто рассказываю в своих примерах из моей практики, об утилите PSexec и сборнике SysInternals от Марка Руссиновича. Суть метода в том, что с помощью специальной утилиты вы сможете выполнить удаленную команду, ранее я так удаленно включал RDP на сервере или клиентской машинке.

Далее вы распаковываете архив, если он в таком виде и открываете папку с утилитами SysInternals в командной строке, напомню сделать, это можно через команду cd или через правый клик с зажатым Shift по нужной папке, выбрав пункт "Открыть окно команд".

Обращаю внимание, что у вас должны быть соблюдены несколько требований:

  • Как и в случае Invoke-GPUpdate, вы должны изменить настройки брандмауэра на своих клиентах. Поскольку PsExec использует протокол SMB, вам нужно открыть TCP-порт 445. Как открыть порт  я уже подробно рассказывал, можете посмотреть, советую использовать для этого групповую политику.
  • Второе, это наличие прав на удаленном компьютере, чтобы запустить там Gpupdate

Теперь выполните команду:

psexec \\имя компьютера –i gpupdate

Обратите внимание, что параметр -i здесь важен. Это гарантирует, что PsExec взаимодействует с удаленным рабочим столом, что необходимо для обновления пользовательских политик. Если этот параметр не указан, будут обновлены только конфигурации компьютера, хотя ни PsExec, ни gpupdate не выдадут сообщение об ошибке. Без параметра –i gpupdate обновит пользовательские настройки, только если вы вошли в систему с одинаковой учетной записью на исходном и целевом компьютере.

В результате будет удаленный запуск утилиты gpupdate, если все хорошо, то вы получите сообщение "gpupdate exited on svt2019s01.root.pyatilistnik.org with error code 0

".

на удаленном компьютере в журналах системы вы увидите два события 1500 и 1501.

Событие 1500: Параметры групповой политики для этого компьютера обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.

Событие 1501: Параметры групповой политики для этого пользователя обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.

Так же вы можете подключиться вообще к удаленной командной строке, через команду:

psexec \\имя компьютера –i cmd

Далее просто пишите gpupdate /force, обратите внимание я через команду hostname показал, что подключение идет с одного компьютера на другой.

Если компьютер не подключен к сети, вы получите следующее сообщение об ошибке:

Couldn’t access ComputerName:The network name cannot be found.
Make sure that the default admin$ share is enabled on ComputerName

Чтобы массово обновить групповую политику на всех компьютерах домена, воспользуйтесь знаком звездочки "*":

Если это не помогло и выскочила ошибка, то может воспользоваться через PowerShell. В оболочке перейдите в каталог с утилитами PSTools и выполните:

Get-ADComputer –filter 'Name -like "*"' | Select-Object -ExpandProperty Name | foreach{ Invoke-Expression –Command ".\psexec.exe \\$_ -i gpupdate.exe"}

Или можно из конкретного OU добавив

Get-ADComputer –filter 'Name -like "*"'-Searchbase "OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org" | Select-Object -ExpandProperty Name | foreach{ Invoke-Expression –Command ". \psexec.exe \\$_ -i gpupdate.exe"}

Другой вариант - сначала экспортировать все имена компьютеров из контейнера Active Directory в текстовый файл с помощью командлета Get-ADComputer:

Get-ADComputer –filter 'Name -like "win*"' -Searchbase "OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org" | Select-Object -ExpandProperty Name | Out-File -Encoding ascii c:\tmp\ComputerList.txt

Обратите внимание, что мы должны кодировать выходной файл с помощью ASCII, чтобы мы могли прочитать его содержимое из пакетного файла следующим образом:

For /f "tokens=*" %%a in (c:\tmp\ComputerList.txt) Do psexec \\%%a -i gpupdate

PsExec против Invoke-GPUpdate

Основным недостатком метода PsExec является то, что он относительно медленный. Это может занять от 3 до 4 секунд на компьютер, а для компьютеров, которые не подключены к сети, это может занять еще больше времени. PsExec иногда даже зависал во время моих тестов.

Разрешение входящих подключений через порт 445 является угрозой безопасности. Компьютерные черви могут использовать этот порт, а хакеры могут делать много неприятных вещей с помощью PsExec. Открытие порта планировщика заданий для Invoke-GPUpdate также проблематично, но я думаю, что порт 445 более популярен среди программистов вредоносных программ.

Таким образом, в большинстве сценариев Invoke-GPUpdate является лучшим вариантом. Однако, если вы все равно открыли порт 445 по другим причинам и не хотите открывать порты Invoke-GPUpdate, вы можете предпочесть PsExec для принудительного обновления групповой политики.

Удаленное обновление GPO через Enter-PSSession

Еще в PowerShell есть командлет для удаленного подключения к компьютеру, называется он Enter-PSSession, его принцип работ, как у PsExec. Откройте оснастку PowerShell и введите:

Enter-PSSession -ComputerName svt2019s01

Далее вы подключитесь к удаленному компьютеру, где потом просто введите gpupdate /force.

Удаленное обновление GPO через Windows Admin Center

Если вы в своей практике используете утилиту удаленного администрирования Windows Admin Center, то вы легко можете подключиться к удаленному серверу и обновить политики GPO все через тот же gpupdate /force.

На этом у меня все. Я вам постарался подробно рассказать, о всех методах локального и дистанционного обновления групповых политик пользователя и компьютера на ваших компьютерах домена. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Когда обновлялась групповая политика | Настройка серверов windows и linux

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами разобрали, где скачать библиотеку vcruntime140.dll, отсутствие которой у нас вызывало ошибку установки и запуска некоторых игр. В сегодняшней статье я хочу с вами поделиться уже административным опытом и мы разберем, как определить время последнего обновления групповых политик на компьютере, иногда такая задача у вас может появиться.

Постановка задачи

Предположим, что вы сделали новую групповую политику и к какому-то пользовательскому компьютеру она не применилась, перед тем, как искать причину обработки GPO, вам нужно вычислить дату последнего обновления. В статье нам нужно изучить методы и инструменты, которые позволят это сделать.

Методы определения времени применения групповых политик

  • Утилита Gpresult
  • PowerShell
  • Утилита GP Time
  • Rsop
  • Реестр Windows

Как выяснить время обновления GPO через командную строку

Самый просто способ, это использование всем известной утилиты командной строки под названием Gpresult. Открываем cmd и вводим команду:

На моем тестовом сервере с Windows Server 2019 я получил, что политика для компьютера применилась в 11:13:20, а вот политика изменяющая конфигурацию пользователя в 11:55:47, это интересно, что все в разное время.

При необходимости gpresult может вывести информацию, только по пользователю или компьютеру, для этого есть ключ /scope:

или более детально отфильтровать через findstr

gpresult /scope:user /R | findstr "Последнее применение групповой политики"

Как выяснить время обновления GPO через RSOP

RSoP (Resultant Set of Policy) - это отчет обо всех параметрах групповой политики в Active Directory, который показывает, как эти параметры могут влиять на сеть или как существующие объекты групповой политики (GPO) влияют на различные комбинации пользователей и компьютеров, когда локальная политика безопасности прилетели.

Чтобы запустить RSOP вы можете воспользоваться множеством методов, я бы выделил через командную строку или через окно выполнить. В командной строке просто введите:

В результате у вас будет произведен сбор сводных данных

Тоже самое через окно "Выполнить" в котором нужно вписать rsop.msc.

В результате вы получите отчет результирующей политики, тут вы увидите так же два раздела. Один для компьютера, второй для пользователя. Щелкните правым кликом по нужному разделу и выберите из контекстного меню пункт "Свойства".

В окне свойств перейдите на вкладку "Сведения об ошибке" и найдите пункт "Инфраструктура групповой политики", в области сведений вы увидите время обновления групповой политики.

