Если кто-то вам сообщает, что его компьютер работает не так как нужно то первое, что может прийти вам в голову, использовать команду gpupdate /force, для того чтобы убедиться, что все групповые политики применяются на этом компьютере.
Способ удаленного использования gpupdate /force заключается в следующем: создается задача через планировщик задач, которая включит выполнение команды gpupdate /force на локальном компьютере в течении 10 минут. Эта функция будет работать на Vista и выше.
Поскольку эта функция требует использования удаленного подключения, то вы будете нуждаться в определенных правилах для брандмауэров на клиентских машинах.
После того как вы единожды применили эти правила для брандмауэров на ваших клиентских компьютерах, у вас есть два пути, по которым вы можете пойти.
Мастер обновления групповых политик
Из консоли управления группой политикой нажимаем на объекте, который содержит все клиентские компьютеры.
Выбираем опцию «Обновление групповой политики»
Это опция заставит обновиться политики для использования gpupdate /force на всех клиентских компьютерах, включая каждого пользователя на любом из этих компьютеров.
После этого вы будете получать сообщения об успешном или не удачном применении этой опции на конкретных машинах. Но это не означает, что gpupdate /force уже выполняется, это означает то, что были успешно поставлены задачи на обновление политик в течении следующих 10 минут. На рисунке выше было намеренно продемонстрированно, что вы можете получить ошибку, ее код, а также возможность сохранить отчет в .csv файл для последующего анализа.
Powershell
Другой вариант заключается в использовании новых командлетов для GP PowerShell. Командлет Invoke-gpupdate является частью модуля GP Powershell, который устанавливается на вашем компьютере вместе с функцией управления групповыми политиками . Эта команда предоставляем вам больше гибкости для обновления групповых политик . Вы можете использовать все знакомые вам параметры стандартной команды g pupdate , плюс к этому, вы также получаете новые функции для обновления групповых политик на клиентских машинах, а также она дает возможность написать скрипт , предназначенный для многих компьютеров.
Вот пример использования Invoke-gpupdate:
Import-module groupPolicy
Invoke-gpupdate computername
В результате этой команды, будет поставлена задача на выполнение gpupdate /force на клиентской машине.
После изменения любого параметра групповой политики с помощью локального редактора объекта групповой политики (gpedit.msc) или редактора политики домена (gpmc.msc) новый параметр политики не сразу применяется к пользователю / компьютеру.
Вы можете подождать автоматического обновления объекта групповой политики (до 90 минут) или вы можете обновить и применить политики вручную с помощью команды GPUpdate.
Команда GPUpdate используется для принудительного обновления параметров политики компьютера и / или группы пользователей.
Заметка. Команда secedit/refreshpolicy использовалась в Windows 2000 для ручного обновления групповых политик. В следующих версиях Windows она была заменена утилитой GPUpdate.
Полный синтаксис инструментов gpupdate выглядит следующим образом:
Когда вы запускаете команду gpupdate без параметров, применяются только новые и измененные параметры политики пользователя и компьютера.
Computer Policy update has completed successfully.
User Policy update has completed successfully.
Обновлять политики пользователей или компьютеров можно только с помощью параметра /target. Например,
- gpudate /target:user
- gpupdate /target:computer
Для принудительного обновления параметров групповой политики вы можете использовать команду GPUpdate /force.
В чем разница между GPUpdate и GPUpdate / force?
Команда gpupdate применяет только измененные политики, а команда GPUpdate / force повторно применяет все клиентские политики — как новые, так и старые (независимо от того, были ли они изменены).
В большинстве случаев вам нужно использовать gpupdate для обновления политик на компьютере.
В больших доменах Active Directory частое использование параметра / force при обновлении объектов групповой политики создает большую нагрузку на контроллеры домена (поскольку компьютеры повторно запрашивают все политики, нацеленные на них или пользователей).
Как мы уже говорили ранее, групповые политики обновляются автоматически каждые 90 минут или во время запуска компьютера.
Поэтому в большинстве случаев не следует использовать команду gpupdate / force (особенно в различных сценариях) из-за высокой нагрузки на клиентские компьютеры и контроллеры домена.
Вы можете добавить задержку (до 600 секунд) перед обновлением политик с помощью параметра / wait:
Поскольку некоторые пользовательские политики не могут быть обновлены в фоновом режиме, а только при входе пользователя в систему (установка программ, перенаправление папок и т. д.), вы можете выйти из системы для текущего пользователя с помощью команды:
Некоторые параметры политики компьютера могут применяться только при запуске, поэтому вы можете запустить перезагрузку компьютера с помощью параметра /Boot:
Параметр /Sync указывает, что следующее приложение политики должно выполняться синхронно.
Активное применение политики происходит, когда компьютер перезагружается или когда пользователь входит в систему.
Командлет Invoke-GPUpdate был добавлен в PowerShell 3.0, который можно использовать для обновления политик на удаленных компьютерах.
Например, следующая команда запустит обновление удаленной групповой политики на компьютере ПК1:
Вы можете принудительно обновить политику на всех компьютерах в указанном подразделении Active Directory, используя команды:
В данной статье мы покажем простой способ удаленного обновления групповых политик на клиентах (компьютерах и серверах) домена Active Directory, без необходимости доступа к консоли удаленной машине и без использования команды gpupdate .
Одной из самых сложных проблем в управлении групповыми политиками AD является — тестирование политик «на лету», без перезагрузки компьютера или доступа к локальному компьютеру и запуску команды gpupdate /force.
Функция Remote Group Policy Update предоставляет возможность использовать одну консоль управления GPO (GPMC.msc) как для создания, изменения, так и применения и тестирования групповых политик.
Функционал удаленного обновления групповых политик впервые появился в Microsoft Windows Server 2012, во всех последующих версия (Windows Server 2016, Microsoft Windows 10), этот функционал и его стабильность постепенно улучшался.
Требования для работы Remote Group Policy Update:
Требования к серверному окружению:
- Windows Server 2012 и выше
- Либо Windows 10 с установленными инструментами управления RSAT (Management tools)
Требования к клиентам:
Требования к сетевому взаимодействию (файерволам) между сервером и клиентами
- Должен быть открыт TCP Port 135
- Включена служба Windows Management Instrumentation (служба управления Windows)
- Служба Task Scheduler (служба планировщика заданий)
В том случае, если ваше окружение соответствует данным требованиям, откройте консоль управления групповыми политиками (GPMC.msc), выберите OU (контейнер), в котором расположены целевые компьютеры, на которых нужно принудительно обновить GPO.
Щелкните правой кнопкой мыши по нужному контейнеру и выберите пункт Group Policy Update.
В открывшемся окне появится информация о количестве объектов в данном OU, на которых будет произведено обновление GPO. Для подтверждения действия щелкните по кнопке «Yes».
В окне Remote Group Policy update results вы увидите статус выполнения обновления политик, а также статус данной операции (успех/ ошибка, код ошибки). Естественно, если какой-то компьютер выключен, или доступ к нему ограничен файерволом, появится соответствующая ошибка.
