La définition de la stratégie de mise à jour de Windows 10 définit la manière dont Windows 10 reçoit les mises à jour. Dans Windows 10, les paramètres de mise à jour ont été déplacés du Panneau de configuration vers les Paramètres système. Sous Windows 10, il n'existe pas de paramètres tels qu'il y en avait dans le Panneau de configuration et il n'est donc plus possible de désactiver les mises à jour ou de choisir comment les recevoir. Cependant, vous pouvez utiliser l'Éditeur du Registre et l'Éditeur de stratégie de groupe local pour désactiver les mises à jour et définir la manière dont vous les recevez.

Configuration des mises à jour à l'aide de l'éditeur de stratégie de groupe local

Lancez l'éditeur de stratégie de groupe local en appuyant simultanément sur deux touches du clavier. GAGNER+R gpedit.msc et cliquez sur OK.

Stratégie de groupe de mise à jour de Windows 10

Configuration ordinateur - Modèles d'administration - Composants Windows - Windows Update. Cliquez sur le dernier élément Windows Update, puis sur le côté droit, recherchez l'élément Configuration des mises à jour automatiques et modifiez ses paramètres.

Configuration des stratégies de groupe de mises à jour Windows 10

Pour ce faire, dans la fenêtre qui s'ouvre, vous devez mettre un point en haut à côté de l'élément Activé, puis définir les paramètres de mise à jour ci-dessous. Cliquez sur OK. Ensuite, pour que les paramètres que vous avez définis fonctionnent, ouvrez Paramètres système - Mise à jour et sécurité - Windows Update et appuyez sur le bouton Vérification des mises à jour.

Une fois que vous avez terminé de configurer les stratégies Windows 10, exécutez la mise à jour

Après cela, les paramètres que vous avez définis dans l'éditeur de stratégie de groupe local prendront effet.

Configuration des mises à jour à l'aide de l'éditeur de registre

Lancez l'Éditeur du Registre en appuyant simultanément sur deux touches du clavier GAGNER+R. La fenêtre Exécuter s'ouvrira dans laquelle vous entrez la commande regedit et cliquez sur OK.

Ouvrez l'Éditeur du Registre et créez-y quatre paramètres pour gérer les mises à jour de Windows 10

Dans la partie gauche de la fenêtre de l'éditeur qui s'ouvre, développez HKEY_LOCAL_MACHINE - LOGICIEL - Stratégies - Microsoft - Windows. Passez la souris sur le dernier élément Windows et cliquez avec le bouton droit. Dans le menu contextuel qui s'ouvre, sélectionnez Créer - Section. Nommez la nouvelle section Windows Update.
Passez ensuite la souris sur la section WindowsUpdate nouvellement créée et créez à nouveau une section que vous nommez UA.
Déplacez ensuite le curseur sur la partition AU nouvellement créée, cliquez avec le bouton droit et sélectionnez dans le menu qui s'ouvre. Nouveau - Valeur DWORD (32 bits). Le nouveau paramètre créé apparaîtra sur le côté droit de la fenêtre, nommez-le AUOptions. De la même manière, en passant le curseur sur la section AU, créez trois autres paramètres et nommez le premier. Pas de mise à jour automatique, deuxième Jour d'installation planifié, et le troisième Heure d'installation planifiée(facultatif NoAutoRebootWithLoggedOnUsers). Vous devez maintenant modifier la valeur de ces quatre nouveaux paramètres.

Pour le paramètre AUOptions

• 2 - Recevez une notification avant d'installer et de télécharger des mises à jour.
• 3 - Recevez automatiquement des mises à jour et des notifications lorsqu'elles sont prêtes à être installées.
• 4 - Recevez et installez automatiquement les mises à jour selon un calendrier spécifié.
• 5 - Autorisez les administrateurs locaux à choisir eux-mêmes le mode de mise à jour et les notifications.

Pour le paramètre NoAutoUpdate

• 0 — L'installation automatique des mises à jour est activée, qui seront téléchargées et installées en fonction des paramètres définis dans le paramètre AUOptions.
• 1 — L'installation automatique des mises à jour est désactivée.

Pour le paramètre ScheduledInstallDay

• 0 : les mises à jour seront installées quotidiennement si le paramètre AUOptions est défini sur 4.
• 1 : les mises à jour seront installées tous les lundis si le paramètre AUOptions est défini sur 4.
• 2 — les mises à jour seront installées tous les mardis avec le paramètre AUOptions défini sur 4.
• 3 — les mises à jour seront installées tous les mercredis avec le paramètre AUOptions défini sur 4.
• 4 : les mises à jour seront installées tous les jeudis si le paramètre AUOptions est défini sur 4.
• 5 — les mises à jour seront installées tous les vendredis si le paramètre AUOptions est défini sur 4.
• 6 — les mises à jour seront installées tous les samedis si le paramètre AUOptions est défini sur 4.
• 7 — les mises à jour seront installées tous les dimanches si le paramètre AUOptions est défini sur 4.

Pour le paramètre ScheduledInstallTime

De 0 à 23, les mises à jour seront installées en autant d'heures selon le paramètre réglé et si le paramètre AUOptions est réglé à 4.

Pour le paramètre NoAutoRebootWithLoggedOnUsers

• 0 — Une fois l'installation de la mise à jour terminée, l'ordinateur redémarre automatiquement ; il fonctionne avec le paramètre AUOptions défini sur 4.
• 1 - Une fois l'installation de la mise à jour terminée, l'ordinateur ne redémarrera pas automatiquement ; il fonctionne avec le paramètre AUOptions défini sur 4.

Après les modifications des GPO, il faut un certain temps (90 minutes +/- 30) pour qu'elles se propagent aux autres systèmes, mais si elles doivent être appliquées de toute urgence, l'administrateur se connecte au système distant et exécute la commande « gpupdate" Avec un grand nombre de PC, le processus a pris un certain temps et le processus lui-même n'est pas pratique. Maintenant, vous pouvez l'oublier. Dans la console de gestion des stratégies de groupe (GPMC), un nouvel élément est apparu dans le menu contextuel du domaine et de l'unité organisationnelle : « Mise à jour de la stratégie de groupe» (Group Policy Update) vous permet de mettre à jour les stratégies système à partir de Windows Vista/2008 en deux clics de souris. Après avoir activé la tâche, une liste d'ordinateurs et d'utilisateurs enregistrés sera reçue, après quoi la tâche " Gpupdate.exe /force" Pour éviter la congestion du réseau, elle sera effectuée avec un délai aléatoire compris entre 0 et 10 minutes. Le résultat de la tâche est affiché dans une fenêtre séparée ; le succès de la mise à jour peut être déterminé à l'aide de l'assistant de stratégie résultant.
La nouvelle fonction a également reçu sa propre applet de commande - Invoquer-GPUpdate, qui vous permet de mettre à jour GP à distance et offre des capacités encore supérieures à celles de GPMC. À propos, 27 applets de commande sont désormais responsables des stratégies de groupe, c'est-à-dire un de plus (vous pouvez obtenir la liste complète en saisissant « Get-Command-Module GroupPolicy«).
Pour mettre à jour immédiatement les politiques sur un système spécifique, exécutez simplement :

PS> Invoke- GPUpdate - Ordinateur< имя компьютера>

PS> Invoke-GPUpdate -Ordinateur< имя компьютера>

Clé supplémentaire –RandomDelayInMinutes vous permet de définir un intervalle de délai d'attente, ce qui est utile si la commande doit être exécutée sur plusieurs systèmes.
Mais l'essentiel est que dans la console GPMC, vous ne pouvez sélectionner qu'une division ; il n'y a pas de conteneur d'ordinateurs séparé. C'est ici qu'Invoke-GPUpdate vient à la rescousse, qui, avec l'applet de commande Get-ADComputer, vous permet de sélectionner des systèmes selon n'importe quel critère :

PS> Get-ADComputer –filter * - Searchbase "cn=ordinateurs, dc=exemple,dc=org"| foreach ( Invoke-GPUpdate –computer$_.name –force –-RandomDelayInMinutes 5)

PS> Get-ADComputer –filter * -Searchbase "cn=ordinateurs, dc=exemple,dc=org" | foreach (Invoke-GPUpdate –ordinateur $_.name –force –-RandomDelayInMinutes 5)

Un autre point important est que vous devez ouvrir plusieurs ports de pare-feu sur les systèmes clients. Pour faciliter la vie de l'administrateur, MS a proposé 2 nouvelles politiques initiales (aux 8 existantes), permettant de créer et de diffuser rapidement les paramètres nécessaires :

— Ports de pare-feu pour les mises à jour de stratégie de groupe à distance ;
- Ports de pare-feu pour les rapports de stratégie de groupe.

Leur objectif ressort clairement du nom. Nous sommes intéressés par le premier. Nous vous recommandons de créer un nouveau GPO et de le déplacer vers le haut, en lui donnant une priorité plus élevée que le GPO de domaine par défaut.
Le processus est simple. Sélectionnez le domaine et sélectionnez « Créer un GPO dans ce domaine » dans le menu. Dans la fenêtre qui apparaît, saisissez le nom et sélectionnez dans la liste « Ports de pare-feu pour la mise à jour à distance de la stratégie de groupe ». Vous pouvez également utiliser PowerShell.