Как выяснить время обновления GPO через PowerShell

Естественно у Microsoft есть отдельные командлеты, который позволяет вычислить время применения GPO, называется они Get-GPResultantSetOfPolicy и Get-GPOReport. Чтобы ими воспользоваться на клиентской системе, такой как Windows 10, вам необходимо установить RSAT пакет и импортировать модуль GroupPolicy. в противном случае вы будите получать ошибку:

Install-WindowsFeature : Имя "Install-WindowsFeature" не распознано как имя командлета, функции, файла сценария или выполняемой программы. Проверьте правильность
написания имени, а также наличие и правильность пути, после чего повторите попытку.
строка:1 знак:1
+ Install-WindowsFeature –Name GPMC
+ ~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (Install-WindowsFeature:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException

Get-GPOReport : Имя "Get-GPOReport" не распознано как имя командлета, функции, файла сценария или выполняемой программы. Проверьте правильность написания имени,
а также наличие и правильность пути, после чего повторите попытку.
строка:1 знак:1
+ Get-GPOReport
+ ~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (Get-GPOReport:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException

Чтобы иметь возможность использовать эти командлеты, установите пакет RSAT, в операционных системах Windows Server, это не нужно. Далее установите модуль GroupPolicy, через команду:

Install-WindowsFeature –Name GPMC

После его установки введите команду для просмотра доступных модулей:

Get-Command -Module GroupPolicy

В итоге я вижу:

  • Get-GPPermissions
  • Set-GPPermissions
  • Backup-GPO
  • Copy-GPO
  • Get-GPInheritance
  • Get-GPO
  • Get-GPOReport
  • Get-GPPermission
  • Get-GPPrefRegistryValue
  • Get-GPRegistryValue
  • Get-GPResultantSetOfPolicy
  • Get-GPStarterGPO
  • Import-GPO
  • Invoke-GPUpdate
  • New-GPLink
  • New-GPO
  • New-GPStarterGPO
  • Remove-GPLink
  • Remove-GPO
  • Remove-GPPrefRegistryValue
  • Remove-GPRegistryValue
  • Rename-GPO
  • Restore-GPO
  • Set-GPInheritance
  • Set-GPLink
  • Set-GPPermission
  • Set-GPPrefRegistryValue
  • Set-GPRegistryValue

Чтобы вычислить время последнего обновления групповых политик через командлет Get-GPResultantSetOfPolicy, выполните команду:

Get-GPResultantSetOfPolicy -ReportType HTML -Path "c:\report. html"

Где -ReportType, это вид конечного файла, может быть и xml, -Path, это путь до конечного файла, подробнее можно почитать на https://docs.microsoft.com/en-us/powershell/module/grouppolicy/get-gpresultantsetofpolicy?view=win10-ps.

В результате вы получите отчет в виде html файла, который легко открывается через браузер. В самом верху отчета вы увидите сводку по времени последнего обновления политики для пользователя и компьютера.

Так же Get-GPResultantSetOfPolicy может получать данные и с удаленного компьютера, для этого нужно добавить ключ -Computer, в итоге команда примет вот такой вид:

Get-GPResultantSetOfPolicy -Computer dc01 -ReportType HTML -Path "c:\report.html"

Как видим отчет получен и данные в нем есть, единственное в моем тесте показалось время обновления только для компьютера, но вам никто не мешает явно задать ключ -user перед -Computer.

Как выяснить время обновления GPO через реестр Windows

Логично предположить, что gpresult, rsopm powershell получают все значения из реестра Windows и я вам покажу, где располагаются данные ветки. Для начала давайте посмотрим для компьютера. Для этого откройте реестр Windows и перейдите в раздел:

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ Group Policy\State\Machine\Extension-List\ {00000000-0000-0000-0000-000000000000}

тут вы обнаружите 6 ключей:

  • EndTimeHi
  • EndTimeLo
  • LoggingStatus
  • StartTimeHi
  • StartTimeLo
  • Status

Как вы можете обратить, эти данные для вас не особо читаемы, так как имеют шестнадцатиричное значение, но вы можете воспользоваться моим скриптом, который легко, это поправить.

Вы можете воспользоваться готовым скриптом по определению времени обработки политик, слева ссылка на его скачивание, а ниже его тест:

$RegPath='HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}'
$LowTime=Get-ItemProperty -path $RegPath -name "EndTimeLo"
$HighTime=Get-ItemProperty -path $RegPath -name "EndTimeHi"
$CompTime=([long]$HighTime. EndTimeHi -shl 32) + [long] $LowTime.EndTimeLo
[DateTime]::FromFileTime($CompTime)

На выходе я вижу 19 ноября 2019 г. 17:25:51.

Узнаем время обновления GPO через gptime

gptime.exe - это удобная небольшая утилита предназначена для быстрого и краткого отчета о том, когда в последний раз компьютер и пользовательская групповая политика запускались в локальной или удаленной системе. Если в систему вошли более одного пользователя, инструмент сообщит о времени обработки GP для всех найденных пользователей.

Этот инструмент предоставляет время запуска и остановки для последнего цикла обработки, а также общее истекшее время, что может быть полезно. Вам необходим Для работы требуется .Net Framework 2.0, установленный на компьютере, на котором вы запускаете эту утилиту.

В командной строке перейдите в каталог с gptime.exe и запустите ее. В моем примере видно, когда были обновлены политики для компьютера, а так же для всех пользователей, чьи профили были обнаружены на компьютере.

Удаленное определение времени применения GPO

Я вам уже неоднократно рассказывал про утилиты Марка Руссиновича PSTools, а конкретнее PsExec. Утилита при наличии административных прав на целевом компьютере может запускать командную строку или оболочку PowerShell из которой уже легко делать, то что нужно. Открываем командную строку, переходим в папку с утилитой PsExec. Подключаться я буду с контроллера домена dc01 к удаленному серверу SVT2019S01. Для начала через команды hostname и whoami я виду исходные данные и, что cmd запущенна именно на исходном сервере.

Далее пишите:

PsExec64.exe \\svt2019s01.root.pyatilistnik.org -u root\Администратор

\\svt2019s01.root.pyatilistnik.org это имя моего сервера

Вас попросит ввести пароль, если кстати не указывать ключ -u, то вам не нужно будет вводить логин и пароль, а будут использоваться текущие данные из под кого запущена командная строка. В итоге я успешно подключился и вижу, что hostname уже SVT2019S01. Далее все просто вы используете утилиту gpresult /R.

Еще получить данные с удаленного компьютера, вы можете через командлет PowerShell Enter-PSSession. Для этого введите команду:

Enter-PSSession -ComputerName svt2019s01

далее подключившись к серверу вы все так же выполняете gpresult /R.

На этом мои методы закончились, я допускаю, что существует еще огромное количество утилит, но мне достаточно и этих. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

gpupdate | Microsoft Docs

  • Чтение занимает 2 мин

В этой статье

Обновляет параметры групповая политика.Updates Group Policy settings.

СинтаксисSyntax

gpupdate [/target:{computer | user}] [/force] [/wait:<VALUE>] [/logoff] [/boot] [/sync] [/?]

ПараметрыParameters

ПараметрParameter ОписаниеDescription
/target:{computer|user}/target:{computer|user} Указывает, что обновляются только параметры политики "пользователь" или "только компьютер".Specifies that only User or only Computer policy settings are updated. По умолчанию параметры политики пользователя и компьютера обновляются.By default, both User and Computer policy settings are updated.
/Force/force Повторно применяет все параметры политики.Reapplies all policy settings. По умолчанию применяются только измененные параметры политики.By default, only policy settings that have changed are applied.
/Wait<VALUE>/wait:<VALUE> Задает число секунд ожидания завершения обработки политики перед возвратом в командную строку. Sets the number of seconds to wait for policy processing to finish before returning to the command prompt. При превышении предела времени появится командная строка, но обработка политики продолжится.When the time limit is exceeded, the command prompt appears, but policy processing continues. Значение по умолчанию — 600 секунд.The default value is 600 seconds. Значение 0 означает, что не нужно ждать.The value 0 means not to wait. Значение -1 означает неограниченное время ожидания.The value -1 means to wait indefinitely.

В скрипте с помощью этой команды с указанным пределом времени можно выполнить команду gpupdate и продолжить с командами, которые не зависят от завершения работы программы gpupdate.In a script, by using this command with a time limit specified, you can run gpupdate and continue with commands that do not depend upon the completion of gpupdate. Кроме того, можно использовать эту команду без ограничения времени, чтобы разрешить выполнение gpupdate , прежде чем запускаются другие команды, зависящие от нее.Alternatively, you can use this command with no time limit specified to let gpupdate finish running before other commands that depend on it are run.

/логофф/logoff Вызывает выход из системы после обновления параметров групповая политика.Causes a logoff after the Group Policy settings are updated. Это необходимо для тех групповая политика клиентских расширений, которые не обрабатывают политику в фоновом цикле обновления, но выполняют политику обработки при входе пользователя в систему.This is required for those Group Policy client-side extensions that do not process policy on a background update cycle but do process policy when a user logs on. К примерам относятся установка программного обеспечения на уровне пользователя и перенаправление папок.Examples include user-targeted Software Installation and Folder Redirection. Этот параметр не действует, если нет расширений, требующих выхода из системы.This option has no effect if there are no extensions called that require a logoff.
/Boot/boot Вызывает перезагрузку компьютера после применения параметров групповая политика.Causes a computer restart after the Group Policy settings are applied. Это необходимо для тех групповая политика клиентских расширений, которые не обрабатывают политику в фоновом цикле обновления, но выполняют политику при запуске компьютера.This is required for those Group Policy client-side extensions that do not process policy on a background update cycle but do process policy at computer startup. Примеры включают установку программного обеспечения на компьютере.Examples include computer-targeted Software Installation. Этот параметр не действует, если нет расширений, требующих перезагрузки.This option has no effect if there are no extensions called that require a restart.
/Sync/sync Приводит к синхронному выполнению следующего приложения политики переднего плана. Causes the next foreground policy application to be done synchronously. Политика переднего плана применяется при загрузке компьютера и входе пользователя в систему.Foreground policy is applied at computer boot and user logon. Это можно указать для пользователя, компьютера или обоих параметров с помощью параметра /Target .You can specify this for the user, computer, or both, by using the /target parameter. Параметры /Force и /Wait игнорируются, если они указаны.The /force and /wait parameters are ignored if you specify them.
/?/? Отображает справку в командной строке.Displays Help at the command prompt.

