iT邦幫忙

1

ad上gpupdate /force

  • 分享至 

  • xImage

請問,若我在gpo上面設定鎖usb後,

要怎麼樣讓client端的電腦,

重新開機要立即執行gpupdate /force這個指令

因為我發覺到,使用者那邊開機後不一定會去執行我在gpo上所下的設定~

變成我要一台一台的去下gpupdate /force這個指令,usb的設定才會生效!!

另外一點就是,聽說鎖usb後會連usb的滑鼠也一起鎖掉

有人有被鎖掉過嗎?

我在測試的時候,是沒有這樣啦~~

不過,還是問一下會比較保險....

http://blog.pixnet.net/landykin

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
30
jeffweng
iT邦新手 4 級 ‧ 2008-12-12 08:01:16
最佳解答

1.同意上一家大大的說法,那才是解決的根本之道
但如果你執意要開機就做這件事,可以在開機的時候讀取批次檔
批次檔內容直接打gpupdate /force再另存新檔為.bat的檔案,將此檔案放在netlogon的資料夾,並於AD上使用者的profile設定讀取這個檔案即可
至於usb的問題,那得要看你是怎麼封所,從bios?還是使用registry去封鎖?還是gpo?
另外封鎖usb有分幾種類型,下列這網址有一些討論的文章供您參考!
http://72.14.235.132/search?q=cache:ENNQj1ZRZwIJ:www.blueshop.com.tw/board/show.asp%3Fsubcde%3DBRD20051218073109ZXI%26fumcde%3DFUM200410061529473A1%26rplcnt%3D37+usb+%E5%B0%81%E9%8E%96+%E9%A1%9E%E5%9E%8B&hl=zh-TW&ct=clnk&cd=7&gl=tw

26
jerry710822
iT邦高手 1 級 ‧ 2008-12-12 00:43:11

這個指令是在AD上面下的
如果不會執行你的GPO你要查一下用戶端跟AD間的是否正常

tom6507 iT邦大師 1 級 ‧ 2008-12-16 07:22:57 檢舉

用戶端也可以下這個指令

24
glennlin
iT邦研究生 4 級 ‧ 2008-12-12 09:23:20

1.gpupdate這個指令是強迫重新更新套用群組原則的指令
一般gpo的套用時間都有固定的循環,甚至應該在使用者重新啟動電腦後會被重新套用原則
如果有發現gpo套用不正常時,應該要執行rsop.msc來查看是否真的有原則未被套用

2.封鎖usb是一般大家偷懶的說法
正確說講都是指封鎖住usb儲存裝置才對
對於usb類型的io裝置就不會去封鎖

22
old7ada
iT邦研究生 2 級 ‧ 2008-12-12 09:46:51

1.gpupdate這個指令是在AD server上面執行,會立即套用GPO的設定。
2.封鎖usb要清楚你是封鎖usb裝置還是usb儲存!
用MS提供的GPO搭配修給註冊機碼(不用Third party軟體的情況)可控制到個別的usb儲存裝置,且USB滑鼠、鍵盤仍可用。若用Third party軟體甚至可控制可讀不可寫,要寫需要上級電子簽章,且帶出去的資料只可讀取不可複製。而且是針對user登入帳號控管,不是對機器,這樣彈性更高!

misadm iT邦高手 10 級 ‧ 2008-12-12 12:33:16 檢舉

更正一下,gpupdate 這個指令,並不是只有 AD 才可以執行!只要有套用 GPO 的 Computer 或 User 都可使用此指令與 AD 做同步!

不是在 AD 上執行此指令就會迫使所有 Client 端都回來同步喔!

18
dj584
iT邦新手 5 級 ‧ 2008-12-13 21:29:48

盡量以OU去做

不要以整個網域去做

這樣流量太大會無法使用無群派送成功

對AD的負擔也很重

參考:分享的經驗 http://www.wretch.cc/blog/chekinkimo/17344093

18
小成
iT邦高手 10 級 ‧ 2008-12-15 10:55:39

有人說錯了。
gpupdate這個指令是client端所使用的,目的是使client端去讀取、設定或重新套用本機或ad上的群組原則,而gpupdate /force是要求目前執行這個指令的這台CLIENT立刻重新套用群組原則。
因此這個指令是屬於CLIENT端單一機器上所使用的,並不是AD上執行了就可以讓所有CLIENT端都套用。
但如果CLIENT端如果都沒有執行這個指令也沒關係,他會在一段時間後就回來重新套用GPO。

單就你的問題,如果你要讓CLIENT重新開機時就立刻執行GPUPDATE /FORCE,可以使用AD上的登入指令檔或是GPO上的指令碼來做。
如果要立刻讓所有電腦執行指令的話,也可以參考sysinternal的psexec,這隻程式可以讓遠端的CLIENT端立刻執行你下的指令。

而至於USB滑鼠的部分,不知道你所使用的是哪個群組原則範本,如果是 http://support.microsoft.com/kb/555324/zh-tw 這個的話,他針對的是機碼中的USBSTOR來做停用的動作,而這個影響的只有USB的大量存取裝置,所以鍵盤並不會有所影響。

在裝置管理的部分,目前賽門鐵克的企業版防毒軟體SEP 11也可以做到,而且可以做得更詳細,目前公司剛好防毒軟體是使用SEP,所以也嘗試使用他這個附加功能,效果還蠻不錯的,還可以限制USB只能唯讀,或是禁止USB中的執行檔直接被執行等等,提供給你參考一下。

小成 iT邦高手 10 級 ‧ 2008-12-15 11:02:10 檢舉

另外你可以參考一下這篇
http://forums.microsoft.com/Technet-CHT/ShowPost.aspx?PostID=3399818&SiteID=23
根據討論區內的討論所言,第一次插入的USB儲存裝置,他依然是可以使用的,而在下次套用GPO的時候才會被禁止掉。
而我的經驗是我會順便把USBSTOR.SYS跟機碼裡的USBSTOR的權限都拿掉,讓CLIENT也無法安裝。
如果可以的話,或許可以使用多種方式來合併使用,可以確保USB確實的被禁止掉。

18
小湯
iT邦好手 1 級 ‧ 2008-12-15 16:53:51

一般來說改完GPO後應該沒多久就會生效,你可以自行先測試重登網域,再用群組原則結果去確認一下!(安裝一下gpmc.msc可以測試),並不需要每一台client去下指令,因為還沒幫全部client下完GPUPDATE /FORCE,就已經生效了!
若你的GPO一直未生效,可能是設定有問題,或者一種情況是你的網域內不只一台AD,ad之間尚未複寫,所以Client有可能是找未複寫的AD認證,所以自然就不會去套用GPO,此時就要先手動將AD之間啟動複寫,再確認一下gpo是否套用!

我要發表回答

立即登入回答