Улучшения и изменения в области управления групповой политикой Windows Server «8» Beta


Windows Server Beta «8» содержит ряд интересных изменений в управлении групповыми политиками . К ним относятся выявление общей согласованности репликации, удаленное обновление политики и более легкий результирующий набор политики для дальнейшего устранения неполадок. Мы ждем Windows 8 «Release Preview»  уже в первой неделе июня, так что давайте взглянем на все это поближе!

Текущий статус инфраструктуры  GPO

В Windows 2000 Resource Kit была маленькая утилита Gpotool.exe ( уже не поддерживается 🙂 ). Она сообщала,что части SYSVOL и AD групповой политики были согласованы на данном контроллере домена, а также между  другими контроллерами домена в домене. Если  возвращалось сообщение «Политика ОК», то проверка была пройдена.

К сожалению,  маленькая Gpotool была не очень честной — она проверяла только gpt.ini файлы в папке SYSVOL. Те администраторы,которые управляют групповой политикой на предприятии знают,что каждая GUID папка объекта GPO  в SYSVOL содержит большое количество файлов которые имеют решающее значение для применения групповой политики.Само существование Gpt.ini не имеет значения, если файл registry.pol не существует, или его версия устарела.

Если мы загрузим Windows Server Beta «8»и запустим редактор управления групповой политикой с локального сервера или RSAT, затем перейдем к узлу домены , мы заметим новую вкладку Status (Group Policy Infrastructure Status tool). Редактор управления групповой политиками установит соединение с доступным в сети контроллером домена  как источником исходных данных для сравнения. По умолчанию первым производится подключение к  PDC эмулятору контроллера домена.image

При нажатии кнопки Обнаружить GPMC непосредственно обратится ко всем контроллерам домена в этом домене, используя LDAP и SMB протоколы. Редактор сравнит все объекты групповой политики в папке SYSVOL: хэши файлов , их количество , ACL, и GPT версии относительно базового сервера. Консоль также проверяет каждый контроллер домена на соответствие  объектов групповой политики —  количество, версии и ACL от базового уровня. И все это мы получаем прямо в интерфейсе!image

Если же что-то не так, мы получим:

image

Обратите внимание, на отчет предоставленный выше. Если столбцы Active Directory и SYSVOL  пустые, версии контейнера GPT и AD совпали между собой, и это значит, что файлы хэша либо безопасности рассинхронизированы (по крайней мере это показатель задержки репликации), в противном случае вы увидите версию сообщения. Если служба FRS или DFSR не запущена на контроллере домена, или ресурс SYSVOL не является общим, оповещение об изменении SYSVOL  будет недоступным. При отключении контроллера домена или службы NTDS  в поле службы каталогов Active Directory  появится запись»изменения недоступны» (Inaccessible). Если вы просто удалите или добавите объект  групповой политики  поле Active Directory изменится на количество объектов групповой политики.

Конечно, этот новый инструмент не дает разрешение на  полное отключение мозга. Это совершенно нормально для AD и SYSVOL — быть  не синхронизированными между контроллерами домена в течение определенного времени. Не думайте, что если вы видите прогресс репликации сервера ,то это ошибка, — вот почему он специально не показывает «ошибка» в консоли редактора управления групповыми политиками. Наконец, имейте в виду, что это новая версия функции GPMC в публичной бета-версии, и,естественно,она может быть немного неустойчива, поэтому не стесняйтесь сообщать о проблемах сервера в раздел форумы Windows 8 Beta  вместе с подробными шагами воспроизведения текущей проблемы, и мы можем поговорить о вашей проблеме и вместе решить ее. Например, остановите службу DFSR эмулятора PDC, а затем выберите пункт Обнаружить (Detect Now).

Двигаемся дальше…

Удаленное обновление групповой политики

Теперь вы можете использовать оснастку GPMC выбрав OU и принудительно обновить групповую политику для всех своих компьютеров и зарегистрированных в настоящее время пользователей. Просто щелкните правой кнопкой мыши любое подразделение и нажмите обновление групповой политики.Обновление  политики будет произведено в течение 10 минут (случайным образом на каждом компьютере), чтобы предотвратить расходование ресурсов некоторых возможно не самых производительных контроллеров домена в филиалах.

image

image

image

В групповой политике Windows Server «8» Beta  также обновлен модуль GroupPolicy PowerShell,  в него теперь включен новый командлет Invoke-GpUpdate. Если вы посмотрите на его файл справки, вы увидите, что он очень напоминает классический gpupdate.exe.Принцип -force usinginvoke-gpupdate точно такой же, как и у старой доброй gpupdate.exe/force.

