Group Policy is a popular Active Directory service that many organizations use today. If your organizations uses Group Policy, chances are you’re familiar with the gpupdate command; more specifically, the gpupdate /force command.
Do you know what gpupdate is doing? Do you ever need to use the force parameter? And if yes, when does it make sense?
In this article, you’re going to learn what gpupdate does, how it works, and how you can best take advantage of its options.
In this guide, you will learn how to use the gpupdate /force command to immediately apply new GPO settings. I’ll also show you how to force an update on multiple remote computers.
The gpupdate command is built into all versions of the Windows operating system, client, and server.
By default, Windows will update group policy settings every 90 minutes or when during a computer reboot. There are times when you need to immediately update a computer’s policies and waiting 90 minutes is not an option. By using the gpupdate command you can force a policy update.
What is the difference between gpupdate and gpupdate /force command?
So which command should you use? It’s best to start with the GPUpdate command, this should work most of the time. If the gpupdate command didn’t work then try gpupdate /force.
I would not run gpupdate /force on several devices at one time. If you have a lot of group policies this can be resource intensive on domain controllers.
В данной статье мы покажем простой способ удаленного обновления групповых политик на клиентах (компьютерах и серверах) домена Active Directory, без необходимости доступа к консоли удаленной машине и без использования команды gpupdate.
Одной из самых сложных проблем в управлении групповыми политиками AD является — тестирование политик «на лету», без перезагрузки компьютера или доступа к локальному компьютеру и запуску команды gpupdate /force.
Функция Remote Group Policy Update предоставляет возможность использовать одну консоль управления GPO (GPMC.msc) как для создания, изменения, так и применения и тестирования групповых политик.
Функционал удаленного обновления групповых политик впервые появился в Microsoft Windows Server 2012, во всех последующих версия (Windows Server 2016, Microsoft Windows 10), этот функционал и его стабильность постепенно улучшался.
Требования для работы Remote Group Policy Update:
Требования к серверному окружению:
Требования к клиентам:
Требования к сетевому взаимодействию (файерволам) между сервером и клиентами
В том случае, если ваше окружение соответствует данным требованиям, откройте консоль управления групповыми политиками (GPMC.msc), выберите OU (контейнер), в котором расположены целевые компьютеры, на которых нужно принудительно обновить GPO.
Щелкните правой кнопкой мыши по нужному контейнеру и выберите пункт Group Policy Update.
В открывшемся окне появится информация о количестве объектов в данном OU, на которых будет произведено обновление GPO. Для подтверждения действия щелкните по кнопке «Yes».
В окне Remote Group Policy update results вы увидите статус выполнения обновления политик, а также статус данной операции (успех/ ошибка, код ошибки). Естественно, если какой-то компьютер выключен, или доступ к нему ограничен файерволом, появится соответствующая ошибка.
После изменения любых настроек групповых политик с помощью локального редактора GPO (gpedit.msc) или доменного редактора политик (gpmc.msc), новые настройки политик применяются к пользователю (или компьютеру) не сразу. