The command gpupdate /force is used to force the update of group policies that are applied by your company. Changes made in the Group Policy are not applied immediately but after 90 mins by default (with a ~30 min offset to spread the load). By using the GPUpdate command we can force the update.
Group Policies are used to change security settings and for system management (like deploying printers or mapping network drives). For troubleshooting IT problems, it’s sometimes necessary to update the group policy manually.
GPUpdate vs GPUpdate Force command
The gpupdate /force command is probably the most used group policy update command. When you use the /force switch, all the policy settings are reapplied. For most use cases this is perfectly fine, but keep in mind, when you have a lot of group policies objects (GPO) or in a large environment, using the /force will put a huge load on the domain controllers.
If you have a large tenant or a lot of GPO’s, then it’s better to only run gpupdate without the /force switch to apply new policy settings. This will get only the changes or new group policies, reducing the load on the client and domain controllers.
# Reapply all policies
gpupdate /force
# Get only the changed / new group policies
gpupdate
Update only user or computer group policies
If you have a large environment or need to update the group policies on a lot of computers at the same time, then it can be useful to only update what is needed. This will reduce the load on the domain controllers and it’s of course faster.
Automatically reboot or logoff after GPUpdate
With the use of the /logoff or /boot switch, we can let gpupdate figure out if a logoff or reboot is necessary. To be clear, if you run gpupdate /boot, then the computer will only reboot if a policy change requires it. Otherwise, the policy will be applied immediately without the reboot.
Run GPUpdate on a Remote Computer
Sometimes you may need to update quickly the group policies on multiple computers because you changed the internet proxy settings or maybe to replace a printer for example. There are couple of ways to run GPUpdate on a remote computer
Using the Group Policy Management Console
After you have confirmed the update the policies will be updated and you can see the status of each computer. In this example 5 computers where turned off, so the update failed.
Use PowerShell to run GPUpdate on a Remote Computer
The basis of the command is the Invoke-GPUpdate cmd. We also need to specify the computer and the RansomDelayInMinutes.
The RandomDelayInMinutes is used to lower the network load when you update a lot of computers at the same time. You can set it between 0 and 44640 minutes (31 days). Use 0 to run the update immediately.
Invoke-GPUpdate -Computer “labrat01” -RandomDelayInMinutes 0 -Force
With this, we can create a small script to target all computers in a specific OU and run GPupdate on them.
Or if you want to use a list of computers:
Wrapping Up
I hope this article helped you with the GPUpdate /force command. If you have any questions, then just drop a comment below.
После изменения любых настроек групповых политик с помощью локального редактора GPO (gpedit.msc) или доменного редактора политик (gpmc.msc), новые настройки политик применяются к пользователю (или компьютеру) не сразу. Вы можете дождаться автоматического обновления политик (придётся ждать до 90 минут), либо можете обновить и применить политики вручную с помощью команды GPUpdate. Команда GPUpdate используется для принудительного обновления групповых политик компьютера и/или пользователя.
Совет. В Windows 2000 для ручного обновления групповых политик использовалась команда secedit /refreshpolicy. В следующих версиях Windows она была заменена утилитой GPUpdate.
Полный синтаксис команда gpupdate выглядит так:
При запуске команды gpupdate без параметров выполняется обновление только новыех и изменённых настроек политик пользователя и компьютера
Вы можете обновить только политики пользователя или только политики компьютера с помощью параметра /target. Например:
Для принудительного обновления настроек групповых политик используется команда GPUpdate /force. В чем разница между GPUpdate и GPUpdate /force?
Команда gpupdate применяет только измененные политики, а команда GPUpdate /force заново переприменяет все политики клиента — и новые и старые (вне зависимости от того, были ли они изменены).
В большинстве случаев для обновления политик на компьютере нужно использовать gpupdate. В больших доменах Active Directory частое использование ключа /force при обновлении GPO вызывает большую нагрузку на контроллеры домена (т.к. компьютеры запрашивают заново все нацеленные на них или на пользователей политики).
Как мы уже говорили ранее групповые политики обновляются автоматически каждые 90 минут или во время загрузки компьютера. Поэтому в большинстве случае использование опции gpupdate /force не оправдано (особенно в различных скриптах) из-за высокой нагрузки на клиентские компьютеры, контроллеры домена и каналы передачи данных. Не стоит часто использовать параметр /force для принудительного обновления натсроек политик у клиентов, подключенных по медленным и нестабильным каналам передачи.
Вы можете добавить задержку (до 600 секунд) при обновлении политик с помощью параметра /wait:
Т.к. некоторые политики пользователя нельзя обновить в фоновом режиме, а только при входе пользователя в систему (установка программ, перенаправление папок и т.д.), вы можете выполнить logoff для текущего пользователя командой:
gpupdate /logoffНекоторые настройки политик компьютера могут применится только при загрузке Windows, поэтому вы можете инициировать перезагрузку компьютера с помощью параметра /Boot:
gpupdate /BootПараметр /Sync указывает, что следующее применение политики должно выполняться синхронно. Активные применения политики происходят при перезагрузке компьютера или при входе пользователя в систему.
В PowerShell 3.0 был добавлен командлет Invoke-GPUpdate, который можно использовать для обновления политик на удаленных компьютерах. Например, следующая команда запустит удаленное обновление групповых политик на компьютере msk-PC-1-22:
Invoke-GPUpdate -Computer msk-PC-1-22 -Force
Вы можете удаленно запустить принудительное обновление политик на всех компьютерах в указанном OU Active Directory с помощью команд:
In this guide, you will learn how to use the gpupdate /force command to immediately apply new GPO settings. I’ll also show you how to force an update on multiple remote computers.
The gpupdate command is built into all versions of the Windows operating system, client, and server.
By default, Windows will update group policy settings every 90 minutes or when during a computer reboot. There are times when you need to immediately update a computer’s policies and waiting 90 minutes is not an option. By using the gpupdate command you can force a policy update.
What is the difference between gpupdate and gpupdate /force command?
So which command should you use? It’s best to start with the GPUpdate command, this should work most of the time. If the gpupdate command didn’t work then try gpupdate /force.
I would not run gpupdate /force on several devices at one time. If you have a lot of group policies this can be resource intensive on domain controllers.
Video Tutorial
You should get a message back that it was completed successfully.
To reapply all policies use the /force switch.
Let’s take a look at some real world examples of when to use the gpupdate command.
Add shortcut to users desktop
Here is a before picture.
After running gpupdate you can see the desktop shortcut added to the desktop.
Your Boss requests for software to be installed
Next, issue the gpupdate command. But this time you get the message below.
I wanted to show this example because not all policies can be applied immediately. Deploying software through group policy can only occur during a restart.
Sorry, boss you need to reboot. 🙂
When do I use the GPUpdate /force command?
The two examples I provided only required the gpupdate command to be run. You should only use the /force option for troubleshooting or when there is an issue applying a policy.
With that said I’ve not seen any issues running gpupdate /force as the first option. I’ve also seen no reason to run it as the first option. Most of the time I’m able to run gpupdate and everything works. As I mentioned above the main concern with gpupdate /force is running it on multiple computers at once, this could put a major load on your domain controllers.
Запуск GPUpdate на нескольких компьютерах
Если вам нужно принудительно обновить групповую политику на удаленных компьютерах или на нескольких компьютерах, вы можете использовать эти примеры.
Знаете ли вы, что вы можете использовать консоль управления групповыми политиками для обновления удаленных и нескольких компьютеров?
В консоли GPM щелкните правой кнопкой мыши подразделение и выберите «Обновить групповую политику».
Вы получите индикатор выполнения, показывающий вам статус.
Использование команды PowerShell Invoke-GPupdate
Существует команда PowerShell для обновления групповых политик. Для обновления на одном компьютере используйте эту команду
Для обновления на нескольких компьютерах с помощью PowerShell используйте эту команду. Приведенная ниже команда обновит все компьютеры в моей OU Accounting. Просто измените базовый путь поиска на различающееся имя вашего подразделения.
Синтаксис GPUpdate
Надеюсь, это руководство было вам полезным. Не стесняйтесь оставлять комментарии или вопросы ниже.
Сегодня я покажу вам, как принудительно обновить групповую политику на удаленных компьютерах.
Компьютеры будут обновлять групповую политику в фоновом режиме каждые 90 минут, кроме того, групповая политика обновляется при запуске компьютера.
Бывают случаи, когда вы вносите изменения или создаете новые GPO (объекты групповой политики), и вам нужно, чтобы изменения вступили в силу немедленно.
Существует несколько различных методов удаленного обновления групповой политики.
Давайте посмотрим.
Совет. Метод 1 лучше всего подходит для старых клиентов, а методы 2 и 3 — для систем, работающих под управлением 2012 года и более поздних версий.
Использование команды gpupdate с PsExec
Этот первый метод использует встроенную команду на клиентских компьютерах под названием gpupdate.
Чтобы немедленно принудительно обновить групповую политику на локальном компьютере, используйте эту команду
gpupdate /force
Параметр /force заставит обновить все политики, а не только новые.
Теперь, если у вас есть несколько компьютеров, которые необходимо обновить, было бы сложно войти в каждый из них и выполнить эту команду.
Чтобы запустить это на удаленном компьютере, вы можете использовать команду PsExec из набора инструментов Sysinternals.
Вот пример использования PsExec для удаленного обновления групповой политики
«PsExec \ имя_компьютера Gpupdate»
Просто замените Computername на фактическое имя хоста компьютера.
Использование консоли управления групповыми политиками
В Windows Server 2012 и более поздних версиях теперь можно принудительно обновить групповую политику на удаленных компьютерах из консоли управления групповыми политиками.
Этот метод очень прост и позволяет запускать обновление для одной или всех организационных единиц.
Вот шаги.
Откройте Консоль управления групповыми политиками
Эту консоль можно открыть на компьютере, на котором установлены инструменты RSAT, или на сервере с ролью DHCP.
Щелкните правой кнопкой мыши подразделение, чтобы обновить
Вы можете обновить отдельную OU или родительскую OU, и это обновит все дочерние OU.
Я собираюсь обновить свою родительскую OU «Компьютеры ADPRO». В этой OU есть несколько дочерних OU, разбитых на отделы. Это запустит обновление групповой политики на всех компьютерах.
Я нажму «Да», чтобы подтвердить запуск обновления.
Теперь это довольно круто, я получаю окно, показывающее статус обновления групповой политики на каждом компьютере.
Вот так просто можно использовать консоль управления групповой политикой для удаленного принудительного обновления групповой политики.
Если вы знаток Powershell, попробуйте следующий метод.
Использование Powershell Invoke-GPUpdate
В Windows 2012 теперь можно принудительно выполнить немедленное обновление с помощью командлета PowerShell invoke-GPUpdate.
Эту команду можно использовать для обновления клиентов Windows 10 и Windows 7.
Вам потребуется установленный Powershell, а также консоль управления групповыми политиками (GPMC).
Вот команда:
Invoke-GPUpdate -Computer COMPUTER02 -RandomDelayInMinutes 0
RandomDelayInMinutes 0 определяет задержку. Установка его на 0 сразу же обновит групповую политику.
Единственным недостатком использования этой команды является то, что клиенты получат всплывающее окно CMD, как показано ниже.
Он отображается только около 3 секунд, а затем закрывается.
Если вы хотите использовать команду PowerShell для принудительного обновления на всех компьютерах, вы можете использовать эти команды:
Приведенные выше команды будут извлекать каждый компьютер из домена, помещать их в переменную и запускать команды для каждого объекта в переменной.
Как всегда, я надеюсь, что эта статья окажется для вас полезной.
Инструмент создания отчетов о разрешениях Active Directory
Вы можете легко определить, у кого есть какие разрешения, откуда они были получены и когда они были предоставлены или отозваны. Вы также можете создавать готовые отчеты для соответствия различным стандартам и нормам, таким как HIPAA, PCI DSS, SOX и GDPR
.
Скачать бесплатную пробную версию
Групповая политика — популярная служба Active Directory, которую сегодня используют многие организации. Если в вашей организации используется групповая политика, скорее всего, вы знакомы с командой gpupdate; точнее, команда gpupdate /force.
Вы знаете, что делает gpupdate? Вам когда-нибудь приходилось использовать параметр силы? И если да, то когда это имеет смысл?
В этой статье вы узнаете, что делает gpupdate, как он работает и как лучше всего использовать его возможности.
Что такое GPUpdate?
Gpupdate — это утилита командной строки от Microsoft, которая поставляется со всеми версиями операционной системы Windows. Это утилита, которая контролирует применение объектов групповой политики (GPO) на назначенных компьютерах Active Directory.
Вкратце команда gpupdate проверяет с помощью контроллера домена любые новые или обновленные объекты групповой политики, назначенные компьютеру, и немедленно пытается их применить.
Предпосылки
Если вы хотите запустить какой-либо из примеров, представленных в этом руководстве, предварительные условия этой статьи невелики.
Как работает Gpupdate
Когда вы сидите перед компьютером, присоединенным к домену, откройте командную строку Windows или PowerShell и запустите gpupdate, начнется ряд задач.
Gpupdate в действии
2. Затем служба клиента групповой политики обращается к контроллеру домена входа в систему компьютера и проверяет, доступны ли какие-либо новые объекты групповой политики или обновления существующих объектов групповой политики.
Служба клиента групповой политики записывает события в журнал приложений и служб LogMicrosoftWindowsGroupPolicyOperational.
4. После завершения служба клиента групповой политики ожидает следующего интервала обновления, который по умолчанию составляет 90 минут плюс случайное смещение до 30 минут.
Объяснение печально известного переключателя /force
Теперь вы знаете основы того, что происходит при запуске gpupdate. Пока вроде все работает, да? В типичном сценарии запуск gpupdate и разрешение ему пройти через свой процесс работает просто отлично. Но бывают случаи, когда вам нужно форсировать некоторые вещи.
Одним из наиболее широко используемых параметров gpupdate является переключатель /force. Этот переключатель каким-то образом укоренился в сознании каждого ИТ-специалиста как необходимый переключатель для использования. Вопреки распространенному мнению, на самом деле вам это не нужно, за исключением определенных обстоятельств.
По умолчанию gpupdate умный; он сравнивает все текущие настройки с любыми новыми настройками и применяет только их. Но вы также можете заставить gupdate повторно применить все настройки с помощью переключателя /force. Зачем вам это нужно?
Служба клиента групповой политики регулярно повторно применяет некоторые параметры, например параметры безопасности (интервал по умолчанию — 16 часов).
Основная причина не использовать переключатель /force — это когда вы имеете дело с настройками, которые могут применяться только при входе в систему или при запуске. Когда это происходит, Windows будет предлагать вам выйти из системы или перезагрузиться каждый раз, когда вы запускаете gpupdate /force, даже если новые настройки не требуют такого действия.
Изучение параметров Gpupdate
Теперь, когда вы имеете общее представление о том, как работает gupdate, и знаете, когда и как использовать ключ /force, давайте теперь сосредоточимся на всех других функциях, предоставляемых gpupdate.
Получение помощи
Как и ожидалось, команда gpupdate может предоставить информацию о каждом параметре и о том, что они делают. Несмотря на недостаток глубины, /? удобно, если вам нужно быстро освежить в памяти, как выполнять определенную задачу.
Gpupdate /? отображает все переключатели и параметры, доступные для этой команды.
Нацеливание на компьютер или настройки пользователя
По умолчанию gpupdate указывает службе клиента групповой политики обрабатывать как компьютер, так и использовать параметры. Если вам нужно обновить только один из этих наборов, вы можете использовать параметр /target.
Создание тайм-аута
Gpupdate обычно запускается довольно быстро, но проблемы с не отвечающим DC или клиентской службой групповой политики могут привести к зависанию процесса. Если вы запускаете gpupdate в сценарии, который требует выполнения дополнительных задач после запуска gpupdate, вы можете создать тайм-аут.
Вы можете заставить gpupdate вернуть управление командному окну через определенный период времени и перевести обработку политик в фоновый режим, используя параметр /wait. Доступные значения для параметра /wait приведены ниже.
Принудительный автоматический выход из системы
Протестировано как на Windows 10, так и на Windows Server 2019, иногда вы сталкиваетесь с неизвестной проблемой, когда параметр /logoff не работает.
Предупреждение о выходе из системы после gpupdate
Чтобы убедиться, что вы вышли из системы в этом сценарии, вы также должны использовать переключатель /force.
Принудительный автоматический перезапуск
Подобно переключателю /logoff, переключатель /boot автоматически перезагружает компьютер, если Windows не может обработать какие-либо настройки компьютера в фоновом режиме. Переключатель /boot обычно используется для установки программного обеспечения, ориентированного на компьютер.
Принудительная синхронная обработка
Во время синхронной обработки клиент групповой политики вызывает все свои CSE, даже если параметры не были изменены. Синхронная обработка необходима, поскольку одни настройки зависят от других.