ПримерыExamples

Чтобы принудительно выполнить фоновое обновление всех параметров групповая политика, независимо от того, изменились ли они, введите:To force a background update of all Group Policy settings, regardless of whether they've changed, type:

gpupdate /force

Дополнительные ссылкиAdditional References

Шаг 4. Настройка параметров групповой политики для автоматического обновления

  • Чтение занимает 37 мин

В этой статье

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В среде Active Directory можно использовать групповую политику для определения того, как компьютеры и пользователи (в данном документе именуемые клиентами WSUS) могут взаимодействовать с обновлениями Windows для получения автоматических обновлений от служб Windows Server Update Services (WSUS). In an active directory environment, you can use Group Policy to define how computers and users (referred to in this document as WSUS clients) can interact with Windows Updates to obtain automatic updates from Windows Server Update Services (WSUS).

Эта статья содержит два основных раздела.This topic contains two main sections:

Раздел Параметры групповой политики для обновлений клиента WSUS, содержащий предписывающие указания и поведенческие сведения о параметрах групповой политики Центра обновления Windows и планировщика заданий обслуживания, которые управляют тем, как клиенты WSUS могут взаимодействовать с Центром обновления Windows для получения автоматических обновлений.Group Policy settings for WSUS client updates, which provides prescriptive guidance and behavioral details about the Windows Update and Maintenance Scheduler settings of Group Policy that control how WSUS clients can interact with Windows Update to obtain automatic updates.

Раздел Дополнительные сведения содержит следующие подразделы:Supplemental information has the following sections:

  • Доступ к параметрам Центра обновления Windows в групповой политике содержит общие указания по использованию редактора управления групповыми политиками и сведения о доступе к расширениям политики служб обновления и параметрам планировщика заданий обслуживания в групповой политике. Accessing the Windows Update settings in Group Policy, which provides general guidance about using Group Policy Management editor, and information about accessing the Update Services policy extensions and Maintenance Scheduler settings in Group Policy.

  • Изменения во WSUS, относящиеся к данному руководству: для администраторов, знакомых с WSUS 3.2 и предыдущими версиями, в этом разделе приводится краткое описание ключевых различий между текущей и предыдущей версиями WSUS, относящиеся к данному руководству.Changes to WSUS relevant to this guide: for administrators familiar with WSUS 3.2 and previous versions, this section gives a brief summary of key differences between the current and past version of WSUS relevant to this guide.

  • Термины и определения: определения различных терминов, относящихся к службам WSUS и службам обновления, которые используются в данном руководстве.Terms and Definitions: definitions for various terms pertaining to WSUS and update services that are used in this guide.

Параметры групповой политики для обновлений клиента WSUSGroup Policy settings for WSUS client updates

В этом разделе представлены сведения о трех расширениях групповой политики.This section provides information about three extensions of Group Policy. В этих расширениях вы найдете параметры, которые можно использовать для настройки того, как клиенты WSUS могут взаимодействовать с Центром обновления Windows для получения автоматических обновлений.In these extensions you will find the settings that you can use to configure how WSUS clients can interact with Windows Update to receive automatic updates.

Примечание

В этом разделе предполагается, что вы уже используете групповую политику и знакомы с ней.This topic assumes that you already use and are familiar with Group Policy. Если вы не знакомы с групповой политикой, рекомендуется просмотреть раздел Дополнительные сведения этого документа, прежде чем настраивать параметры политики для WSUS.If you are not familiar with Group Policy, it is advised that you review the information in the Supplemental information section of this document before attempting to configure policy settings for WSUS.

Конфигурация компьютера > Параметры политики Центра обновления WindowsComputer Configuration > Windows Update policy settings

В этом разделе содержатся сведения о следующих параметрах политики на основе компьютера.This section provides details about the following computer-based policy settings:

В GPME политики Центра обновления Windows для конфигурации компьютера расположены в пути: PolicyName > Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Центр обновления Windows.In the GPME, Windows Update policies for computer-based configuration are located in the path: PolicyName > Computer Configuration > Policies > Administrative Templates > Windows components > Windows Update.

Примечание

По умолчанию эти параметры не настроены. By default, these settings are not configured.

Разрешить немедленную установку автоматических обновленийAllow Automatic Updates immediate installation

Указывает, будет ли средство автоматического обновления автоматически устанавливать обновления, которые не прерывают работу служб Windows и не перезапускают Windows.Specifies whether Automatic Updates will automatically install updates that do not interrupt Windows services or restart Windows.

Примечание

Если параметр политики "Настройка автоматического обновления" отключен, такая политика ни на что не влияет.if the Configure Automatic Updates policy setting is set to Disabled, this policy has no effect.

Состояние параметра политики.Policy setting state Поведение.Behavior
Не настроено.Not Configured Указывает, что обновления не будут устанавливаться немедленно. Specifies that updates are not immediately installed. Локальные администраторы могут изменить этот параметр с помощью редактора локальных групповых политик.Local administrators can change this setting by using the Local Group Policy editor.
ВключенEnabled Указывает, что средство автоматического обновления немедленно устанавливает обновления после их скачивания и готовности к установке.Specifies that Automatic Updates immediately installs updates after they are downloaded and ready to install.
ОтключенDisabled Указывает, что обновления не будут устанавливаться немедленно.Specifies that updates are not immediately installed.

Настройки: настройки для этого параметра отсутствуют.Options: There are no options for this setting.

Разрешать пользователям, не являющимся администраторами, получать уведомления об обновленияхAllow non-administrators to receive update notifications

Указывает, будут ли пользователи, не являющиеся администраторами, получать уведомления об обновлениях на основе параметра политики "Настройка автоматического обновления". Specifies whether non-administrative users will receive update notifications based on the Configure Automatic Updates policy setting.

Примечание

Если параметр политики "Настройка автоматического обновления" отключен или не настроен, такая политика ни на что не влияет.if the Configure Automatic Updates policy setting is disabled or is not configured, this policy setting has no effect.

Важно!

Начиная с Windows 8 и Windows RT, этот параметр политики включен по умолчанию.starting in Windows 8 and Windows RT, this policy setting is enabled by default. Во всех предыдущих версиях Windows он по умолчанию отключен.In all prior versions of Windows, it is disabled by default.

Состояние параметра политики.Policy setting state Поведение.Behavior
Не настроено.Not Configured Указывает, что пользователи всегда будут видеть окно управления учетными записями, а для выполнения этих задач будут требоваться повышенные разрешения. Specifies that users will always see an Account Control window and require elevated permissions to do these tasks. Локальные администраторы могут изменить этот параметр с помощью редактора локальных групповых политик.A local administrator can change this setting by using the Local Group Policy editor.
ВключенEnabled Указывает, что автоматическое обновление Windows и Центр обновления Майкрософт будут включать пользователей без прав администратора при определении того, какой вошедший в систему пользователь будет получать уведомления об обновлении.Specifies that Windows Automatic Update and Microsoft Update will include non-administrators when determining which signed-in user will receive update notifications. Пользователи, не являющиеся администраторами, смогут устанавливать все необязательные, рекомендуемые и важные обновления, о которых они получили уведомление.Non-administrative users will be able to install all optional, recommended, and IMPORTANT update content for which they received a notification. Пользователи не будут видеть окно управления учетными записями пользователей, и им не нужны повышенные разрешения для установки этих обновлений, за исключением обновлений, содержащих пользовательский интерфейс, лицензионное соглашение с пользователем или изменения параметров Центра обновления Windows.Users will not see a User Account Control window, and they do not need elevated permissions to install these updates, except in the case of updates that contain User Interface, End User License Agreement, or Windows Update setting changes.

Существует две ситуации, в которых влияние этого параметра зависит от операционной системы:There are two situations where the effect of this setting depends on the operating computer:

1. Скрытие или восстановление обновлений.1. Hide or Restore updates
2. Отмена установки обновления.2. Cancel an update installation

Если этот параметр политики включен в Windows Vista или Windows XP, пользователи не увидят окно управления учетными записями пользователей и не нуждаются в повышенных правах для скрытия, восстановления или отмены обновлений. In Windows Vista or Windows XP, if this policy setting is enabled, users will not see a User Account Control window, and they do not need elevated permissions to hide, restore, or cancel updates.

