Замыкание групповой политики

Active Directory: команда GPUPDATE

Команда gpupdate является заменой команды secedit /refreshpolicy, которая использовалась в операционной системе Windows 2000 для ручного запуска процесса обновления объектов групповой политики.

Хотя все политики обновляются автоматически, использование этой команды позволяет выполнить немедленное обновление объекта групповой политики. Часто это оказывается необходимо после внесения изменений в объект групповой политики.

Таким образом, можно убедиться в правильности изменений в объекте групповой политики. В отличие от команды secedit /refreshpolicy команда gpupdate по умолчанию выполняет обновление параметров политики пользователя и политики компьютера. При использовании утилиты secedit приходилось запускать две отдельные команды.

Команда gpupdate имеет следующий синтаксис:

gpupdate [/target:<computer|user>] [/force] [/wait:<seconds>] [/logoff] [/boot] [/sync]

Параметры команды gpupdate рассматриваются в следующей таблице.

Параметры команды gpupdate

Параметр

Использование

/target:<computer|user>

Заставляет команду выполнять обновление только параметров компьютера или только параметров пользователя в объекте групповой политики. По умолчанию обновляются параметры компьютера и пользователя

/force

Игнорирует все оптимизации обработки объектов групповой политики, например, обнаружение медленных связей, и повторно применяет все параметры

/wait:<seconds>

Позволяет указать количество секунд, за которое должна завершиться обработка политики. По умолчанию используется значение 600 (10 минут). Значение 0 означает отсутствие ожидания, а значение -1 означает неограниченное ожидание

/logoff

Завершает сеанс работы пользователя после применения параметров объекта групповой политики. Завершение сеанса работы пользователя требуется для обновления многих параметров политики, например, параметров рабочего стола, поэтому процесс завершения сеанса стоит автоматизировать

/boot

Перезагружает систему после обновления политики. Некоторые параметры компьютера, например, установка программного обеспечения, применяются только в процессе запуска операционной системы, поэтому для применения этих параметров требуется перезагрузка

/sync

Приводит к синхронному применению параметров объекта групповой политики к компьютерам в процессе загрузки и к пользователям в процессе регистрации. Такое поведение по умолчанию принято в операционной системе Windows 2000.

Это приводит к применению всех политик в процессе регистрации. В операционных системах Windows XP и Windows Server 2003 политики, принятые по умолчанию, применяются асинхронно. При этом некоторые пользователи будут регистрироваться на основании кэшированных данных и не получат обновленные параметры групповой политики

Предположим, что в параметры политики пользователя были внесены изменения.

Для проверки изменений можно запустить команду gpupdate /target:user /logoff. Эта команда выполняет обновление пользовательской части объекта групповой политики и автоматически завершает сеанс работы пользователя после окончания обновления. Как только пользователь зарегистрируется в системе повторно, он заметит внесенные изменения.

11.11. Раздел Локальная сеть

Обычно, когда сетевые ПК входят в домен, проблем при опросе удаленных ПК по WMI возникать не должно. Однако, иногда это все же случается. Это бывает вызвано изменением настроек безопасности, но не всегда. В случае возникновения ошибок опроса ПК по WMI можно попробовать восстановить доступ к WMI в домене удаленно, используя настройки групповых политик по следующей инструкции.

1. Запуск редактора политик

«Пуск» — «Выполнить» — «mmc».

Меню «Консоль» — «Добавить оснастку» — «Редактор объектов групповой политики».

«Обзор» — меняем объект с «Локальный компьютер» на "Default Domain Policy".

 

2. Настройка UAC – User Account Control

Начиная с версии Vista, у Windows появился компонент «Контроль учетных записей пользователей» (User Account Control, UAC). При запуске программ он запрашивает разрешение на запуск с маркером администратора, по умолчанию программа выполняется с маркером пользователя. Удаленные запросы всегда получают маркер пользователя (удаленно нет возможности пройти контроль учетных записей, поскольку компонент запускается на локальном компьютере, а запрос идет с удаленного). Поэтому необходимо настроить UAC, чтобы обеспечить удаленный доступ DCOM.

