special066 5 ноя 2024 в 22:31

Как обойти ребут РС при применении групповых политик. Часть 1

Простой

4 мин

3.5K

Учебный процесс в ITСистемное администрирование*

Комментарии 37

Thomas_Hanniball 6 ноя 2024 в 00:47

Статья опоздала лет на 10 или даже 15.

Windows 7, 775 сокет, сокет 1155. Накатил винду версии 1809, обновления пока не ставил.

Вам такое надо публиковать на https://overclockers.ru/. Там любят подобную некрофилию.

Для чего мне все это надо — на это вопрос я не смог ответить.

Куча свободного времени, которое просто некуда потратить. Вот и ответ на ваш вопрос.

Результат прежний — политики применяются через 15 секунд. Бесит только одно — почему не сразу, а через 15 сек. Ладно, думаю, что потом разберусь.

Раньше говорили RTFM и отправляли читать документацию. В вашем случае нужна книга "Настройка Active Directory. Windows Server 2008 (70-640)". Она как раз из тех древних времён, которым посвящена ваша статья. Там есть несколько глав, посвящённых групповым политикам. Там есть всё, что вам нужно и даже больше.

falcon4fun 6 ноя 2024 в 11:18

Я и другие комментаторы к прошлой статье подобные развернутые комменты написали, но автор кинул обидку :D

Thomas_Hanniball 6 ноя 2024 в 21:04

Не все люди готовы принять окружающую действительность. Это нормально. Иногда для этого требуются годы.

Изучение старых технологий для некоторых людей становится чем-то вроде хобби, которое позволяет убежать от проблем в реальности. Старые технологии застыли в развитии, а значит, там есть стабильность, которой так не хватает человеку в постоянно меняющейся реальности.

ajijiadduh 6 ноя 2024 в 01:10

В предыдущей статье я сказал

в какой? написано что 1 часть

special066 6 ноя 2024 в 08:24

Найду и покажу. Крышняк едет немного. Извините.

gotch 6 ноя 2024 в 08:03

Почему я задался целью обойти время применения политик к локальным компьютерам?

Ну вы же знаете что я сейчас напишу? )

и с сервера послал команду

Invoke-GPUpdate -RandomDelayInMinutes 0

Такую?

special066 6 ноя 2024 в 08:20

Не совсем такую. У вас кое-чего не хватает.

modsamara 6 ноя 2024 в 08:04

Резюмирую. Я все настроил, встретились кое-какие проблемы, но я их решил - как, я вам конечно же не скажу. Спасибо за статью.

special066 6 ноя 2024 в 08:20

Молодец. Я тоже проблемы решил. Но я все расскажу.

nnstepan 6 ноя 2024 в 08:06

Какую команду посылаете с сервера для применения политик?

special066 6 ноя 2024 в 08:21

Немного терпения. Сегодня, крайний срок завтра выкладываю финальную часть.

gotch 6 ноя 2024 в 08:36

Ну вы опять написали каких-то криповых вещей.

Групповая политика не должна применяться мгновенно. Время ее применения зависит от refresh interval, задействованных extensions и числа и характера обрабатываемых настроек.

special066 6 ноя 2024 в 08:47

Групповая политика не должна применяться мгновенно

Вы уверены в этом?

gotch 6 ноя 2024 в 09:14

На 146%. Ничего мгновенного не бывает, и ещё раз, это зависит от конкретного extension и что ему отдали на обработку. Если это монтирование дисков или ваш любимый folder redirection, можно долго ждать результат.

Плюс не забывайте про синхронный и асинхронный режим применения.

special066 6 ноя 2024 в 09:52

Плюс не забывайте про синхронный и асинхронный режим применения.

Я об этом знаю. Но, чтобы не плодить, а если, попробуйте выполнить все на практике. Это долгий, но самый действенный вариант. Вот когда у вас не заработает, тогда и будет о чем поговорить.

gotch 6 ноя 2024 в 10:34

Что именно сделать на практике? Набрал gpupdate /force, всё применилось, ура?

special066 6 ноя 2024 в 11:09

Нет. Это не сработает. Ответ во второй части.

321785 6 ноя 2024 в 08:17

А ничего что пользователю/компьютеру необходим новый вход (logout/login) для примения участия в группах?

special066 6 ноя 2024 в 08:21

В том то и дело, что не обязателен.

gotch 6 ноя 2024 в 08:32

В некоторых ситуациях изменение членства в domain local группах не требует повторный вход, если на целевой сервис ещё не выдавался билет Kerberos. Но это не точно)

321785 6 ноя 2024 в 08:33

А это как то можно отследить?

special066 6 ноя 2024 в 08:50

К сожалению, я не смог решить проблему отслеживания. Только в PowerShell можно увидеть, что политика прошла.

gotch 6 ноя 2024 в 08:50

В том и проблема что не знаю как. Смотрите, сейчас могу приврать. Список универсальных и глобальных групп при входе добавляются и хранятся в tgt, у Microsoft для этого есть вендорское расширение. Причем после purge, не заметил, чтобы добавлялись новые (почему?) А локальные группы добавляются контроллером только в service ticket, плюс в него добавляется список групп из tgt.

Ситуация усложняется, если сервис находится ещё и в другом домене (или лесу).

Тема мутная, потому повторный вход всегда надёжнее.

special066 6 ноя 2024 в 09:56

Пока не берем ни другой домен ни сервис в другом лесу. Повторяю - меня интересует только на данном этапе возможность применения GPO без выхода из системы, без ребута компа.

gotch 6 ноя 2024 в 10:58

Вот здесь описан механизм, который я до конца не понимаю

[MS-PAC]: Rules for SID Inclusion in the PAC | Microsoft Learn

special066 6 ноя 2024 в 11:03

Я по английиски знаю тольк рашен водка. А в машинном переводе могут быть такие неточности и ошибки, что сам черт не разберет. Извините, здесь я вам не помощник.

abakhterev 8 ноя 2024 в 07:53

Добрый день!

Подскажите, что это за документ? Просто из этой статьи можно провалиться только напрямую в \learn.

gotch 8 ноя 2024 в 08:24

4.1.2.1 Rules for SID Inclusion in the PAC

Это к обсуждению, можно ли включить в группу без перелогина.

special066 6 ноя 2024 в 08:48

Не могу ответить. Сам сомневаюсь.

special066 6 ноя 2024 в 11:08

Применение GPO почти всегда требует повторного входа. Ну или ждать, когда сервер в течение времени до 90 мин обработает политику. Повторный вход помогает, когда политика принята компьютером, но ждет выхода\входа в систему для применения.

gotch 6 ноя 2024 в 11:38

Применение GPO почти никогда не требует повторного входа. Из тех, что в памяти:

для пользователя - выполнение logon script
для компьютера - установка назначенных программ.

ildarz 6 ноя 2024 в 11:09

Нужен не вход, а обновление выданных билетов Kerberos. Новый вход это просто форсирует, а так обычно можно с помощью klist purge для нужной учетки справиться.