Если этот параметр политики включен в Windows Vista, пользователи не увидят окно управления учетными записями пользователей и не нуждаются в повышенных правах для скрытия, восстановления или отмены обновлений.In Windows Vista, if this policy setting is enabled, users will not see a User Account Control window, and they do not need elevated permissions to hide, restore, or cancel updates. Если этот параметр политики не включен, пользователи всегда будут видеть окно управления учетными записями, и им требуются повышенные разрешения для скрытия, восстановления или отмены обновлений.If this policy setting is not enabled, users will always see an Account Control window, and they require elevated permissions to hide, restore, or cancel updates.

В Windows 7 этот параметр политики не действует. In Windows 7 , this policy setting has no effect. Пользователи всегда будут видеть окно управления учетными записями, а для выполнения этих задач будут требоваться повышенные разрешения.Users will always see an Account Control window, and they require elevated permissions to do these tasks.

В Windows 8 и Windows RT этот параметр политики не действует.In Windows 8 and Windows RT, this policy setting has no effect.

ОтключенDisabled Указывает, что только администраторы, выполнившие вход, получают уведомления об обновлениях.Specifies that only logged-on administrators receive update notifications. Примечание. В Windows 8 и Windows RT, этот параметр политики включен по умолчанию.Note: In Windows 8 and Windows RT, this policy setting is enabled by default. Во всех предыдущих версиях Windows он по умолчанию отключен.In all prior versions of Windows, it is disabled by default.

Настройки: настройки для этого параметра отсутствуют. Options: There are no options for this setting.

Разрешить прием обновлений с подписью из службы обновления Майкрософт в интрасетиAllow signed updates from an intranet Microsoft update service location

Указывает, принимает ли средство автоматического обновления обновления, подписанные организациями, отличными от корпорации Майкрософт, при обнаружении обновления в размещении службы обновлений Майкрософт в интрасети.Specifies whether Automatic Updates accepts updates that are signed by entities other than Microsoft when the update is found on an intranet Microsoft update service location.

Примечание

Обновления от службы, отличной от службы обновлений Майкрософт в интрасети, всегда должны быть подписаны корпорацией Майкрософт и на них не влияет этот параметр политики.Updates from a service other than an intranet Microsoft update service must always be signed by Microsoft, and they are not affected by this policy setting.

Примечание

Эта политика не поддерживается в Windows RT. This policy is not supported on Windows RT. Включение этой политики не оказывает никакого влияния на компьютеры, на которых выполняется Windows RT.Enabling this policy will not have any effect on computers running Windows RT.

Настройки: настройки для этого параметра отсутствуют.Options: There are no options for this setting.

Состояние параметра политики.Policy setting state Поведение.Behavior
Не настроено.Not Configured Указывает, что обновления из расположения службы обновлений Майкрософт в интрасети должны быть подписаны корпорацией Майкрософт.Specifies that updates from an intranet Microsoft update service location must be signed by Microsoft.
ВключенEnabled Указывает, что средство автоматического обновления принимает обновления, полученные через расположение службы обновлений Майкрософт в интрасети, если они подписаны сертификатом, найденным в хранилище сертификатов "Доверенные издатели" на локальном компьютере. Specifies that Automatic Updates accepts updates received through an intranet Microsoft update service location if they are signed by a certificate found in the local computer's Trusted Publishers certificate store.
ОтключенDisabled Указывает, что обновления из расположения службы обновлений Майкрософт в интрасети должны быть подписаны корпорацией Майкрософт.Specifies that updates from an intranet Microsoft update service location must be signed by Microsoft.

Настройки: настройки для этого параметра отсутствуют.Options: There are no options for this setting.

Всегда автоматически перезагружаться в запланированное времяAlways automatically restart at the scheduled time

Указывает, будет ли таймер перезагрузки всегда запускаться сразу после установки важных обновлений Центром обновления Windows, а не сначала уведомлять пользователей на экране входа в течение по крайней мере двух дней. Specifies whether a restart timer will always begin immediately after Windows Update installs IMPORTANT updates, instead of first notifying users on the sign-in screen for at least two days.

Примечание

Если параметр политики "Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи" включен, такая политика ни на что не влияет.if the No auto-restart with logged on users for scheduled automatic updates installations policy setting is enabled, this policy has no effect.

Состояние параметра политики.Policy setting state Поведение.Behavior
Не настроено.Not Configured Указывает, что Центр обновления Windows не изменит поведение компьютера при перезапуске.Specifies that Windows Update will not alter the computer's restart behavior.
ВключенEnabled Указывает, что таймер перезагрузки всегда запускаться сразу после установки важных обновлений Центром обновления Windows, а не сначала уведомлять пользователей на экране входа в течение по крайней мере двух дней.Specifies that a restart timer will always begin immediately after Windows Update installs IMPORTANT updates, instead of first notifying users on the sign-in screen for at least two days.

Таймер перезапуска можно настроить для запуска с любым значением от 15 до 180 минут.The restart timer can be configured to start with any value from 15 to 180 minutes. Когда время таймера выйдет, перезагрузка продолжится, даже если на компьютере есть пользователи, вошедшие в систему.When the timer runs out, the restart will proceed even if the computer has signed-in users.

ОтключенDisabled Указывает, что Центр обновления Windows не изменит поведение компьютера при перезапуске. Specifies that Windows Update will not alter the computer's restart behavior.

Настройки: если этот параметр включен, можно указать время, которое должно пройти после установки обновлений, прежде чем произойдет принудительная перезагрузка компьютера.Options: if this setting is enabled, you can specify the amount of time that will elapse after updates are installed before a forced computer restart occurs.

Частота поиска автоматических обновленийAutomatic Updates detection frequency

Указывает промежуток времени в часах для Windows между запросами на поиск доступных обновлений.Specifies the hours that Windows will use to determine how long to wait before checking for available updates. Точное время ожидания определяется путем вычитания от 0 до 20 процентов от указанного времени в часах.The exact wait time is determined by using the hours specified here minus zero to twenty percent of the hours specified. Например, если в данной политике задается обнаружение с периодом 20 часов, то все клиенты, к которым применяется эта политика, будут проверять наличие обновлений с интервалом 16–20 часов. For example, if this policy is used to specify a 20 hour detection frequency, all clients to which this policy is applied will check for updates anywhere between 16 and 20 hours.

Примечание

Чтобы эта политика оказывала влияние, должен быть включен параметр "Указать размещение службы обновлений Майкрософт в интрасети".The Specify intranet Microsoft update service location setting must be enabled for this policy to have effect.

Если параметр политики "Настройка автоматического обновления" отключен, такая политика ни на что не влияет.if Configure Automatic Updates policy setting is disabled, this policy has no effect.

Примечание

Эта политика не поддерживается в Windows RT.This policy is not supported on Windows RT. Включение этой политики не оказывает никакого влияния на компьютеры, на которых выполняется Windows RT.Enabling this policy will not have any effect on computers running Windows RT.

Состояние параметра политики. Policy setting state Поведение.Behavior
Не настроено.Not Configured Указывает, что Windows будет проверять наличие доступных обновлений с интервалом по умолчанию (22 часа).Specifies that Windows will check for available updates at the default interval of 22 hours.
ВключенEnabled Указывает, что Windows будет проверять наличие доступных обновлений с указанным интервалом.Specifies that Windows will check for available updates at the specified interval.
ОтключенDisabled Указывает, что Windows будет проверять наличие доступных обновлений с интервалом по умолчанию (22 часа).Specifies that Windows will check for available updates at the default interval of 22 hours.

Настройки: если этот параметр включен, можно указать интервал времени (в часах), в течение которого Центр обновления Windows ожидает проверки наличия обновлений. Options: if this setting is enabled, you can specify the time interval (in hours) that Windows Update waits before checking for updates.

Настройка автоматического обновленияConfigure Automatic Updates

Указывает, включены ли автоматические обновления на этом компьютере.Specifies specify whether automatic updates are enabled on this computer.

Если параметр включен, необходимо выбрать одну из четырех настроек, указанную в этой групповой политике.if enabled, you must select one of the four options provided in this Group Policy setting.

Чтобы использовать этот параметр, щелкните Включено, а затем на вкладке Параметры в разделе Настройка автоматического обновления выберите одну из настроек (2, 3, 4 или 5).To use this setting, select Enabled, and then in Options under Configure automatic updating, select one of the options (2, 3, 4, or 5).

Состояние параметра политики. Policy setting state Поведение.Behavior
Не настроено.Not Configured Указывает, что использование автоматического обновления не указано на уровне групповой политики.Specifies that the use of automatic updates is not specified at the Group Policy level. Однако администратор компьютера по-прежнему может настроить автоматические обновления на панели управления.However, a computer administrator can still configure automatic updates in the Control Panel.
ВключенEnabled Указывает, что Windows распознает, когда компьютер находится в сети, и использует подключение к Интернету для поиска доступных обновлений Центра обновления Windows.Specifies that Windows recognizes when the computer is online and uses its Internet connection to search Windows Update for available updates.

Если этот параметр включен, локальным администраторам разрешается использовать панель управления Центр обновления Windows для выбора варианта конфигурации. When enabled, local administrators will be allowed to use the Windows Update control panel to select a configuration option of their choice. Тем не менее, локальным администраторам не будет разрешено отключать конфигурацию для автоматического обновления.However, local administrators will not be allowed to disable the configuration for Automatic Updates.

- 2 — уведомления о загрузке и установке- 2 - Notify for download and notify for install
Когда Центр обновления Windows находит обновления, которые применяются к компьютеру, пользователи получают уведомления о том, что обновления готовы к скачиванию.When Windows Update finds updates that apply to the computer, users will be notified that updates are ready for download. После этого пользователи могут запустить Центр обновления Windows, чтобы скачать и установить все доступные обновления.Users can then run Windows Update to download and install any available updates.
- 3 — авт. загрузка и уведом. об устан. (параметр по умолчанию)- 3 - Auto download and notify for install (default setting)
Центр обновления Windows находит применимые обновления и скачивает их в фоновом режиме. Во время процесса не происходит прерываний и пользователь не получает уведомления.Windows Update finds applicable updates and downloads them in the background; the user is not notified or interrupted during the process. После завершения скачивания пользователи будут уведомлены, что обновления готовы к установке.When the downloads are complete, users are notified that there are updates ready to install. После этого пользователи могут запустить Центр обновления Windows, чтобы установить скачанные обновления.Users can then run Windows Update to install the downloaded updates.
- 4 — авт. загрузка и устан. по расписанию- 4 - Auto download and schedule the install
Расписание можно указать с помощью настроек, указанных в параметре групповой политики. You can specify the schedule by using the options in this Group Policy setting. Если расписание не указано, по умолчанию все установки будут выполняться каждый день в 3:00 утра.If no schedule is specified, the default schedule for all installations will be every day at 3:00 A.M. Если какое-либо обновление требует перезагрузки для завершения установки, Windows перезагрузит компьютер автоматически.If any updates require a restart to complete the installation, Windows will restart the computer automatically. (Если пользователь вошел на компьютер после того, как ОС Windows будет готова к перезапуску, он будет уведомлен и появится возможность отложить перезагрузку.) Примечание. При запуске Windows 8 можно настроить установку обновлений во время автоматического обслуживания вместо использования определенного расписания, привязанного к Центру обновления Windows.(if a user is signed in to the computer when Windows is ready to restart, the user will be notified and given the option to delay the restart. ) Note: starting Windows 8, you can set updates to install during automatic maintenance instead of using a specific schedule tied to Windows Update. В рамках автоматического обслуживания обновления будут установлены, если компьютер не используется, и не будут установлены, если компьютер работает от аккумулятора.Automatic maintenance will install updates when the computer is not in use, and avoid installing updates when the computer is running on battery power. Если при автоматическом обслуживании не удается установить обновления в течение нескольких дней, Центр обновления Windows установит обновления сразу же.If automatic maintenance is unable to install updates within days, Windows Update will install updates right away. Пользователи будут получать уведомления о состоянии ожидания перезагрузки.Users will then be notified about a pending restart. Ожидание перезагрузки происходит, только если нет возможности случайной потери данных.A pending restart will only take place if there is no potential for accidental data loss. Параметры расписания можно задать в параметрах планировщика заданий обслуживания GPME, которые расположены по пути PolicyName > Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Планировщик заданий обслуживания > Граница активации автоматического обслуживания.You can specify schedule options in the GPME Maintenance Scheduler settings, which are located in the path, PolicyName > computer Configuration > Policies > Administrative Templates > Windows components > Maintenance Scheduler > Automatic Maintenance Activation Boundary. Ознакомьтесь с разделом по этой ссылке: Параметры планировщика заданий обслуживания — сведения о параметрах.See the section of this reference titled: Maintenance Scheduler settings, for setting details. 5 — Разрешить локальному администратору выбирать параметры5 - Allow local admin to choose setting
Указывает, разрешено ли локальным администраторам использовать панель управления автоматического обновления для выбора варианта конфигурации (например, могут ли локальные администраторы выбирать время запланированной установки).- Specifies whether local administrators are allowed to use the Automatic Updates control panel to select a configuration option of their choice for example, whether local administrators can choose a scheduled installation time.
Локальным администраторам не будет разрешено отключать конфигурацию для автоматического обновления.Local administrators will not be allowed to disable the configuration for Automatic Updates.

ОтключенDisabled Указывает, что все обновления клиента, доступные из общедоступной службы Центра обновления Windows, должны быть скачаны из Интернета и установлены вручную. Specifies that any client updates that are available from the public Windows Update service must be manually downloaded from the Internet and installed.
Задержка перезагрузки при запланированных установкахDelay restart for scheduled installations

Указывает время, в течение которого средство автоматического обновления будет ожидать, прежде чем продолжить запланированную перезагрузку.Specifies the amount of time Automatic Updates will wait before proceeding with a scheduled restart.

Примечание

Эта политика применяется, только если политика автоматического обновления настроена для запланированной установки обновлений.This policy applies only when Automatic Updates is configured to perform scheduled installations of updates. Если параметр политики "Настройка автоматического обновления" отключен, такая политика ни на что не влияет.If the Configure Automatic Updates policy setting is disabled, this policy has no effect.

Состояние параметра политики. Policy setting state Поведение.Behavior
Не настроено.Not Configured Указывает, что после установки обновлений время ожидания по умолчанию, равное пятнадцати минутам, будет продолжено до наступления запланированного перезапуска.Specifies that after updates are installed, the default wait time of fifteen minutes will elapse before any scheduled restart occurs.
ВключенEnabled Указывает, что по завершении установки запланированная перезагрузка будет выполнена по истечении указанного числа минут.Specifies that when the installation is finished, a scheduled restart will occur after the specified number of minutes has expired.
ОтключенDisabled Указывает, что после установки обновлений время ожидания по умолчанию, равное пятнадцати минутам, будет продолжено до наступления запланированного перезапуска. Specifies that after updates are installed, the default wait time of fifteen minutes will elapse before any scheduled restart occurs.

Настройки: если этот параметр включен, его можно использовать, чтобы указать период времени (в минутах), в течение которого средство автоматического обновления ожидает перед продолжением запланированной перезагрузки.Options: if this setting is enabled, you can use this option to specify the amount of time (in minutes) Automatic Updates waits before proceeding with a scheduled restart.

Не изменять значение по умолчанию для параметра "Установить обновления и завершить работу" в диалоговом окне "Завершение работы Windows"Do not adjust default option to Install Updates and Shut Down in Shut Down Windows dialog

Этот параметр политики позволяет указать, разрешено ли использовать параметр Установить обновления и завершить работу в качестве стандартного в диалоговом окне Завершение работы Windows. This policy setting enables you to specify whether the Install Updates and Shut Down option is permitted as the default choice in the Shut Down Windows dialog box.

Примечание

Если параметр политики PolicyName > Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Не отображать параметр "Установить обновления и завершить работу" в диалоговом окне "Завершение работы Windows" включен, такая политика ни на что не влияет.This policy setting has no impact if the PolicyName > computer Configuration > Policies > Administrative Templates > Windows components > Windows Update > Do not display Install Updates and Shut Down option in Shut Down Windows dialog policy setting is enabled.

Состояние параметра политики.Policy setting state Поведение.Behavior
Не настроено.Not Configured Указывает, что параметр Установить обновления и завершить работу будет параметром по умолчанию в диалоговом окне Завершение работы Windows, если обновления доступны для установки в тот момент, когда пользователь инициировал завершение работы компьютера.Specifies that Install Updates and Shut Down will be the default option in the Shut Down Windows dialog box if updates are available for installation at the time the user selects the Shut Down option to shut down the computer.
ВключенEnabled Если включить этот параметр политики, последний вариант выключения (например, режим гибернации или перезагрузка) будет параметром по умолчанию в диалоговом окне Завершение работы Windows независимо от того, доступен ли параметр Установить обновления и завершить работу в меню Что должен сделать компьютер? . if you enable this policy setting, the user's last shut down choice (for example, Hibernate or Restart), is the default option in the Shut Down Windows dialog box, regardless of whether the Install Updates and Shut Down option is available in the What do you want the computer to do? menu.
ОтключенDisabled Указывает, что параметр Установить обновления и завершить работу будет параметром по умолчанию в диалоговом окне Завершение работы Windows, если обновления доступны для установки в тот момент, когда пользователь инициировал завершение работы компьютера.Specifies that Install Updates and Shut Down will be the default option in the Shut Down Windows dialog box if updates are available for installation at the time the user selects the Shut Down option to shut down the computer.

Настройки: настройки для этого параметра отсутствуют. Options: There are no options for this setting.

