Чтобы применить новые параметры локальной или доменной групповой политики (GPO) к компьютеру Windows, клиент групповой политики (gpsvc) служба должна прочитать файлы политики и применить настройки к среде. Параметры групповой политики обновляются при загрузке Windows, при входе пользователя в систему и автоматически в фоновом режиме (в течение 90-120 минут). Иногда администратор может захотеть заставить новые параметры GPO применяться немедленно, не дожидаясь наступления вышеуказанных событий.
Обновление параметров групповой политики в Windows
Групповая политика автоматически обновляется на клиенте в следующих случаях:
- Параметры групповой политики, указанные в Конфигурация компьютера Раздел применяется при запуске Windows.
- Параметры GPO из раздела Конфигурация пользователя раздел применяются при входе пользователя в систему.
- Автоматическая групповая политика обновление происходит в фон все 90 минут + случайное смещение времени от 0 до 30 минут (случайная задержка используется для снижения нагрузки на DC со стороны клиентов). Это означает, что новые параметры политики будут применены к клиентам в течение 90-120 минут после изменения файлов GPO на DC.
Контроллеры домена обновляют параметры GPO каждые 5 минут.
Параметры обновления фоновой политики можно изменить с помощью параметров GPO в разделе Конфигурация компьютера -> Административные шаблоны -> Система -> Групповая политика:
- Установка интервала обновления групповой политики для компьютеров — этот параметр позволяет изменить частоту обновления параметров GPO с 90 минут по умолчанию, а также отредактировать значение смещения.
- Отключить фоновое обновление групповой политики — полностью отключить фоновое обновление GPO
Однако в большинстве случаев не рекомендуется изменять стандартные настройки фонового обновления GPO.
Принуждение Windows к обновлению параметров GPO с помощью GPUpdate.exe
The gpupdate Инструмент командной строки используется для принудительного обновления (применения) параметров групповой политики на компьютере под управлением Windows.
Чтобы обновить конфигурацию групповой политики на клиентской машине, большинство администраторов используют следующую команду:
gpupdate /force
Эта команда заставляет компьютер перечитать все политики с контроллера домена и заново применить их все настройки. Сайт сила Ключ указывает клиенту на необходимость повторной загрузки файлов ВСЕ GPO, предназначенные для него, с контроллера домена. Это может увеличить нагрузку на сеть и контроллер домена.
Если вы запустите gpudate команда без параметров, то будут применены только новые и измененные параметры GPO.
Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
Можно обновить только пользовательские параметры GPO:
gpupdate /target:user
или только параметры политики компьютера:
gpupdate /target:computer /force
Если некоторые политики параметров GPO не могут быть применены в фоновом режиме (обычно это клиентские расширения GPO, которые обрабатываются при входе пользователя в систему), команда gpudate может выйти из системы текущего пользователя:
gpupdate /target:user /logoff
Или перезагрузить компьютер (некоторые политики применяются только при загрузке Windows, например, установка программного обеспечения через GPO или сценарии запуска/входа в систему).
gpupdate /boot
Как принудительно обновить групповую политику на удаленных компьютерах
Существует несколько способов принудительного обновления параметров GPO на удаленных компьютерах Windows.
В простых случаях можно запустить программу gpupdate команду на удаленном компьютере с помощью любого удаленного инструмента:
- Использование PSexec инструмент:
PsExec \\manPC21 gpupdate - через PowerShell Remoting (WinRM):
Invoke-Command -computername manPC21 -Scriptblock {gpupdate /force}
Если вам нужно массово обновить параметры GPO на нескольких компьютерах домена, используйте консоль управления групповой политикой (gpmc.msc).
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Чтобы обновить параметры политики на удаленных компьютерах, щелкните целевую организационную единицу (OU) в консоли GPMC и выберите Обновление групповой политики.
Консоль поочередно подключается к каждому компьютеру в OU и возвращает статус обновления политики (Успешно или Не удалось).
Утилита создает задание планировщика задач на удаленном компьютере, которое запускает программу GPUpdate.exe /force команду для каждого вошедшего в систему пользователя. Задание будет запускаться через произвольное время (до 10 минут), чтобы снизить нагрузку на сеть DC.
- Управление удаленными задачами по расписанию (RPC)
- Управление удаленными задачами по расписанию (RPC-ERMAP)
- Инструментарий управления Windows (WMI-IN)
Если компьютер выключен или брандмауэр блокирует доступ к нему, то The remote procedure call was canceled. Error Code 8007071a‘ будет возвращена ошибка.
[Invoke-GPUpdate PowerShell также можно использовать для обновления параметров GPO на удаленных компьютерах. Например, чтобы обновить политики пользователей на удаленном компьютере, выполните команду:
Invoke-GPUpdate -Computer manPC21 -Target "User"
-RandomDelayInMinutes 0 параметр.При использовании команды Get-ADComputer можно заставить все компьютеры (кроме неактивных) в указанном OU обновить параметры групповой политики:
Get-ADComputer –filter {enabled -eq "true"} -Searchbase –"OU=Computes,OU=Mun,OU=DE,dc=woshub,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}
Когда вы запускаете команду Invoke-GPUpdate При удаленном выполнении команды или обновлении GPO из GPMC появляется черное приглашение с запущенной командой gpupdate может ненадолго появиться на рабочем столе пользователя.
