درخواست دستور برای بروزرسانی Group Policy کلاینتها بصورت متمرکز
با سلام خدمت دوستان
دستوری میخام که با اون بشه تنظیمات Group policy کلاینتها رو بصورت متمرکز بروزرسانی کرد البته قبول دارم که بعضی تنظیمات برای اعمال کمی زمان میبرند ، در ویندوز سرور 2003 با اجرای دستور Gpupdate /force به هدف خودم میرسیدم ولی در ویندوز سرور 2008 نمیدونم چرا جواب نمیده ....
همچنین از طریق کلاینتی که با دسترسی مدیریتی لاگین کرده هم میشه این کار رو انجام داد ؟
دیگر اینکه راهی وجود داره که من بتونم یک فایل رو در شبکه Share کنم و دسترسی مناسب بهش بدم اونوقت دستور بدم که این فایل بر روی یک یا چند کلاینت اجرا بشه ، مثلا یک فایل Batch درست کنم و در اون دستور Gpupdate و یا هر دستور دیگه ای رو وارد کنم . منظور من اینه که به محض اینکه من دستور دادم فایل من روی کلاینت اجرا بشه.
با تشکر
10 پاسخ
متاسفانه از آنجایی که این کلاینت ها هستن ک درخواست بروز رسانی پالسی ها رو به سرور میفرستند، فکر نمیکنم راهی باشه که انها رو مجبور کنیم که در یک لحظه پالسی های خودشون رو بروز کنند. البته یکی از راه حل های این قضیه استفاده از Group Policy Refresh Interval هستش که در تاپیک زیر بهش اشاره شد. در اصل باید یک زمان Schedule شده روی کلاینت ها تعریف کنید که خودشون بیان از سرور پالسی ها رو دریافت و بروز رسانی کنند.
نکاتی در مورد اعمال شدن Policy ها و Group Policy Refresh Interval
فکر میکنم برای این کار، Third Party هایی وجود داشته باشند. مثل نرم افزار PolicyPak (البته در این مورد مطمئن نیستم)
در مورد بروز رسانی متمرکز پالسی ها روی کلاینت ها، پیشنهاد میکنم به لینک های زیر سر بزنید:
(Force a Remote Group Policy Refresh (GPUpdate
How to push down group policy from domain controller to a client after changes was made to the GPO
ممنون از پاسختون ولی من تمام هدفم اینه که در لحظه با وارد کردن دستور تنظیمات پالیسی به کلاینتها اعمال بشه ( البته به استثنای پالیسیهایی که برای اعمال نیاز به زمان یا ریستارت دارند )
در ویندوز سرور 2003 با اجرای Gpupdate /force تنظیمات پالیسی به کلاینتها اعمال میشدند دقیقا مثل اینکه در کلاینت دستور gpupdate رو زده باشیم !!! ولی در سرور 2008 دستور با موفقیت اجرا میشه ولی به این شکل نیست !!!
در روشی که شما گفتین لازم هست کلاینتها ریستارت بشن تا پالیسی اونها آپدیت بشه یا فایل مورد نظر روی اونها اجرا بشه.
هر چند که دوستان همگی درست میگن ، شما می تونید از ابزاری به نام SpecOps Gpupdate هم استفاده کنید که بر روی سرور اکتیودایرکتوری شما نصب میشه و می تونه به صورت ریموت Group Policy رو بر روی کلاینت ها Force کنه ، این ابزار رو می تونید از این قسمت دانلود کنید ، البته این ابزار خودش دستور gpupdate ترکیبی با استفاده از سویچ های زیر رو در واقع شبیه سازی کرده ، دستور زیر یک کامپیوتر خاص رو بعد از اجبار به بروز رسانی Policy ها Restart هم می کنه :
gpupdate /target:itproclient /force /sync /boot
البته به این موضوع هم اشاره کنم که در ویندوز سرور 2012 شما براحتی می تونید با راست کلیک کردن بر روی GPO خودتون که می دونید این عملیات رو بصورت متمرکز انجام بدید ، به تصویر زیر نگاه کنید :
برای این چنین کارها از ابزارهایی مثل Cain & Abel استفاده میشه که میتونند به محیط Command Prompt و یا PowerShell در Remote Computer دسترسی پیدا کنند. که البته اینجور نرم افزارها در شاخه نرم افزارهای Hack به حساب میان و توی Course های CEH و ... تدریس میشن.