NAME

Invoke-GPUpdate

SYNTAX

Invoke-GPUpdate [[-Computer] <string>] [[-RandomDelayInMinutes] <int>] [-AsJob] [-Boot] [-Force] [-LogOff] [-Target <string>] [<CommonParameters>]

Очевидно, что эта команда дает гораздо больше контроля над удаленным процессом обновления политики, чем консоль управления групповыми политиками. 😉 Например, можно указать конкретный компьютер:

Invoke-gpupdate -computer <имя компьютера>

Кроме того, в отличие от «10 минут» псевдослучайного поведения редактора управления групповой политикой, вы можете немедленно выполнить принудительное обновление групповой политики независимо от версии изменения. Я не знаю как вы, но если я работаю в интерактивном режиме  и политика обновлений применяется для данного компьютера, я не заинтересован в ожидании!image

Так как это PowerShell, у вас есть намного большая гибкость по сравнению с графическим интерфейсом  или интерфейсом командной строки. Например, вы можете получить список компьютеров с произвольным значением, а затем вызвать конвейер  для каждого объекта независимо от подразделения:

image

Лучше всего это работает  путем создания удаленных запланированных задач для зарегистрированных пользователей и случайного интервала времени обновления.Это еще одна хорошая причина для запуска службы Task Scheduler.image

Новое журналирование данных RSOP

Журналы  полученного набора  результирующих групповых политик  включают в себя ряд изменений, призванных сделать поиск неисправностей и анализа политики  еще проще. Так же, как и в последних нескольких версиях Windows, вы можете использовать редактор управления групповыми политиками Group Policy Results или ключ  GPResult / H чтобы собрать HTML файл журнала, показывающий, как и какие политики применяются к пользователям и компьютерам.

Если вы откроете полученный HTML-файл отчета , вы заметите обновленный раздел Сводка (Summary) , который обеспечивает лучшее понимание — работает политика или нет,  тип сети,  и скорость обнаружения. Эта новая область даже нагляднее,чем область Статус Компонентов. Она также показывает время, необходимое для  завершения обработки каждого элемента  групповой политики.image

Еще здесь можно заметить  новый журнал событий, связанный с операционной деятельностью- под вкладкой View Log, для работы которого требовалось запустить gplogview.exe. Вместо того,чтобы пропесочить журнал событий, выискивая  событие с  нужным ID политики обработки для компьютера и пользователя, просто нажмите на ссылку, чтобы увидеть все, что вам необходимо…image

Наконец, есть большие изменения самом в HTML файле результата применения политики. После 12 лет, мы уже достигли той точки, где есть тысячи записей индивидуальных административных шаблонов , гораздо больше, чем кто-либо мог запомнить или  различить  их названия.(А вы помните их все наизусть? 🙂 ) Для облегчения этой задачи Windows 8  в настоящее время включает в себя пояснительные ссылки (hotlinks) для каждого из примененных элементов политики.image

При нажатии  такой ссылки в отчете, вы получаете полный текст пояснения, что представляет из себя этот объект групповой политики.image

Ключевой момент

Для удаленного журналирования данных RSOP и  удаленного обновления групповой политики потребуются открыть порты брандмауэра на целевых компьютерах. Это означает, что необходимо будет разрешить входящий трафик для RPC, WMI / DCOM, а также для журналов событий и запланированных задач.Лучше всего для решения этой задачи воспользоваться  встроенным Windows Advanced Firewall и включить входящие правила:

  • Remote Policy Update
    • Remote Scheduled Tasks Management (RPC)
    • Remote Scheduled Tasks Management (RPC-EPMAP)
    • Windows Management Instrumentation (WMI-in)
  • Remote Policy Logging
    • Remote Event Log Management (NP-in)
    • Remote Event Log Management (RPC)
    • Remote Event Log Management (RPC-EPMAP)
    • Windows Management Instrumentation (WMI-in)

Эти правила относятся к разделам «Удаленное управление назначенными задачами», «Удаленное управление журналом событий», и «Инструментарий управления Windows» .Более конкретно это TCP RPC-порт 135, именованные каналы (порт 445), а также динамические порты, 😉 связанные с  сопоставлением конечных точек, как  и всегда.

Вопросы? Предложения? Пожелания?

Задать вопросы можно на ИТ-форумах TechNet.

Кроме того помните, что эта статья ссылается на предварительную версию продукта. Microsoft не поддерживает Windows 8 Consumer Preview или Windows Server «8» Beta в производственной среде, если только у вас нет специального соглашение с Microsoft — внимательно прочитайте лицензионное соглашение при установке
Windows Server.


Реклама

Улучшения и изменения в области управления групповой политикой Windows Server «8» Beta: Один комментарий

  1. […] • Мониторинг  состояния здоровья Group Policy и удаленное обновление групповой политики через Windows PowerShell, о чем уже упоминалось подробно в недавних статьях, посвященных этой теме. […]

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s