Résumé: Microsoft Scripting Guy, Ed Wilson montre comment forcer une mise à jour de stratégie de groupe à l'aide de PowerShell.

Mise à jour de la stratégie de groupe dans un domaine

Parfois, j'apporte des modifications à la stratégie de groupe sur le réseau et je dois appliquer les modifications à tous les ordinateurs. Et parfois, je dois mettre à jour la stratégie de groupe local sur mon ordinateur.

Pour mettre à jour les paramètres de stratégie de groupe, j'utilise l'utilitaire Mise à jour GPU. Il a certains paramètres. Par défaut, l'utilitaire met à jour les stratégies de l'ordinateur et de l'utilisateur. Mais cela peut être contrôlé à l'aide du paramètre /cible. Par exemple, si je dois mettre à jour uniquement la stratégie informatique, je préciserai /cible :ordinateur. Pour mettre à jour uniquement la politique utilisateur - /cible :utilisateur.

PS C:\> gpupdate /target:ordinateur

Mise à jour de la politique…

Défaut Mise à jour GPU Applique uniquement les paramètres de stratégie de groupe mis à jour. Pour appliquer tous les paramètres, utilisez le paramètre /forcer. La commande suivante met à jour tous les paramètres de stratégie de groupe (qu'ils aient été modifiés ou non) pour l'ordinateur et l'utilisateur.

PS C:\> gpupdate /force

Mise à jour de la politique…

La mise à jour de la stratégie informatique s'est terminée avec succès.

La mise à jour de la stratégie utilisateur s’est terminée avec succès.

Tout d'abord, nous obtenons une liste des ordinateurs du domaine

La première chose que je dois faire est d'obtenir une liste de tous les ordinateurs du domaine. Pour cela, j'utilise l'applet de commande Obtenir-ADComputer, qui fait partie du module Active Directory.

Remarque : Le module Active Directory est inclus avec RSAT.

Je stocke les objets informatiques résultants dans la variable $cn.

$cn = Get-ADComputer-filt *

Deuxièmement, nous créons des sessions à distance

La prochaine chose que je dois faire est de créer des sessions à distance avec tous les ordinateurs. Pour ce faire, je dois fournir des informations d'identification pour me connecter aux ordinateurs, ainsi que créer les sessions elles-mêmes à l'aide de l'applet de commande. Nouvelle-PSSession.

Pour commencer, je vais utiliser l'applet de commande Obtenir les informations d'identification et stockez l'objet renvoyé par celui-ci dans la variable $ cred.

$cred = Get-Credential iammred\administrateur

$session = Nouvelle-PSSession -cn $cn.name -cred $cred

Vous devez vous rappeler qu'il peut y avoir des ordinateurs dans le domaine qui sont éteints, donc lors de l'exécution de la commande, des erreurs peuvent être renvoyées. Cependant, malgré les erreurs, Windows PowerShell crée des sessions avec les ordinateurs de travail.

La présence d’un grand nombre d’erreurs peut susciter certaines inquiétudes. Puisque les objets de session sont stockés dans la variable $sessions, je peux facilement vérifier qu'ils ont été créés.

Exécutons maintenant la commande sur toutes les machines distantes

Pour exécuter la commande Mise à jour GPU sur toutes les machines distantes, j'utilise l'applet de commande Commande d'appel. Il utilise les sessions que nous avons enregistrées dans la variable $sessions. Alias ​​​​de l'applet de commande Commande d'appel – icm.

icm -Session $session -ScriptBlock (gpupdate /force)

Après avoir exécuté la commande, les résultats sont affichés dans la console Windows PowerShell.

Recherche d'une mise à jour de stratégie de groupe

Lorsque les paramètres de stratégie de groupe sont mis à jour avec succès sur un poste de travail, l'ID d'événement 1502 est écrit dans le journal système. Je peux utiliser l'applet de commande Commande d'appel pour obtenir ces informations.

icm -Session $session -ScriptBlock (Get-EventLog -LogName système -InstanceId 1502 -Newest 1)

La commande et ses résultats sont présentés dans la figure ci-dessous.

Une autre chose intéressante à propos de la stratégie de groupe

Parfois, je dois appeler le support technique et ils me demandent de mettre à jour la stratégie de groupe sur mon ordinateur local. Ce n'est pas un problème puisque je peux courir Mise à jour GPU directement depuis PowerShell. La difficulté survient lorsqu'ils me demandent de mettre à jour la stratégie de groupe 5 fois à intervalles de 5 minutes. Mais cela peut aussi être résolu avec une seule ligne de code.

1..5 | %("actualisation du GP $(Get-Date)"; gpupdate /force ; sleep 300)

Ed Wilson, responsable des scripts Microsoft

Original:

· Sans commentaires

La mise à jour des paramètres de stratégie de groupe Microsoft Windows sur une machine locale n'est pas très difficile à effectuer à l'aide d'un outil tel que Gpupdate, mais la mise à jour de ces stratégies sur des ordinateurs distants dans un domaine ne peut pas être effectuée à l'aide de la console de gestion Microsoft (MMC) ou de tout autre produit Microsoft actuellement disponible. . Dans cet article, je vais vous présenter diverses astuces, scripts et outils gratuits qui vous permettent de mettre à jour les paramètres de stratégie de groupe sur les ordinateurs distants d'un domaine.

Introduction

La plupart des administrateurs sont conscients du problème lié à l'application de stratégies de groupe aux ordinateurs distants. Après avoir configuré une stratégie importante, nous souhaitons parfois que cette stratégie de groupe GP apparaisse immédiatement sur les ordinateurs clients. Mais le problème est que par défaut, le traitement dit en arrière-plan ne se produit que dans l'intervalle de 90 à 120 minutes (de manière aléatoire) - si nous voulons accélérer le processus de mise à jour, nous sommes ici laissés à nous-mêmes. Bien entendu, il y a une raison pour laquelle les politiques ne sont pas simplement mises à jour toutes les cinq minutes ou même en temps réel. La charge sur les contrôleurs de domaine et le réseau sera trop lourde à gérer dans la plupart des environnements. Mais si vous devez appliquer rapidement un paramètre de sécurité très important à un grand nombre de clients, ce serait alors une bonne idée de vous préparer à cette situation.

Ce dont nous avons réellement besoin, c'est de permettre à un administrateur de mettre à jour les politiques sur l'ordinateur 1, l'ordinateur 2 et/ou l'ordinateur 3 (ainsi que les politiques pour les utilisateurs A, B et C) à partir d'un point centralisé (le poste de travail de l'administrateur) si l'administrateur le juge nécessaire. Regardez la figure 1.

Figure 1 : Scénario

Nous disposons d'un merveilleux outil appelé Gpupdate qui est intégré à Microsoft Windows XP et aux systèmes d'exploitation plus récents - et nous disposons également d'un outil appelé Secedit pour le système d'exploitation Windows 2000 - mais malheureusement, la commande Gpresult pour les outils Gpupdate et Secedit ne peut être traitée que sur les ordinateurs locaux. Bien entendu, nous disposons d'un système d'installation déjà configuré, tel qu'un Microsoft Systems Management Server (SMS), nous pouvons utiliser ce système pour envoyer de petits scripts qui exécuteront la commande nécessaire sur un groupe d'utilisateurs ou d'ordinateurs.

Si votre réseau ne dispose pas d'un tel système, vous devriez alors essayer des approches plus créatives - car... L'alternative est de se connecter à tous les ordinateurs nécessaires à l'aide d'un outil comme l'assistance à distance, ou d'envoyer un e-mail à tous les utilisateurs leur demandant d'exécuter la commande Gpupdate... Recherchez donc des approches plus créatives.

Problèmes

Avant d'entrer dans les détails, je souhaite mentionner les problèmes courants que les gens rencontrent lorsqu'ils tentent d'utiliser les méthodes mentionnées dans cet article.

Problèmes de pare-feu :

Comme pour les autres connexions initiées sur un réseau, les paquets qui tentent de mettre à jour les paramètres de stratégie sur les ordinateurs distants ne pourront pas pénétrer le pare-feu local sur les ordinateurs distants (tel que le pare-feu intégré au système d'exploitation Windows à partir de Windows XP Service Pack 2 et versions ultérieures), sauf si le pare-feu est configuré pour autoriser un tel trafic entrant (à partir d'un sous-réseau sélectionné, d'une adresse IP ou quelque chose comme ça). Le pare-feu intégré au système d'exploitation Windows doit être configuré pour autoriser le trafic entrant, que nous façonnons à l'aide d'un objet de stratégie de groupe. Par conséquent, ironiquement, cette politique est la seule que nous ne pouvons pas utiliser pour les ordinateurs distants avec le pare-feu activé.

Les paramètres de stratégie qui doivent être définis pour toutes les méthodes mentionnées dans cet article sont les suivants :

Paramètres de l'ordinateur | Modèles administratifs | Réseau | Connexions réseau | Pare-feu Windows | Profil de domaine | « Pare-feu Windows : autoriser l'exception d'administration à distance. »

Les autres périphériques qui font office de pare-feu entre l'ordinateur central et les ordinateurs distants doivent également respecter les paramètres ci-dessus (voir le test d'aide pour la politique mentionnée dans GPEDIT.MSC).

Droits d'administrateur :

L'utilisateur qui lance le processus sur l'ordinateur distant doit disposer des droits d'administrateur local sur celui-ci, sinon les choses ne fonctionneront pas comme prévu.

Maintenant que vous avez réglé tout cela, regardons les méthodes elles-mêmes.

L'écriture de scénario

Les scripts sont gratuits et largement distribués parmi les professionnels de l'informatique sur Internet : ils sont véritablement « Open Source ». Microsoft nous a fourni plusieurs fonctionnalités intégrées pour étendre les capacités du système d'exploitation et de l'environnement. Dans cet article, nous expliquerons comment vous pouvez utiliser ces fonctionnalités pour mettre à jour à distance les stratégies de groupe GP.

Gpupdate et Secedit

Il faut d'abord mentionner les outils Gpupdate et Secedit, sans ces outils rien de ce qui suit ne serait possible. Les scripts et outils mentionnés ici supposent tous que l'un de ces outils est installé sur le client distant, en fonction de la version du système d'exploitation. Comme mentionné ci-dessus, l'outil Secedit est inclus avec le système d'exploitation Windows 2000, et l'outil Gpupdate a été extrait du système d'exploitation Windows XP et supérieur, il est même présent dans le système d'exploitation Longhorn tel qu'il est actuellement. Dans les scénarios suivants, je me concentrerai sur Gpupdate : nous pouvons vérifier la version du système d'exploitation avant d'exécuter Gpupdate ou Secedit, mais cette vérification peut être ajoutée ultérieurement sans trop de difficulté.

Le fichier Gpupdate.exe se trouve par défaut dans le dossier « %windir%\system32 », nous n'avons donc pas besoin de connaître le chemin absolu vers son emplacement sur la machine distante. L'outil peut être appelé avec un ensemble de clés différentes :

Syntaxe : Gpupdate

Dans nos scripts DIY pour les applications HTML (HTA) et Windows Management Instrumentations (WMI), nous nous concentrerons sur l'exécution de Gpupdate sans commutateurs, ou avec les commutateurs « /Taget:Computer » (pour mettre à jour les politiques spécifiques à l'ordinateur) ou « / Target ». :Utilisateur » (pour mettre à jour les politiques spécifiques à l’utilisateur). D'autres options peuvent être activées avec un peu de travail - mais avons-nous vraiment besoin de "/Logoff" ou de "/Boot" ? Cela signifie que les utilisateurs peuvent se déconnecter lorsque cela est nécessaire (installation d'un logiciel, modification de dossiers, etc.) ou même demander un redémarrage de l'ordinateur pendant que l'utilisateur travaille. Est-ce vraiment ce dont nous avons besoin ? Dans tous les cas, nous pouvons également utiliser un outil comme Shutdown.exe à ces fins - donc mon avis est qu'il ne sera pas très populaire.

PsExec

La première méthode dont je souhaite parler est très simple à utiliser et ne nécessite pratiquement aucune compétence en programmation. Pourquoi inventer quelque chose qui a déjà été inventé, non ? L'outil, appelé PsExec, a été développé par Mark Russinovich, l'ancien propriétaire de Sysinternals, acquis par Microsoft en juillet 2006. La version 1.73 est actuellement disponible et peut être téléchargée sur le site Web Microsoft Technet.

L'outil PsExec est idéal pour l'exécution à distance, principalement parce qu'il ne nécessite l'installation d'aucun agent sur la machine distante. Il vous suffit de spécifier le nom de l'ordinateur et la commande à exécuter ainsi que les commutateurs sur la ligne de commande - c'est tout !

Une petite astuce consiste à placer le fichier PsExec.exe dans le répertoire « %windir% », car dans ce cas, nous n'avons pas besoin de spécifier le chemin complet de ce fichier lors de son exécution depuis la ligne de commande.

Afin de mettre à jour les stratégies de groupe sur une machine distante, il suffit de spécifier « Computername » dans la commande suivante : « PsExec \\Computername Gpupdate ». L'utilisateur exécuté sur la machine distante ne saura même pas ce qui s'est passé, mais en arrière-plan, la commande Gpupdate mettra à jour les politiques de l'utilisateur et de la machine et appliquera tous les paramètres perdus. Vous pensez peut-être que la commande PsExec doit être exécutée avec l'option -i pour mettre à jour les utilisateurs distants avec des stratégies utilisateur personnalisées, mais les tests montrent que cela n'est pas nécessaire.

