Как обойти ребут РС при применении групповых политик. Часть 2. Последняя
Теперь о самом интересном.
Создаем GPO-шку. Неважно какую. Я делал для блокировки флешек, чтобы видно было ее применение. Это описано в части 1.
Групповую политику готовим для компьютера.
Не для пользователя. Для пользователя она отработает только после перезагрузки машины.
Все. GPO создали. Пока ее не трогаем и не связываем ни с какой OU пользователя.
Теперь делаем настройку операционных систем.
Начнем с Windows 7 (Максимальная).
Порядок действий может быть разный.
1. Правой клавишей мыши на «Компьютер» — Управление:
Компьютер\управление\службы и приложения\службы:
Обнаружение SSDP — включает поддержку протокола SSDP (протокол простого обнаружения служб) — включить\автоматически (если не включено или выставлено «вручную»).
Узел универсальных PNP-устройств -– служба, которая обеспечивает поддержку и управление UPnP-устройствами — включить\автоматически (если не включено или выставлено «вручную»).
Эти службы отвечают за параметры общего доступа компьютера.
2. Открываем брандмауэр в режиме повышенной безопасности\Правила для входящих подключений.
Ищем удаленное управление назначенными задачами (RPC) — включаем все.
1. Отключаем в реестре функции автоматической настройки трафика WinHTTP.
1. Открываем редактор реестра (regedit) с правами администратора.
2. Нужный параметр реестра находится в разделе: «Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc». Это значение DWORD под названием Start. По-умолчанию установлено значение Value = 3 (Enabled)
3. Дважды щёлкните, чтобы отредактировать этот ключ, и установите его значение равным 4 (Disabled)
4. Нажимаем OK, чтобы сохранить изменения.
5. Перезапускаем Windows.
2. Включаем функцию автоматической настройки окна в Windows
1. Открываем редактор реестра (regedit) с правами администратора.
2. Нужный параметр реестра находится в разделе:
«Компьютер\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp».
3. Раскрываем WinHttp и создаем значение DWORD. Называем его TcpAutotuning и присваиваем значение, равное 1.
4. Нажимаем OK, чтобы сохранить изменения.
5. Перезапускаем Windows.
На этом настройка Windows 7 завершена.
Настраиваем Windows 10.
1. Повторяем первый пункт как для Win 7.
2. Открываем брандмауэр в режиме повышенной безопасности\Правила для входящих подключений.
Ищем удаленное управление назначенными задачами (RPC) — включаем все.
Ищем инструментарий управления Windows — включаем все.
1. Отключаем усиленную защиту при доступе к sysvol и netlogon.
В командной строке ввести — cmd. Выполнить следующие команды:
Команда № 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v »\\*\SYSVOL» /d «RequireMutualAuthentication=0» /t REG_SZ /f
Команда № 2
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v »\\*\NETLOGON» /d «RequireMutualAuthentication=0» /t REG_SZ /f
2. Необходимо установить из Интернета пакеты RSAT.
RSAT — Remote Server Administration Tools — средства удаленного администрирования сервера.
Устанавливаем все пакеты, если они не установлены.
1. Выполняем пп. 3 и 4 как и для Win 7.
На этом настройка Windows 10 завершена.
Ну и последний этап. Настройка сервера.
1. Открываем «Пользователи и компьютеры AD».
2. Открываем общую папку под названием «Computers».
1. Компьютер Ивановой, на который нужно применить GPO, перетаскиваем в OU нужного нам юзера — в данном случае в OU-шку Иванова.
1. Связываем OU Иванова с необходимыми политиками
Все. Больше делать ничего не надо.
Компьютер Ивановой мы связали с политиками. Если сделать ребут компа Ивановой, политики и так применятся. Но мне надо, чтобы политики применились без перезагрузки.
Открываем Powershell. И вставляем вот эту команду:
Invoke-GpUpdate -Computer «ХХХХХХХХ» -RandomDelayInMinutes 0 -Target Computer
Вместо крестиков вписываем имя компьютера.
Имя компа Ивановой WIN-10–1809. Вот это имя и вписываем.
Invoke-GpUpdate -Computer » WIN-10–1809» -RandomDelayInMinutes 0 -Target Computer
Нажимаем Enter.
(У меня другие имена компов, т.к. работаю сразу на разных машинах и скрин делаю с них).
Если после ввода команды видите последнюю строчку ожидания команды, а не ошибку, значит команда выполнена правильно и политика должна примениться.
Если компьютер юзера выключен или в спящем режиме или что-то не так, появится такое окно
nvoke-GpUpdate -Computer » WIN-10–1809» -RandomDelayInMinutes 0
Эта команда разрешает быстрое применение политик. Нолик на конце означает, что время на выполнение политики составляет 0 минут. Именно эта команда применяет политику к компьютеру и пользователю. Нам это не надо.
-Target Computer — вот эта добавочка означает, что применяется политика только к компьютеру.
-Target User– вот эта добавка означает, что применяется политика только к пользователю.
А раз нам нужны политики применить к машинке, тогда и даем команду эту:
Invoke-GpUpdate -Computer » WIN-10–1809» -RandomDelayInMinutes 0 -Target Computer
После выполнения этой команды политики должны примениться через 1–2 сек. У меня так и применяются.
P.S.
На Windows 7 политики стали применяться тоже через 2 секунды. Я не включил функцию автоматической настройки окна в Windows.
И снова почти вижу комментарии — зачем такой гемор выдумывать?
Сразу отвечаю всем тем, кто хочет так сказать — я хотел добиться мгновенной отработки групповой политики без перезагрузки компьютера клиента. Я этот вопрос решил. Чисто технический интерес.
И последнее. Если кто-нибудь нашел более удобный вариант, поделитесь, не жадничайте.
Вот на этом все. Теперь уже точно все.
Всем спасибо. И удачи.
.