Не подключаться к расположениям Центра обновления Windows в ИнтернетеDo not connect to any Windows Update Internet locations

Даже если Центр обновления Windows настроен для получения обновлений из службы обновления в интрасети, он будет периодически получать сведения из общедоступной службы обновления Windows для обеспечения подключений в будущем к Центру обновления Windows и другим службам, таким как Центр обновления Майкрософт или Microsoft Store.Even when Windows Update is configured to receive updates from an intranet update service, it will periodically retrieve information from the public Windows Update service to enable future connections to Windows Update and other services, such as Microsoft Update or Microsoft Store.

При включении этой политики будет отключена функция периодического получения сведений из общедоступной службы обновления Windows Server и может привести к прекращению работы подключения к общедоступным службам, таким как Microsoft Store. Enabling this policy will disable the functionality to periodically retrieve information from the public Windows Server Update Service, and it may cause connection to public services such as Microsoft Store to stop working.

Примечание

Эта политика применяется, только если компьютер настроен для подключения к службе обновления в интрасети с помощью параметра политики "Указать размещение службы обновлений Майкрософт в интрасети".This policy applies only when the computer is configured to connect to an intranet update service by using the Specify intranet Microsoft update service location policy setting.

Состояние параметра политики.Policy setting state Поведение.Behavior
Не настроено.Not Configured Поведение по умолчанию для получения сведений из общедоступной службы обновления Windows Server сохраняется. The default behavior to retrieve information from the public Windows Server Update Service persists.
ВключенEnabled Указывает, что компьютеры не будут получать сведения из общедоступной службы обновления Windows Server.Specifies that computers will not retrieve information from the public Windows Server Update Service.
ОтключенDisabled Поведение по умолчанию для получения сведений из общедоступной службы обновления Windows Server сохраняется.The default behavior to retrieve information from the public Windows Server Update Service persists.

Настройки: настройки для этого параметра отсутствуют.Options: There are no options for this setting.

Не отображать параметр "Установить обновления и завершить работу" в диалоговом окне "Завершение работы Windows"Do not display Install updates and Shut Down option in Shut Down Windows dialog

Указывает, отображается ли параметр Установить обновления и завершить работу в диалоговом окне Завершение работы Windows. Specifies whether the Install Updates and Shut Down option is displayed in the Shut Down Windows dialog box.

Состояние параметра политики.Policy setting state Поведение.Behavior
Не настроено.Not Configured Указывает, что параметр Установить обновления и завершить работу будет доступен в диалоговом окне Завершение работы Windows, если обновления доступны, когда пользователь инициировал завершение работы компьютера.Specifies that the Install Updates and Shut Down option is available in the Shut Down Windows dialog box if updates are available when the user selects the Shut Down option to shut down the computer. Локальные администраторы могут изменить этот параметр с помощью локальной политики. A local administrator can change this setting by using local policy.
ВключенEnabled Указывает, что параметр Установить обновления и завершить работу не будет отображаться в диалоговом окне Завершение работы Windows, если обновления доступны для установки в тот момент, когда пользователь инициировал завершение работы компьютера.Specifies that Install Updates and Shut Down will not appear as a choice in the Shut Down Windows dialog box, even if updates are available for installation when the user selects the Shut Down option to shut down the computer.
ОтключенDisabled Указывает, что параметр Установить обновления и завершить работу будет параметром по умолчанию в диалоговом окне Завершение работы Windows, если обновления доступны для установки в тот момент, когда пользователь инициировал завершение работы компьютера. Specifies that the Install Updates and Shut Down option will be the default option in the Shut Down Windows dialog box if updates are available for installation at the time the user selects the Shut Down option to shut down the computer.

Настройки: настройки для этого параметра отсутствуют.Options: There are no options for this setting.

Разрешить клиенту присоединение к целевой группеEnable client-side targeting

Указывает имя целевой группы или имена, настроенные в консоли WSUS для получения обновлений от WSUS.Specifies the target group name or names that are configured in the WSUS console that are to receive updates from WSUS.

Примечание

Эта политика применяется, только если на этом компьютере настроена поддержка указанных имен целевых групп в службах WSUS.This policy applies only when this computer is configured to support the specified target group names in WSUS. Если имя целевой группы не существует в службах WSUS, оно будет проигнорировано до ее создания.If the target group name doesn't exist in WSUS, it will be ignored until it is created. Если параметр политики "Указать размещение службы обновлений Майкрософт в интрасети" отключен или не настроен, такая политика ни на что не виляет.If the Specify intranet Microsoft update service location policy setting is disabled or not configured, this policy has no effect.

Примечание

Эта политика не поддерживается в Windows RT.This policy is not supported on Windows RT. Включение этой политики не оказывает никакого влияния на компьютеры, на которых выполняется Windows RT.Enabling this policy will not have any effect on computers running Windows RT.

Состояние параметра политики.Policy setting state Поведение.Behavior
Не настроено. Not Configured Указывает, что в службы WSUS не отправляются сведения о целевой группе.Specifies that no target group information is sent to WSUS. Локальные администраторы могут изменить этот параметр с помощью локальной политики.A local administrator can change this setting by using a local policy.
ВключенEnabled Указывает, что предоставленные сведения о целевой группе отправляются в службу WSUS, которая использует ее для определения обновлений, развертываемых на этом компьютере.Specifies that the specified target group information is sent to WSUS, which uses it to determine which updates should be deployed to this computer. Если WSUS поддерживает несколько целевых групп, можно использовать эту политику, чтобы указать несколько имен групп через точку с запятой, если имена целевых групп добавляются в список групп компьютеров служб WSUS.If WSUS supports multiple target groups, you can use this policy to specify multiple group names, separated by semicolons, if you have added the target group names in the computer group list in WSUS. В противном случае необходимо указать одну группу.Otherwise, a single group must be specified.
ОтключенDisabled Указывает, что в службы WSUS не отправляются сведения о целевой группе.Specifies that no target group information is sent to WSUS.

Настройки: используйте это пространство, чтобы указать одно или несколько имен целевых групп.Options: Use this space to specify one or more target group names.

Разрешить управлению питанием Центра обновления Windows выводить систему из спящего режима для установки запланированных обновленийEnabling Windows Update Power Management to automatically wake up the computer to install scheduled updates

Указывает, будет ли Центр обновления Windows использовать функции управления питанием Windows или параметры электропитания для автоматического пробуждения компьютера из спящего режима при наличии обновлений, запланированных для установки. Specifies whether Windows Update will use the Windows Power Management or Power Options features to automatically wake up the computer from hibernation if there are updates scheduled for installation.

Компьютер автоматически пробуждается, только если в Центре обновления Windows настроена автоматическая установка обновлений.The computer will automatically wake only if Windows Update is configured to install updates automatically. Если в запланированное время установки и при наличии обновлений, которые необходимо применить, компьютер находится в спящем режиме, Центр обновления Windows будет использовать функции управления питанием Windows или параметры электропитания для автоматического пробуждения компьютера и установки обновлений.If the computer is in hibernation when the scheduled installation time occurs and there are updates to be applied, Windows Update will use the Windows Power Management or Power Options features to automatically wake the computer to install the updates. Центр обновления Windows также выводит компьютер из спящего режима и устанавливает обновление при наступлении крайнего срока установки. Windows Update will also wake the computer and install an update if an installation deadline occurs.

Компьютер не будет выводиться из спящего режима, если нет обновлений для установки.The computer will not wake unless there are updates to be installed. Если компьютер работает от аккумулятора, то при пробуждении Центром обновления Windows он не будет устанавливать обновления, а компьютер автоматически вернется в режим гибернации через две минуты.If the

Как в Windows 10 принудительно обновить локальные политики без перезагрузки

Во всех популярных редакциях Windows 10 выше Home имеется встроенный инструмент администрирования gpedit.msc или локальные групповые политики. Данный инструмент включает в себя широкий спектр политик (настроек) и предназначается для принудительного изменения базовой конфигурации операционной системы и учетных записей. Реализован он в виде консоли управления MMC с достаточно удобным и интуитивно понятным графическим интерфейсом.

После изменения ряда политик компьютер необходимо перезагрузить или выждать от 30 до 90 минут, чтобы новые настройки смогли вступить в силу, но вы можете заставить их работать сразу, сэкономив время и избавив себя от необходимости перезапускать систему.

Давайте же посмотрим, как это можно сделать.

Всё довольно просто, если вы хотите обновить все политики сразу, откройте от имени администратора PowerShell или командную строку и выполните команду gpupdate /force.

Эта команда "перезапустит" политики и компьютера, и пользователей.

А теперь представим, что вы хотите обновить лишь определенную категорию политик, скажем, только именные политики пользователя. И тут ничего сложного, просто к команде gpupdate добавляется соответствующий ключ. А чтобы всё было ясно, приводим примеры:

gpupdate /target:computer - Обновляет только измененные политики компьютера.
gpupdate /target:user - Обновляет только измененные пользовательские политики.

Если же вы хотите обновить все политики только пользователя или только компьютера, добавьте в конец каждой команды через пробел ключ /force.

К слову, всем тем, кто пользуется редактором локальных групповых политик не помешает ознакомиться и с другими полезными ключами утилиты gpupdate.exe.

К примеру, есть политики, обновление которых в фоновом режиме невозможно, и в этом случае добавленный в конец команды ключ /boot позволит вам выполнить перезагрузку прямо из командной строки.

Изменить интервал обновления групповой политики для компьютеров Windows

Групповая политика в Windows позволяет администраторам устанавливать и применять параметры на своих компьютерных системах. По умолчанию групповая политика обновляется в фоновом режиме каждые 90 минут после записи изменений в активный объект. Но если вы хотите, вы можете изменить — уменьшить или увеличить — Интервал обновления групповой политики с помощью редактора групповой политики в Windows 10/8/7.

Читать : как принудительно обновить групповую политику в Windows 10.

Изменить интервал обновления групповой политики

Для этого запустите gpedit.msc и нажмите Enter, чтобы открыть редактор локальной групповой политики. Перейдите к следующему параметру:

Конфигурация компьютера> Административные шаблоны> Система> Групповая политика

Теперь на правой панели дважды нажмите Установить интервал обновления групповой политики для компьютеров , чтобы открыть его окно «Свойства». Этот параметр политики указывает, как часто групповая политика для компьютеров обновляется во время использования компьютера в фоновом режиме. Помимо фоновых обновлений групповая политика для компьютера всегда обновляется при запуске системы или при входе пользователя в систему.

Как мы упоминали ранее, по умолчанию групповая политика обновляется в фоновом режиме каждые 90 минут со случайным смещением от 0 до 30 минут. Но если вы включите этот параметр, вы можете указать частоту обновления от 0 до 64 800 минут или 45 дней. Если вы выберете 0 минут, компьютер будет пытаться обновлять групповую политику каждые 7 секунд. Чтобы избежать снижения производительности, не устанавливайте низкое значение.

Если вы не хотите, чтобы групповая политика обновлялась во время использования компьютера, вам нужно будет настроить параметр Отключить фоновое обновление политики — и если параметр Отключить фоновое обновление групповой политики включен, эта политика игнорируется.

Задать интервал обновления групповой политики для компьютеров также позволяет указать, насколько варьируется фактический интервал обновления — интервал смещения для компьютеров . Число, которое вы вводите в поле случайного времени, устанавливает верхний предел диапазона дисперсии.

Вы также можете настроить этот параметр с помощью редактора реестра.

Чтобы изменить Интервал обновления групповой политики для компьютеров, перейдите к следующему разделу реестра:

HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ System

Создайте DWORD GroupPolicyRefreshTime и присвойте ему значение от 0 до 64800.

Чтобы изменить интервал смещения для компьютеров , перейдите к следующему разделу реестра:

HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ System

Создайте DWORD GroupPolicyRefreshTimeOffset и присвойте ему значение от 0 до 1440.

Надеюсь, это поможет!

10 самых популярных командлетов PowerShell для групповой политики

Помимо консоли управления групповыми политиками (GPMC), Microsoft предоставляет набор командлетов Windows PowerShell, которые можно использовать для управления групповой политикой. Чтобы использовать командлеты PowerShell для групповой политики, на устройстве, на котором вы будете запускать командлеты, должна быть установлена ​​консоль GPMC. Чтобы проверить, установлен ли модуль PowerShell групповой политики на устройстве, выполните приведенную ниже команду, которая отобразит все доступные командлеты групповой политики, если модуль установлен.

 Get-Command -Module GroupPolicy 

Создание нового объекта групповой политики

Начнем с создания нового объекта групповой политики (GPO). Приведенная ниже команда создает новый объект групповой политики с именем «Netwrix PCs» и добавляет комментарий для описания его назначения:

 New-GPO -Name «Netwrix PCs» -Comment «Client settings for Netwrix PCs» 

Команда создает пустой GPO без настроек. Если у вас есть начальные объекты групповой политики, настроенные в вашем домене Active Directory, вы можете создать новый объект групповой политики на основе их настроек.Следующая команда создает новый объект групповой политики под названием «ПК Netwrix» на основе GPO «Параметры безопасности Windows 10 MS»:

 New-GPO -Name «Netwrix PCs» -StarterGPOName «Windows 10 MS Security Settings» 

Вы можете необязательно связать объект групповой политики с доменом, организационным подразделением контроллера домена или сайтом с помощью конвейера. Приведенная ниже команда создает новый объект групповой политики и связывает его с подразделением клиентов в домене ad.contoso.com:

 New-GPO -Name "Netwrix PCs" | New-GPLink -Target "ou = clients, dc = ad, dc = contoso, dc = com" 

Чтобы отключить GPO, используйте командлет Remove-GPLink:

 Remove-GPLink -Name "Netwrix PCs" - Target "ou = clients, dc = ad, dc = contoso, dc = com" 

Рисунок 1.Как связать и отсоединить GPO

Получение информации о GPO

После создания GPO вы можете использовать Get-GPO для возврата такой информации, как статус GPO, время создания и время последнего изменения:

 Get-GPO -Name "Netwrix PCs" 

Если вам нужна дополнительная информация, перенаправьте объект, созданный Get-GPO, в Get-GPOReport. Приведенный ниже сценарий создает отчет в формате HTML, содержащий информацию об объекте групповой политики, аналогичную той, которую вы можете увидеть в консоли управления групповой политикой:

 Get-GPO -Name "Netwrix PCs" | Get-GPOReport -ReportType HTML -Path c: \ temp \ report.html 

Рисунок 2. Отчет в формате HTML с подробными данными о конкретном GPO

Настройка параметров групповой политики

Если вы знаете расположение параметра групповой политики на основе реестра, вы можете использовать Set-GPRegistryValue командлет для его настройки. Параметры групповой политики на основе реестра - это те, которые отображаются в административных шаблонах консоли управления групповыми политиками. Set-GPRegistryValue также можно использовать для установки значений реестра, на которые не распространяются параметры групповой политики.Например, если вы хотите настроить параметры реестра для сторонних приложений, у которых нет файла ADMX для групповой политики, Set-GPRegistryValue - это быстрый способ настроить необходимые параметры. Следующая команда устанавливает тайм-аут заставки в 300 секунд для вошедшего в систему пользователя:

 Set-GPRegistryValue -Name "Netwrix PCs" -Key "HKCU \ Software \ Policies \ Microsoft \ Windows \ Control Panel \ Desktop" -ValueName ScreenSaveTimeOut - Введите DWord -Value 300 

С помощью Set-GPRegistryValue можно указать либо конфигурацию компьютера, либо параметры конфигурации пользователя. Путь в реестре в параметре -Key ниже начинается с «HKCU» (что означает «HKEY_CURRENT_USER»).Если вместо этого вы хотите настроить параметры компьютера, замените «HKCU» на «HKLM» (который заменяется на HKEY_LOCAL_MACHINE).

Чтобы получить подробную информацию о разделе реестра, настроенном в объекте групповой политики, используйте Get-GPRegistryValue:

 Get-GPRegistryValue -Name "Netwrix PCs" -Key "HKCU \ Software \ Policies \ Microsoft \ Windows \ Control Panel \ Desktop" 

Рисунок 3. Как получить подробную информацию о разделе реестра, настроенном в GPO

Чтобы удалить параметр реестра из GPO, используйте Remove-GPRegistryValue:

 Remove-GPRegistryValue -Name "Netwrix PCs" -Key "HKCU \ Software \ Policies \ Microsoft \ Windows \ Control Panel \ Desktop" -ValueName ScreenSaveTimeOut 

Три приведенных выше командлета имеют эквиваленты предпочтений групповой политики, если вы решите использовать Preferences вместо Policies для установки ключей реестра: S et-GPPrefRegistryValue, Get-GPPrefRegistryValue и Remove-GPPrefRegistryValue .

Применение параметров групповой политики

Если ваш объект групповой политики связан с доменом, подразделением или сайтом, он будет применяться к объектам пользователя и компьютера, расположенным ниже, где он связан. Но если вы хотите принудительно обновить групповую политику на удаленном сервере или другом устройстве, вы можете использовать Invoke-GPUpdate. Запуск Invoke-GPUpdate без каких-либо параметров приведет к принудительному обновлению параметров конфигурации пользователя и компьютера на локальном компьютере. Приведенная ниже команда вызывает обновление групповой политики на server1 только для параметров конфигурации пользователя:

 Invoke-GPUpdate -Computer "ad \ server1" -Target "User" 

Проверка того, какие объекты групповой политики применяются к пользователю или компьютеру

Для получения информации Чтобы узнать, какие объекты групповой политики применяются к пользователю или компьютеру, вы можете создать отчет о результирующем наборе политик (RSoP) с помощью командлета Get-GPResultantSetOfPolicy .Приведенная ниже команда создает отчет для компьютера с именем «dc1» и записывает результаты в каталог c: \ temp:

 Get-GPResultantSetOfPolicy -Computer dc1 -ReportType HTML -Path c: \ temp \ dc1rsop.html 

Рисунок 4. Как получить информацию о том, какие объекты групповой политики применяются к пользователю или компьютеру

Командлеты PowerShell могут быть весьма полезны для управления групповой политикой. Однако настроить параметры внутри объектов групповой политики с помощью PowerShell непросто, поскольку параметры групповой политики не были разработаны с учетом конфигурации на основе текста.