Script de COMMANDE FLEX

Ainsi, la méthode mentionnée ci-dessus vous permet de mettre à jour les politiques pour un seul utilisateur ou ordinateur, mais qu'en est-il de la mise à jour d'une unité organisationnelle (OU) entière en utilisant PsExec et Gpupdate ensemble ? À ces fins, j'ai créé un script de démonstration pour montrer certaines des possibilités dont nous pouvons profiter grâce aux scripts. Le script s'appelle FLEX COMMAND et peut être téléchargé à partir d'ici. Vous pouvez facilement ouvrir le fichier HTA avec un éditeur de texte comme le Bloc-notes et voir le code, sans magie cachée.

Lorsque FLEX COMMAND démarre, il se connecte au domaine Active Directory AD de l'ordinateur sur lequel il s'exécute. Il doit donc être exécuté sur un ordinateur membre d'un domaine, sinon l'UO ne sera pas trouvée.

Sélectionnez l'UO, l'outil doit être traité sur des machines qui sont « actives » (répondant aux requêtes WMI). La dernière chose à faire est d'insérer la ligne de commande que l'on souhaite exécuter sur l'ordinateur local pour chaque objet situé dans l'UO sélectionnée. La ligne de texte « (C) » doit être laissée car il sera remplacé par le nom de l'ordinateur lors de l'exécution du script.

Figure 2 : COMMANDE FLEX en action

Supposons que l'UO appelée « Mes Ordinateurs » ne contienne que 3 ordinateurs : Ordinateur1, Ordinateur2 et Ordinateur3. La commande que nous avons tapée, « psexec \\(C) gpupdate » est ensuite traduite en 3 commandes suivantes : « psexec \\computer1 gpupdate », « psexec \\computer2 gpupdate », « psexec \\computer3 gpupdate » - toutes les commandes seront être séquentielles sont exécutées (si les ordinateurs sont « vivants ») et les politiques supprimées seront mises à jour.

L'outil peut être modifié de telle sorte que la liste des ordinateurs provienne d'un fichier (txt, csv, xls, etc.), d'une base de données, d'un groupe de sécurité spécial dans AD, en utilisant une sélection manuelle dans la liste. La façon dont le script est lancé peut également être modifiée : il s'agit simplement d'un script de démonstration dont le but principal est de montrer les capacités dont nous disposons.

Le script est distribué gratuitement et vous pouvez le tester, l'utiliser et le modifier à votre discrétion - détails.

Instrumentation de gestion Windows (WMI)

D'accord, l'outil PsExec est vraiment génial, mais existe-t-il des méthodes manuelles que je peux utiliser pour mieux personnaliser la solution pour mon environnement ? Oui, en fait, il y en a ! WMI est très puissant et assez simple à utiliser après quelques heures d’apprentissage. Si vous maîtrisez WMI et disposez de vos autorisations de pare-feu et de vos droits d'administrateur, vous pouvez alors faire presque tout dans l'environnement Windows - même arrêter l'ordinateur à distance, redémarrer et exécuter des commandes à distance.

J'ai créé un autre script à des fins de démonstration appelé OU GPUPDATE. Ce script HTA utilise quelques techniques différentes - il s'agit en fait d'une légère modification du script FLEX COMMAND. Tout d'abord, il analyse la structure de l'UO dans AD (liste déroulante supérieure), donne aux utilisateurs la possibilité de sélectionner des ordinateurs dans l'UO, d'exécuter Gpupdate avec le paramètre « /Target:User » ou « /Target:Computer », ou aucun paramètre. du tout. Seules les machines « actives » (qui répondent aux requêtes WMI) seront affectées par défaut.

Figure 3 : Sélectionnez s'il faut mettre à jour les paramètres utilisateur, les paramètres de l'ordinateur ou les deux.

Ce script est gratuit et vous pouvez le tester, l'utiliser et le modifier à votre guise à partir d'ici.

Scripts à distance

En plus de WMI, nous avons la possibilité d'utiliser des scripts distants classiques (VBScript). Cela peut être activé en définissant une seule valeur dans la partie HKLM du registre de l'ordinateur, et le moteur de script doit prendre en charge les scripts à distance, et à partir de ce moment, tout le reste devient assez évident. La procédure consiste à copier le fichier de script sur l'ordinateur distant (ce script doit utiliser Gpupdate), puis à envoyer une commande VBScript qui exécute le script à distance.

RGPREFRESH

RGPREFRESH est un outil développé par Daren Mar-El. Son outil utilise WMI et exécute soit Secedit, soit Gpupdate selon le système d'exploitation de l'ordinateur distant, avec des touches sélectionnées par l'utilisateur. Ces clés vous offrent les mêmes fonctionnalités que si vous utilisiez l'outil localement.

Cet outil traite une machine à la fois, mais avec un outil appelé FLEX COMMAND (en tant que wrapper), cet outil peut être utilisé pour une unité organisationnelle (OU) entière en quelques clics de souris... Les deux RGPREFRESH et les outils PsExec peuvent également être utilisés avec les utilitaires DSQUERY, FOR et d'autres utilitaires de ligne de commande sur plusieurs ordinateurs à la fois.

Figure 4 : Options pour RGPREFRESH

Cet outil peut être téléchargé gratuitement à partir de cette page.

Mise à jour Gp Specops

Logiciel d'opérations spéciales, Specops, un fabricant international de logiciels, propose des produits de gestion Active Directory basés sur la technologie de stratégie de groupe. La société a publié sa propre solution de mise à jour des politiques à distance, et la meilleure chose est qu'elle est entièrement gratuite. La version actuelle de Specops Gpupdate est la 1.0.2.13 (2006-10-25) et l'utilitaire lui-même peut être téléchargé à partir d'ici. Cet outil possède non seulement les fonctionnalités que nous avons développées dans les scripts mentionnés ci-dessus, mais ajoute également plusieurs capacités de gestion. Jetons un coup d'œil à ce merveilleux utilitaire...

Installation de Specops Gpupdate

L'installation d'une application MSI est très simple : il suffit d'un utilisateur MMC Active Directory Users & Computers (ADUC) et de Microsoft .NET Framework version 2.0.

Figure 5 : Le processus d'installation est aussi simple que l'installation des packages MSI (cliquez sur suivant, suivant, suivant)

Après avoir installé le fichier MSI, rien ne change dans l'interface graphique, et ce n'est qu'en utilisant « Ajout/Suppression de programmes » que nous pouvons découvrir que Specops est installé sur notre machine. Par conséquent, nous devons faire un travail supplémentaire pour la transformation magique...

Extension pour les utilisateurs et ordinateurs Active Directory

Après avoir installé Specops Gpupdate dans la forêt AD, vous devez exécuter une commande spéciale

« %CommonProgramFiles%\Specopssoft\Specops ADUC Extension\SpecopsAducMenuExtensionInstaller.exe » /add

Il ne s'agit pas d'une mise à jour de schéma, même si vous devez disposer des droits d'administrateur d'entreprise pour exécuter cette commande. Cette commande est absolument réversible, il suffit de la réexécuter avec le commutateur « /remove ». Tout ce qu'il fait, c'est enregistrer ce qu'on appelle les « spécificateurs d'affichage » pour améliorer la visualisation à l'aide d'ADUC.

Cliquez ensuite avec le bouton droit sur l'unité d'organisation ou l'objet ordinateur et vous verrez apparaître quatre nouvelles commandes : Gpupdate, Restart, Shut down et Start. Il est possible de sélectionner plusieurs ordinateurs et UO en maintenant la touche enfoncée et en cliquant avec le bouton droit de la souris sur les objets souhaités.

Figure 6 : ADUC MMC étendu

Si, comme moi, vous vous demandez si les modifications peuvent également être appliquées aux contrôleurs de domaine non-DC, alors la réponse est oui ! Après avoir installé le pack d'outils d'administration Windows Server 2003 Admin Pack Service Pack 1 sur un client Windows XP Professionnel, .NET Framework 2.0 et Specops Gpupdate, la console de gestion ressemble à celle d'un contrôleur de domaine DC et possède les mêmes fonctionnalités.

Options de mise à jour GP

La première option dont nous disposons nous permet d'exécuter la commande Gpupdate à distance sur des ordinateurs sélectionnés. Après avoir sélectionné Gpupdate, nous devons confirmer la sélection comme indiqué dans la figure 7 et cocher la case d'option Utiliser la force si nous voulons utiliser le paramètre de gain.

Figure 7

Après avoir cliqué sur le bouton OK, un graphique dynamique apparaîtra, voir Figure 8, ainsi qu'un rapport sur la progression de la mise à jour.

Figure 8

Options de redémarrage et d'arrêt

Les deux paramètres suivants « Restart » et « Shutdown » sont très importants pour le contrôle, nous en avons donc besoin directement dans ADUC. Nous pouvons exécuter la commande de redémarrage ou d'arrêt, et également définir l'intervalle de temps en secondes accordé à l'utilisateur pour fermer toutes les applications en cours d'exécution. Écrire un script qui ferait toutes les mêmes choses n'est pas très difficile en utilisant WMI ou en utilisant la commande Shutdown.exe avec les bons commutateurs, mais grâce à Specops Gpupdate, nous obtenons cette fonctionnalité entièrement gratuite sans investissement de temps et d'efforts.

Figure 9 : Boîte de dialogue du message de redémarrage

Paramètre de démarrage Le dernier des quatre paramètres est appelé « Démarrer » et est en fait la fonctionnalité Wake on LAN ou WOL intégrée à ADUC. Après avoir sélectionné et confirmé ce paramètre, voir Figure 10, les paquets dits Magic seront envoyés aux adresses MAC des ordinateurs clients et le téléchargement commencera. Pour que WOL fonctionne, la fonctionnalité correspondante doit être prise en charge par le BIOS de l'ordinateur. Specops Gpupdate interagit avec les serveurs Microsoft DHCP de l'entreprise pour trouver les informations nécessaires à l'exécution de ce processus. Il est donc possible de réveiller les clients DHCP et uniquement sur un réseau avec des serveurs Microsoft DHCP installés.

Figure 10 : Confirmer le lancement du WOL distant

À propos, les scripts peuvent également être utilisés pour WOL ; les exemples d'un tel code dépassent le cadre de cet article.

Conclusion

Nous avons examiné plusieurs façons d'appliquer des stratégies de groupe aux ordinateurs distants. La méthode qui vous convient le mieux dépend de votre environnement. Personnellement, j’aime écrire des scénarios, mais pourquoi travailler dur sur quelque chose que d’autres ont déjà créé ? J'ai deux réponses à cette question. La première est que nous apprenons en écrivant de tels scripts, et la seconde concerne les conditions spéciales ou la production personnalisée. Les scripts améliorent nos compétences en tant que professionnels des technologies de l'information et nous permettent également de personnaliser des solutions prêtes à l'emploi pour mieux répondre à des conditions spécifiques.

Specops a développé un très bon utilitaire gratuit qui remplit les fonctions de base de mise à jour des politiques sur les clients du réseau. Je vous recommande de l'essayer !

Source www.windowsecurity.com

Dans cet article, nous allons montrer un moyen simple de mettre à jour à distance les politiques de groupe sur les clients (ordinateurs et serveurs) d'un domaine Active Directory, sans avoir besoin d'accéder à la console de la machine distante et sans utiliser la commande gpupdate.

L'un des problèmes les plus difficiles dans la gestion des stratégies de groupe AD consiste à tester les stratégies à la volée, sans redémarrer l'ordinateur ni accéder à l'ordinateur local et exécuter la commande.

La fonctionnalité de mise à jour des stratégies de groupe à distance offre la possibilité d'utiliser une seule console de gestion GPO (GPMC.msc) pour créer, modifier, appliquer et tester des stratégies de groupe.

La fonctionnalité de mise à jour des stratégies de groupe à distance est apparue pour la première fois dans Microsoft Windows Server 2012, dans toutes les versions ultérieures (Windows Server 2016, Microsoft Windows 10), cette fonctionnalité et sa stabilité ont été progressivement améliorées.

Conditions requises pour que la mise à jour de la stratégie de groupe à distance fonctionne :

Exigences de l'environnement du serveur :

• Windows Server 2012 et supérieur
• Ou Windows 10 avec les outils de gestion RSAT installés

Exigences pour les clients :

• Windows 7 et supérieur

Conditions requises pour la communication réseau (pare-feu) entre le serveur et les clients

• Le port TCP 135 doit être ouvert
• Le service Windows Management Instrumentation est activé
• Service de planification de tâches

Si votre environnement répond à ces exigences, ouvrez la console de gestion des stratégies de groupe (GPMC.msc), sélectionnez l'unité d'organisation (conteneur) dans laquelle se trouvent les ordinateurs cibles sur lesquels vous souhaitez forcer la mise à jour du GPO.

Faites un clic droit sur le conteneur souhaité et sélectionnez Mise à jour de la stratégie de groupe.

Dans la fenêtre qui s'ouvre, des informations apparaîtront sur le nombre d'objets dans cette UO sur lesquels le GPO sera mis à jour. Pour confirmer l'action, cliquez sur le bouton « Oui ».

Dans la fenêtre des résultats de la mise à jour de la stratégie de groupe à distance, vous verrez l'état de la mise à jour de la stratégie, ainsi que l'état de cette opération (succès/erreur, code d'erreur). Naturellement, si un ordinateur est éteint ou si l'accès à celui-ci est restreint par un pare-feu, une erreur correspondante apparaîtra.