البته میتونین از psExec هم استفاده کنین. psExec یکی از ابزارهای موجود در SysInternals هستش که توسط Mark Russinovich تهیه شده و میتونین از سایت مایکروسافت دریافت کنین. کافیه که دستور زیر رو اجرا کنین:
psExec \\computer cmd
به جای کامپیوتر، از Netbios Name کامپیوتر مورد نظر استفاده کنین. برای اطلاعات بیشتر میتونین به لینک زیر مراجعه کنین:
معنی gpupdate /force این نیست که DC، بیاد Policy ها رو روی کلاینت ها اعمال کنه. بلکه در صورتی که این دستور رو روی خود DC وارد کنید، Policy های اعمال شده روی DC رو بروز می کنه.
gpupdate /force
تمامی پالسی ها رو Apply میکنه. در حالی که به صورت پیشفرض فقط Policy هایی که تغییر کردند، اعمال میشن.
gpupdate /sync
این دستور در حقیقت هیچ Policy رو Update نمیکنه. بلکه به کلاینت دستور میده که در Restart یا Logon بعدی، تمامی Computer Configuration و User Configuration ها به صورت Synchronous یا همزمان Process بشن. این به آن معنی هستش که در Restart و Logon بعدی، ابتدا تمام Computer Configuration در تمام GPO ها اعمال میشن و سپس صفحه Logon Screen نمایش داده میشه. همینطور پس از وارد کردن نام کاربری و گذرواژه توسط کاربر، تمامی User Configuration در تمام GPO ها اعمال میشن و سپس صفحه Desktop به کاربر نشان داده میشه. یکی ار بهترین کاربردهای این پالسی، زمانی هستش که توی GPO، یک یا چند Folder Redirection اعمال کردین.
این نکته رو در نظر بگیرین که پس از وارد کردن دستور gpupdate /sync، معمولا از شما خواسته میشه که کامپیوتر رو Restart کنید.
همینطور در نظر داشته باشین که در صورت استفاده زیاد از gpupdate /force، بار اضافی زیادی روی سرور های شما ایجاد میشه. چون کلاینت تمامی تنظیمات مربوط به GPO ها رو از سرور درخواست میکنه.
ممنون از پاسختون
حالا راهی وجود داره که بتونید در شبکه خود یه فایل رو از راه دور روی کلاینت اجرا کنیم ؟
اگر اشتباه نکنم اگر Telnet بزنیم بشه این کار رو کرد ولی اون لازمش اینه که سرویسش استارت بشه !! من یه راه دیگه ای میخام .
سوال دیگه اینکه شما گفتید که کلاینت باید درخواست بده برای دریافت تنظیمات پالیسی ، پس با این حال سوویچ /force در دستور gpupdate چکار میکنه ؟
نه بیشتر هدف من از طرح این سوال این بود که بتونم به عنوان مثال یک فایل Batch رو روی کلاینت اجرا کنم ( حالا کاری به سطح دسترسی اون ندارم ) ، یکی از فواید اون این بود که میتونستم در لحظه ای که میخام دستور gpupdate روی کلاینت اجرا بشه.
در مورد اجرا کردن نرم افزار از راه دور، اگر منظورتون نصب نرم افزار از راه دور باشه، بایست از نرم افزارهای Patch Management و Application Management استفاده کرد. مثال ساده این سری نرم افزارها، EMCO Remote Deployment هستش که یک Agent روی کلاینت نصب میکنه و از طریق اون، میتونین نرم افزار (حتی Crack شده) رو به صورت Unattend روی کلاینت نصب کنید.همینطور میتونید از SCCM از سری System Center نرم افزارهای مایکروسافت هم اصتفاده کنید. البته WSUS هم جزو بهترین های Patch Management هستش.
از دیگر نرم افزارها میشه به Secunia CSI، و GFI MAX RemoteManagement و BatchPatch اشاره کرد.
در رابطه با اجرای دستور Gpupdate /force در server 2008 علاوه بر اجرای ان در run در برخی موارد احتیاج به یک یا دو بار ریست کردن سیستم هم دارید که به صورت معمول نتیجه حاصل خواهد شد.
در پاسخ قسمت دوم بایدبگم که بله در کلاینت ها هم به شرط وارد شدن با دسترسی admin امکان استفاده از دستور
Gpupdate /force وجود دارد.
پاسخ قسمت سوم در تنظیمات Group policy شما میتوانید فایل Share شده خود را هم به user وهم به pc هاتون از طریق computer configuration برای pc ها ودر user configuration برای user ها فایل Batch معرفی بکنید و سپس برای
اعمال ان از دستورGpupdate /force در run استفاده بکنید
موفق باشید.