1) В том же узле «Политика домена по умолчанию\Конфигурация компьютера\Конфигурация Windows \Параметры безопасности\ Локальные политики\параметры безопасности» установите значение политики «Управление учетными записями пользователей: все администраторы работают в режиме одобрения администратором» в положение «Выключено».

2) Установите значение политики «Контроль учетных записей пользователей: проведение запроса на повышение прав для администраторов в режиме одобрения администратором» в «Повышение без запроса».

3) Установите значение политики на «Контроль учетных записей: обнаружение установки приложений и запрос на повышение» в положение «Выключено».

 

3. Настройка брандмауэра Windows

Брандмауэр Windows должен разрешать протокол DCOM. Это необходимо для передачи WMI запросов. Для WMI запросов используется служба DCOM и порты 135, 445.

Для настройки брандмауэра перейдите в консоли на следующий узел «Политика домена по умолчанию\Конфигурация компьютера\Конфигурация Windows \Параметры безопасности\».

В настройках 2003 сервера нужно включить опцию «Разрешать исключения для удаленного управления». Будет разрешена работа через DCOM и WMI.

 

Для более поздних версий серверов используются предустановленные правила «WMI» и «Удаленное управление» («Remote Administration»). Они задаются через контекстное меню в «Inbound Rules», «New Rule».

 

4. Установите классическую модель доступа

В том же узле «Политика домена по умолчанию\Конфигурация компьютера\Конфигурация Windows \Параметры безопасности\ Локальные политики\параметры безопасности» установите параметр «Сетевой доступ. Модель совместного доступа» на «Обычную».

Отключите параметр «Учетные записи: ограничить использование пустых паролей».

 

5. Настройка запуска служб

Для настройки запуска служб перейдите в консоли на следующий узел «Политика домена по умолчанию\Конфигурация компьютера\Конфигурация Windows \Параметры безопасности\Системные службы».

Включите следующие системные службы:

а) RPCSs (Удаленный вызов процедур RPC).

б) DCOM — «Запуск серверных процессов DCOM» или «Модуль запуска процессов DCOM сервера».

в) Возможно, понадобится служба LanmanServer («Server», «Сервер»): она отвечает за сетевой доступ к файлам.

 

6. Настройка DCOM

Для настройки запуска служб перейдите в консоли на следующий узел «Политика домена по умолчанию\Конфигурация компьютера\Конфигурация Windows \Параметры безопасности\ Локальные политики\параметры безопасности».

Измените значения ограничений на запуск и доступ к DCOM. Нажмите дважды на политике «DCOM: Ограничения компьютера на доступ …», нажмите «Изменить безопасность», добавьте пользователя и задайте ему права доступа удаленно и локально. Измените значение: "DCOM: Ограничения компьютера на запуск…". В открывшемся диалоге нажмите кнопку «Изменить безопасность», добавьте пользователя, от имени которого идёт сбор информации, установите галочку для прав доступа на запуск: "Локальный запуск", "Удаленный запуск", "Локальная активация" и "Удаленная активация".

 

Что можно еще посмотреть:
Устранение проблем с доступом к WMI на удаленных ПК
Расшифровка ошибок при опросе WMI
Посмотреть часто-задаваемые вопросы (FAQ)

 

Программа "10-Страйк: Инвентаризация Компьютеров" — удаленный опрос и инвентаризация ПК предприятия по сети. Создание отчетов по "железу" и ПО, мониторинг изменений, обнаружение проблем, оповещение администратора. Легко установить и настроить. Возьмите свой парк компьютеров под контроль!

Скачайте бесплатную 30-дневную версию прямо сейчас и попробуйте.

 

Where to keep configuration¶

This chapter discusses several approaches as to where to keep configuration that is specific to services you develop, i.e. it’s not about how to configure Zato itself, rather where to keep run-time parameters you will want to use in your own services.

In short, you can keep it anywhere you want, in any data source and you’re not limited to the choices described here but these are still recommendations you may want to consider using.

INI files¶

Each server’s server.conf file contains the user_config stanza whose keys are labels pointing to paths the contents of which is made available to services in run-time.

Assuming the configuration is:

[user_config] data1=./my1.ini data2=/opt/data/my2.ini

The contents of files will be available to services as:

File Attribute
./my1.ini self.user_config.data1
/opt/data/my2.ini self.user_config.data2

Now supposing one of the files looks like:

./my1.ini:

[hello] a_string=My string a_list=sample,list,with,elements

The exact values from the INI file will be converted to their expected Python types:

fromzato.server.serviceimportServiceclassMyService(Service):defhandle(self):self.logger.info('INI string %r ',self.user_config.data1.my1.hello.a_string)self.logger.info('INI list %r ',self.user_config.data1.my1.hello.a_list)
INFO — INI string ‘My string’ INFO — INI list [‘sample’, ‘list’, ‘with’, ‘elements’]

The conversion works for strings and lists. If anything cannot be converted it is treated as a string.

Redis¶

You can use the Redis GUI, API or any other external tools (such as redis-cli) to set config values and have services fetch them in run-time.

You have access to any features Redis supports and can store arbitrarily complex configuration in that manner.

Redis will be consulted each time a config value is needed so any new changes will be visible to the services straightaway.

fromzato.server.serviceimportServiceclassMyService(Service):defhandle(self):value=self.kvdb.conn.get('mykey1')self.logger.info('value:[{}]'.format(value))

A config service¶

You can store configuration in plain Python in a SimpleIO-based (SIO) service designated to a role of a config service.

This will be a service that itself won’t usually accept any external requests nor will it be allowed to invoke it through a channel or scheduler.

As with Redis, such an approach lets you hot-deploy any config changes without restarting the servers.

Note that any config values must always be assigned to a class directly — never to an instance (self). As described in the programming conventions section, this is because each invocation of a service creates a new instance.

Being a SIO one, you can invoke it with regular Python dicts or anything dict-like.

Note however that there is no guarantee as to in what order services are deployed on servers, hence, you must ensure that such a service is available to its users before other services start accessing it.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
fromzato.server.serviceimportServiceclassMyConfigService(Service):config={'mykey1':'myvalue1','mykey2':'myvalue2'}classSimpleIO(object):response_elem='config'input_required=('key',)output_required=('value',)defhandle(self):self.response.payload.value=self.config.get(self.request.input.key,'err')
fromzato.server.serviceimportServiceclassMyService(Service):defhandle(self):config_service='my-services.my-config-service'response1=self.invoke(config_service,{'key':'mykey1'},as_bunch=True)response3=self.invoke(config_service,{'key':'mykey3'},as_bunch=True)self.logger.info('value1:[{}]'.format(response1.config.value))self.logger.info('value3:[{}]'.format(response3.config.value))
INFO — value1:[myvalue1] INFO — value3:[err]

Pulling config from any sources using hooks¶

You have access to a range of hooks that let you plug into a lifecycle of a service so you can fetch configuration from data sources outside of Zato if need be.

In particular, before_add_to_store is a good candidate because this static method is executed well before a service this method is part of is first time invoked.

As such, it can be used to pull config data and assign it to class it is a method of.

Again, remember that there is no guarantee with regards to the order in which services are deployed on servers.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
fromzato.server.serviceimportServiceclassMyConfigService(Service):# The config is initially empty but it will be populated in before_add_to_storeconfig={}classSimpleIO(object):response_elem='config'input_required=('key',)output_required=('value',)defhandle(self):self.response.payload.value=self.config.get(self.request.input.key,'err')@staticmethoddefbefore_add_to_store(logger):# Imagine LDAP or any other data source is queried here and it returns# a dictionary of configuration.external_config=get_config()# Set config to whatever was fetchedMyConfigService2.config.update(external_config)# Always return True if you want for the service to be deployedreturnTrue

GPUPDATE – выполнение обновления групповых политик для пользователя и компьютера.

Команда GPUPDATE используется для обновления групповых политик для пользователя и/или компьютера .

Формат командной строки:

GPUpdate [/Target:{Computer | User}] [/Force] [/Wait:значение] [/Logoff] [/Boot] [/Sync]

Параметры командной строки:

/Target:{Computer | User} — Обновление параметров политики только пользователя (User) или только компьютера (Computer). Если не указано, обновляются параметры обеих политик.

/Force — Применение всех параметров политики.

Если не указано, применяются только изменившиеся параметры политики.

/Wait:значение — Время ожидания (в секундах) завершения обработки политики. По умолчанию — ожидание 600 секунд. Значение ‘0’ — без ожидания. Значение ‘-1’ — ожидание не ограничено. В случае превышения времени ожидания вновь активизируется окно командной строки, но обработка политики продолжается.

/Logoff — Выполнение выхода после обновления параметров групповой политики. Требуется для тех клиентских расширений групповой политики, которые не обрабатывают политику в фоновом режиме, а обрабатывают ее только при входе пользователя, таких, например, как установка программ для пользователя или перенаправление папок. Этот параметр не оказывает влияния, если не вызываются расширения, требующие выхода пользователя.

/Boot — Выполнение перезагрузки после применения параметров групповой политики. Требуется для тех клиентских расширений групповой политики, которые не обрабатывают политику в фоновом режиме, а обрабатывают ее только при запуске, таких, например, как установка программ для компьютера. Этот параметр не оказывает влияния, если не вызываются расширения, требующие перезапуска системы.

/Sync — Следующее активное применение политики должно выполняться синхронно. Активные применения политики происходят при перезагрузке компьютера или при входе пользователя в систему. Можно использовать этот параметр для пользователя, компьютера или для обоих, задав параметр /Target. При этом параметры /Force и /Wait, если они указаны, пропускаются.

Примеры использования:

gpupdate /? — отобразить подсказку по использования команды.

gpupdate — выполняется обновление политик компьютера и политик пользователя. Применяются только изменившиеся политики.

gpupdate /Target:computer — выполняется обновление политик только для компьютера.

gpupdate /Force — выполняется обновление всех политик.

gpupdate /Boot — обновление групповых политик с перезагрузкой компьютера.

Весь список команд CMD Windows

Процесс замыкания на себя

Этот раздел демонстрирует, как использование процесса замыкания на себя позволяет применять различные наборы групповых политик в зависимости от того, на какой компьютер вошел пользователь. Это полезно, когда Вам необходимо применять различные пользовательские политики на разных компьютерах.

Существует два метода. Первый позволяет применение настроек данного пользователя, также как и применяет политики, в зависимости от того, на каком компьютере работает пользователь. Второй метод не применяет настройки пользователя, а только применяет политики, в зависимости от списка Объектов ГП для данного компьютера. Детально этот метод был рассмотрен в технической документации Групповой политики, упомянутой выше в этом документе.

Использование политики замыкания на себя

  • Откройте консоль GPWalkthrough, дважды щелкните Active Directory – пользователи и компьютеры, за тем дважды щелкните на домене reskit.com и потом дважды щелкните на подразделении Resources.
  • Щелкните правой кнопкой мыши на подразделении Desktop, выберите Свойства из контекстного меню и перейдите в закладку Групповая политика.
  • Нажмите Создать и создайте новый ОГП под названием Loopback Policies.
  • Выделите ОГП Loopback Policies и нажмите Редактировать.
  • В оснастке "Групповая политика", в узле Конфигурация Компьютера, щелкните Административные шаблоны, за тем Система и Групповая политика.
  • В окне сведений дважды щелкните на политике Режим обработки замыкания пользовательской групповой политики.
  • Нажмите Включена в диалоговом окне Режим обработки замыкания пользовательской групповой политики, выберите Заменить в раскрывающемся меню Режима и нажмите ОК для завершения.

Следующим шагом будет настройка несколько полити Конфигурации пользователя, используя кнопку Следующая политика в диалоговом окне политики.

  • В оснастке "Групповая политика", в узле Конфигурация Компьютера, щелкните Административные шаблоны, за тем Панель задач и меню "Пуск".
  • В окне сведений дважды щелкните на политике "Удалить папки пользователя из Главного меню" и выберите Включена в диалоговом окне.
  • Для применения политики нажмите Применить и кнопку Следующая политика, чтобы перейти к следующей политике – "Удалить ссылки и запретить использование Windows Update".
  • В диалоговом окне Удалить ссылки и запретить использование Windows Update нажмите Включить, затем Применить и нажмите кнопку Следующая политика.
  • В каждом из перечисленных ниже диалоговых окон политик установите состояние политики, как показано ниже:
Политика Параметры
Удалить стандартные программы из меню Пуск Включена
Удалить документы из меню Пуск Включена
Отключить программы в меню Установки Включена
Удалить Сетевые подключения из меню Пуск Включена
Удалить Избранные из меню Пуск Включена
Удалить Поиск из меню Пуск Включена
Удалить Справку из меню Пуск Включена
Удалить команду Выполнить из меню Пуск Включена
Добавить Выход в меню Пуск Включена
Отключить Выход в меню Пуск Не задана
Отключить и удалить команду Выключить Не задана
Отключить перетаскивание контекстного меню в меню Пуск Включена
Отключить изменения для Панели задач и настроек меню Пуск. Включена
Отключить контекстное меню панели задач Включена
Не сохранять историю недавно открываемых документов Включена
Очищать историю недавно открываемых документов на выходе Включена
  • Нажмите ОК по окончанию.
  • В дереве консоли Групповой политики перейдите в узел Рабочие столы в ветке Конфигурация Пользователя\Административные шаблоны и установите следующие политики включенными:
Политика Параметры
Спрятать Убрать Мои документы из меню Пуск Включена
Спрятать значок Мои сетевые ресурсы на рабочем столе Включена
Спрятать значок Internet Explorer на рабочем столе Включена
Запретить пользователю изменять путь к Моим документам Включена
Отключить добавление, перетаскивание и закрытие панели задач и его компонентов Включена
Отключить регулировку панелей инструментов рабочего стола Включена
Не сохранять настройки на выходе Включена
  • Нажмите ОК после того, как Вы задали установки.
  • В дереве консоли Групповой политики перейдите в узел Active Desktop в ветке Конфигурация пользователя\Административные шаблоны\Рабочие столы и установите "ОтключитьActive Desktop" включенным, затем нажмите ОК.
  • В дереве консоли Групповой политики перейдите в узел Панель управления в ветке Конфигурация пользователя\Административные шаблоны, раскройте узел Установка и удаление программ, дважды щелкните политику "Отключить установку и удаление программ", установите переключатель в положение Включена и нажмите ОК.
  • В дереве консоли Групповой политики перейдите в узел Панель управления в ветке Конфигурация пользователя\Административные шаблоны, перейдите в узел Экран, дважды щелкните на политике "Отключить Экран в контрольной панели", установите переключатель в положение Включена и нажмите ОК.
  • Закройте оснастку "Групповая политика".
  • В диалоговом окне Свойств Desktops нажмите Закрыть.

В данный момент для пользователей компьютеров в подразделении Desktops нет применяемых политик. Вместо этого для них настроены политики пользователя в Объекте ГП Loopback Policies. Вы можете использовать инструкцию в разделе Фильтрация по группам безопасности, чтобы ограничить политику Loopback Policies для определенных групп компьютеров. Альтернативно, Вы можете перенести некоторые компьютеры в другое подразделение.

Для следующего примера необходимо создать группу безопасности No Loopback. Для этого воспользуйтесь оснасткой Active Directory – пользователи и компьютеры, выберите контейнер по названием Groups, нажмите Создать и создайте глобальную группу безопасности.

В этом примере из политики замыкания на себя мы исключим компьютеры, принадлежащие к группе безопасности No Loopback.

Следуйте шагам, описанным ниже:

  • Откройте консоль GPWalkthrough, дважды щелкните Active Directory – пользователи и компьютеры, затем дважды щелкните на домене reskit.com и дважды щелкните на подразделении Resources, щелкните правой кнопкой мыши на Рабочий стол и выберите Свойства.
  • В диалоговом окне Свойства рабочего стола перейдите на вкладку Групповая политика, щелкните правой кнопкой мышки на ОГП Loopback Policies и выберите Свойства.
  • В диалоговом окне Свойства Loopback Policies перейдите на вкладку Безопасность и для пользователей группы Authenticated Users установите политику "Применить Групповую политику" разрешенной.
  • Добавьте группу No Loopback в список имен. Для этого нажмите Добавить, выберите группу No Loopback и нажмите ОК.
  • Для группы No Loopback выберите Запретить для элемента "Применить Групповую политику" и нажмите ОК.
  • Нажмите ОК в диалоговом окне СвойстваLoopback Policies.
  • Закройте диалоговое окно Свойства рабочего стола.
  • В меню консоли GPWalkthrough нажмите Сохранить.

Добавить комментарий

Закрыть меню