ИТ-консультант и автор, специализирующийся на технологиях управления и безопасности. Рассел имеет более чем 15-летний опыт работы в ИТ, он написал книгу о безопасности Windows и стал соавтором текста для серии официальных академических курсов Microsoft (MOAC).

Параметры групповой политики Центра обновления Windows

Windows 7 / Начало работы

Вы можете настроить параметры клиента Центра обновления Windows с помощью локальной или доменной групповой политики. настройки. Это полезно для следующих задач:

  • Настройка компьютеров для использования локального сервера WSUS
  • Настройка автоматической установки обновлений в определенное время суток
  • Настройка частоты проверки обновлений
  • Настройка уведомлений об обновлениях, в том числе получение не администраторами уведомлений об обновлениях
  • Настройка клиентских компьютеров как части целевой группы WSUS, которую можно использовать для развертывать разные обновления на разные группы компьютеров

Параметры Центра обновления Windows находятся в разделе Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Центр обновления Windows.Параметры групповой политики Центра обновления Windows:

  • Настроить автоматические обновления Указывает, будет ли этот компьютер получать защиту обновления и другие важные загрузки через автоматическое обновление Windows служба. Вы также можете использовать этот параметр, чтобы настроить автоматическую установку обновлений. и в какое время суток происходит установка.
  • Указать расположение службы обновления Майкрософт в интрасети Указывает расположение вашего сервера WSUS.
  • Частота обнаружения автоматических обновлений Задает частоту автоматического обновления. Клиент обновлений проверяет наличие новых обновлений. По умолчанию это случайное время от 17 до 22 часов.
  • Разрешить неадминистраторам получать уведомления об обновлениях Определяет, все пользователи или только администраторы будут получать уведомления об обновлениях. Не администраторы может устанавливать обновления с помощью клиента Центра обновления Windows.
  • Разрешить немедленное автоматическое обновление Установка Указывает, будет ли автоматическое обновление Обновления устанавливают обновления немедленно, не требуя перезагрузки компьютера.
  • Включить рекомендуемые обновления с помощью автоматических обновлений Определяет, клиентские компьютеры устанавливают как критические, так и рекомендуемые обновления, которые могут включать обновил драйверы.
  • Нет автоматического перезапуска для плановых автоматических обновлений. Указывает, что для завершения запланированной установки автоматическое обновление будет ждать, пока компьютер быть перезапущенным любым пользователем, вошедшим в систему, вместо того, чтобы вызывать перезагрузку компьютера автоматически.
  • Повторно запрашивать перезапуск с запланированными установками Указывает, как часто Клиент автоматического обновления предлагает пользователю перезагрузить компьютер.В зависимости от другой конфигурации настройки, пользователи могут иметь возможность отложить запланированный перезапуск. Тем не мение, клиент автоматического обновления будет автоматически напоминать им о перезапуске в зависимости от частота, настроенная в этой настройке.
  • Задержка перезапуска для запланированных установок Указывает, как долго Клиент обновлений ждет перед автоматическим перезапуском.
  • Перенести автоматические обновления Установки по расписанию Указывает количество время ожидания автоматических обновлений после запуска системы, прежде чем продолжить запланированная установка, которая была пропущена ранее.Если вы не укажете это количество время пропущенная установка по расписанию произойдет через одну минуту после следующего запуска компьютера.
  • Включить таргетинг на стороне клиента Задает группу, членом которой является компьютер. Эта опция полезна, только если вы используете WSUS; вы не можете использовать эту опцию с SUS.
  • Включение управления питанием Центра обновления Windows для автоматического пробуждения Система для установки обновлений по расписанию Если люди в вашей организации склонны закрывать выключить свои компьютеры, когда они покидают офис, включите этот параметр, чтобы настроить компьютеры с поддерживаемым оборудованием для автоматического запуска и установки обновления на запланированное время.Компьютеры не выйдут из спящего режима, пока не будет установлено обновление. Если компьютер работает от батареи, компьютер автоматически перейдет в спящий режим через 2 минуты.

Кроме того, следующие две настройки доступны в одном месте в обоих Конфигурация компьютера и конфигурация пользователя:

  • Не отображать параметр «Установить обновления и завершить работу» при завершении работы Windows Диалоговое окно Указывает, отображается ли в Windows XP с пакетом обновления 2 или более поздних версий Установить обновления и завершить работу.
  • Не настраивать параметр по умолчанию для «Установка обновлений и выключение» при завершении работы Диалоговое окно Windows Указывает, будет ли Windows XP с пакетом обновления 2 или более поздней версии автоматически изменяет параметр выключения по умолчанию на "Установить обновления и выключить" когда автоматическое обновление ожидает установки обновления.

Наконец, последняя пользовательская настройка доступна в Administrative Templates \ Windows Components. \ Центр обновления Windows:

  • Удалить доступ для использования всех функций Центра обновления Windows Если этот параметр включен, предотвращает пользователю получить доступ к интерфейсу Центра обновления Windows.

Вы должны создать отдельные объекты групповой политики для групп компьютеров, которые имеют разные требования к установке обновления. Например, если вы развертываете обновления в ИТ-отделе Сначала в рамках пилотного развертывания ИТ-компьютеры должны иметь собственную групповую политику. объект с настройками, которые помещают их в определенную целевую группу WSUS для пилотного проекта.

Как: настроить групповую политику в Windows Server 2012 (пример Центра обновления Windows)

Одна из самых важных вещей в каждом домене Windows - это обновления.Вы, вероятно, захотите организовать обновление через групповую политику домена, так как люди часто забывают / откладывают обновления Windows.

Эта LAB предполагает, что у вас уже есть конфигурация домена.

Вот как это сделать в Windows Server 2012 R2:

На контроллере домена откройте поиск (или запустите) и введите gpmc.msc | Щелкните gpmc

!!!! Небольшое примечание - В этом случае мне не нужна одна и та же политика Центра обновления Windows для моих серверов и клиентов.Производственным серверам было бы неуместно обновляться и перезапускаться, скажем, в 13 часов понедельника. Но это было бы очень хорошее время для клиентов, так как все в это время обедают.

В любом случае рекомендуется создавать разные организационные единицы для разных типов компьютеров и пользователей в вашей среде, чтобы вы также могли точно настроить свою групповую политику и разрешения.

Вы можете создать новую организационную единицу в Active Directory - пользователи и компьютеры | щелкните правой кнопкой мыши по доменному имени | Новое - Организационная единица

Давайте перейдем к LAB

Развернуть лес | Домены | щелкните правой кнопкой мыши свое OU (организационное подразделение), к которому вы хотите применить эту политику (в моем случае TestPCs OU) | Создайте объект групповой политики в этом домене и привяжите его сюда

Нам нужно назвать New GPO.Я назову свой Windows_Update | Не оставляйте None под Source Starter GPO | ОК

Новая политика создается (в моем случае) в подразделении TestPCs OU и будет применяться ко всем ПК, которые являются частью OU TestPCs.

Выберите созданный Windows_Update GPO (объект групповой политики) и щелкните вкладку «Настройки» в правой части экрана.

Щелкните правой кнопкой мыши Конфигурация компьютера | Изменить

Щелкните Конфигурация компьютера | Политика | Административные шаблоны | Компоненты Windows | Центр обновления Windows

Дважды щелкните "Настроить автоматическое обновление" | Включено | в разделе Параметры определите, как вы хотите, чтобы ваши обновления работали.Выбираю следующие

Настройте автоматическое обновление: 4 - Автозагрузка и расписание установки

График установки, день: 2 - Каждый понедельник в 13:00

Применить | OK

Чтобы убедиться, что этот параметр работает, нам необходимо протестировать один из компьютеров, на которые распространяется эта политика.

Войдите в систему на ПК - командная строка с правами администратора (запуск от имени администратора)

  gpupdate / force  

После этого, если мы проверим в Панели управления | Центр обновления Windows | Меняем настройки (правая часть экрана) видим, что настройки обновления изменены

Другие варианты обновлений Windows, о которых стоит упомянуть:

Включить рекомендуемые обновления с помощью автоматического обновления

Если этот параметр включен, вы получите дополнительные обновления для компонентов Windows.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *