Почему я задался целью обойти время применения политик к локальным компьютерам?
Обычный интерес — как это сделать. Как сказал один комментатор — работа ради работы.
Для чего мне все это надо — на это вопрос я не смог ответить. На 99% уверен, что никто этот метод применять не будет. Но охота пуще неволи. Очень хотел найти решение.
Методом серфинга в Инете начал собирать разную информацию по политикам, времени их применения. Нашел все необходимое. Нужное оставил, ненужное отсеял.
Начал эксперименты с Windows 7.
За основу взял оригинальный образ (не сборку). После установки чистой винды на чистый диск, накатил необходимый софт для работы, активировал и винду и офис. Прописал адрес, DNS сервера, ввел машинку в домен. Создал на сервере пробного пользователя и под этой учеткой вошел в компьютер.
Все делал на своем рабочем месте. А так, как у меня кроме моего рабочего РС, трех серверов, есть еще 4 подменных компа для юзеров на разном железе (два РС на 775 сокете, один на сокете 1155 и один на сокете 1151), то я мог экспериментировать с разными ОСями.
Далее начал делать настройку локальной машины. После настройки перезагрузил компьютер, опять вошел под пробным юзером и с сервера послал команду на применение политики на локальный комп. И как результат — политика с задержкой 15 сек. применилась.
Почему не сразу, а только через 15 сек после связи GPO с компьютером мне до сих пор непонятно.
Применял политику блокировки флешек, так как видно было, что при применении этой политики на рабочем столе эта флешка сразу получала закрытый доступ,
т.е. содержимое флешки перестало отображаться, а при попытке открыть флешку выскакивает окно, что доступа нет.
Потом отключаю связь этой политики с OU юзера, еще раз даю команду на выполнение политики и опять через 15 сек. политика применилась. Флешка снова стала читаемой и доступной.
Раз применилась эта GPO, значит, остальные так же будут применяться.
Пошел немного дальше. Снова блокировал USB‑порты, создал еще одну GPO — применить спящий режим через 10 минут простоя машинки, связал GPO с этим компом и опять даем команду на выполнение политики. Жду 10 минут (ну может 11) и все, экран погас, машинка ушла в сон. Проверяю комп, а опции сна уже серенькие, т. е. юзер теперь никак не может изменить спящий режим.
Отличный результат. Почти то, что хотелось, нашел.
Удаляю в групповых политиках эти GPO (не отключая их), еще раз перезагружаю комп и как результат, флешка видна и спящий режим не применяется. На данном этапе можно было бы и успокоиться, но мне этого показалось мало.
Вывожу машинку из домена, подчищаю комп и готовлю винду к записи в iso. Готовый iso‑шник записываю на флешку и приступаю к установке собранного образа.
Винда установилась вместе с софтом, который был мной накатан, снова активирую винду и офис, снова ввожу в домен компьютер и проверяю по новой применение политик, то, что было сказано выше.
Результат прежний — политики применяются через 15 секунд. Бесит только одно — почему не сразу, а через 15 сек. Ладно, думаю, что потом разберусь.
Сохраняю записанный isо в облако и иду пить херши. На работе пиво нельзя.
Дальше решил то же самое проделать с Windows 10. На железе 1155. Накатил винду версии 1809, т.к. она считается наиболее шустрой и стабильной. Обновления пока не ставил. Опять установил софт, опять ввел в домен, применяю политики и тут меня ждет разочарование. GPO и не собирались применяться.
Установил последние обновления, дополнения и т. д. Опять полный ноль. После перезагрузки все прекрасно. Политики применяются. Но это не мой вариант. Оказалось, что с десяткой все не так просто.
Уже начинаю нервничать. Беру еще один комп уже на железе 1151, накатил десятую винду версии 22h2, не стал пока софт устанавливать, ввел машинку в домен. Результат нулевой. Тоже установил последние обновления, дополнения и т. д. Опять облом. Да мало того, но обе десятки странным образом не хотят видеть папки SYSVOL и NETLOGON сервера.
Хотел уже забросить эту идею, но внутреннее я заверещало, что если все бросишь, то ты не мужик. Снова серфинг в Инете.
Ладно, если коротко — разобрался во всем, нашел проблемы. Настроил обе десятки, все прописал, снова ввел обе машины в домен.
Даю команду на выполнение GPO. И счастью нет предела! Политики отлично отработали. Перезагружаю обе машины. Снова применяю политики. Снова все работает. А вот на десятках задержка применения политик составляет уже 1–2 секунды.
Тогда опять полный софт, вывод из домена, запись iso, установка новых образов, ввод в домен и проверка. Все работает. Как в американских фильмах — мы сделали это!
Изошники записал в облако. Теперь у меня 3 готовые винды. Семерка и две десятки, разных версий.
В предыдущей статье я сказал, что только на 3-х машинах применяю политики? Это потому, что на эти компьютеры я установил готовые версии винды. Две десятки и одна семерка. Проверил на юзерах безобидную политику. Все отработало на ура. На этом пока тормознулся.
Ну а как подготовить операционные системы и сервер к отработке таких политик — в следующей части. Еще раз опробую все на своих запасных компьютерах и окончательно выложу оставшуюся часть.
Всем спасибо и удачи!
Комментарии (34)
gotch
05.11.2024 21:47Почему я задался целью обойти время применения политик к локальным компьютерам?
Ну вы же знаете что я сейчас напишу? )
и с сервера послал команду
Invoke-GPUpdate -RandomDelayInMinutes 0Такую?
modsamara
05.11.2024 21:47Резюмирую. Я все настроил, встретились кое-какие проблемы, но я их решил - как, я вам конечно же не скажу. Спасибо за статью.
nnstepan
05.11.2024 21:47Какую команду посылаете с сервера для применения политик?
special066 Автор
05.11.2024 21:47Немного терпения. Сегодня, крайний срок завтра выкладываю финальную часть.
gotch
05.11.2024 21:47Ну вы опять написали каких-то криповых вещей.
Групповая политика не должна применяться мгновенно. Время ее применения зависит от refresh interval, задействованных extensions и числа и характера обрабатываемых настроек.
special066 Автор
05.11.2024 21:47Групповая политика не должна применяться мгновенно
Вы уверены в этом?
gotch
05.11.2024 21:47На 146%. Ничего мгновенного не бывает, и ещё раз, это зависит от конкретного extension и что ему отдали на обработку. Если это монтирование дисков или ваш любимый folder redirection, можно долго ждать результат.
Плюс не забывайте про синхронный и асинхронный режим применения.
special066 Автор
05.11.2024 21:47Плюс не забывайте про синхронный и асинхронный режим применения.
Я об этом знаю. Но, чтобы не плодить, а если, попробуйте выполнить все на практике. Это долгий, но самый действенный вариант. Вот когда у вас не заработает, тогда и будет о чем поговорить.
321785
05.11.2024 21:47А ничего что пользователю/компьютеру необходим новый вход (logout/login) для примения участия в группах?
gotch
05.11.2024 21:47В некоторых ситуациях изменение членства в domain local группах не требует повторный вход, если на целевой сервис ещё не выдавался билет Kerberos. Но это не точно)
321785
05.11.2024 21:47А это как то можно отследить?
special066 Автор
05.11.2024 21:47К сожалению, я не смог решить проблему отслеживания. Только в PowerShell можно увидеть, что политика прошла.
gotch
05.11.2024 21:47В том и проблема что не знаю как. Смотрите, сейчас могу приврать. Список универсальных и глобальных групп при входе добавляются и хранятся в tgt, у Microsoft для этого есть вендорское расширение. Причем после purge, не заметил, чтобы добавлялись новые (почему?) А локальные группы добавляются контроллером только в service ticket, плюс в него добавляется список групп из tgt.
Ситуация усложняется, если сервис находится ещё и в другом домене (или лесу).
Тема мутная, потому повторный вход всегда надёжнее.
special066 Автор
05.11.2024 21:47Пока не берем ни другой домен ни сервис в другом лесу. Повторяю - меня интересует только на данном этапе возможность применения GPO без выхода из системы, без ребута компа.
gotch
05.11.2024 21:47Вот здесь описан механизм, который я до конца не понимаю
[MS-PAC]: Rules for SID Inclusion in the PAC | Microsoft Learn
special066 Автор
05.11.2024 21:47Я по английиски знаю тольк рашен водка. А в машинном переводе могут быть такие неточности и ошибки, что сам черт не разберет. Извините, здесь я вам не помощник.
special066 Автор
05.11.2024 21:47Применение GPO почти всегда требует повторного входа. Ну или ждать, когда сервер в течение времени до 90 мин обработает политику. Повторный вход помогает, когда политика принята компьютером, но ждет выхода\входа в систему для применения.
gotch
05.11.2024 21:47Применение GPO почти никогда не требует повторного входа. Из тех, что в памяти:
для пользователя - выполнение logon script
для компьютера - установка назначенных программ.
ildarz
05.11.2024 21:47Нужен не вход, а обновление выданных билетов Kerberos. Новый вход это просто форсирует, а так обычно можно с помощью klist purge для нужной учетки справиться.
falcon4fun
05.11.2024 21:47А что мешает сбросить керберос тикет и послать gpupdate через тот же invoke-command и не ждать стандартные 8 часов жизни тикета? Кроме религии?
klist -lh 0 -li 0x3e7 purge
Или (с 2016)
klist –li 0x3e7 purge
И потом gpupdate любым из 3х вариантов доступных
special066 Автор
05.11.2024 21:47/var/kerberos/krb5kdc/kdc.conf, установитьmax_life = 0h 0m 0sВы это имели ввиду?
gotch
05.11.2024 21:47Да мало того, но обе десятки странным образом не хотят видеть папки SYSVOL и NETLOGON сервера
Вот это ещё забавное.
Thomas_Hanniball
Статья опоздала лет на 10 или даже 15.
Вам такое надо публиковать на https://overclockers.ru/. Там любят подобную некрофилию.
Куча свободного времени, которое просто некуда потратить. Вот и ответ на ваш вопрос.
Раньше говорили RTFM и отправляли читать документацию. В вашем случае нужна книга "Настройка Active Directory. Windows Server 2008 (70-640)". Она как раз из тех древних времён, которым посвящена ваша статья. Там есть несколько глав, посвящённых групповым политикам. Там есть всё, что вам нужно и даже больше.
falcon4fun
Я и другие комментаторы к прошлой статье подобные развернутые комменты написали, но автор кинул обидку :D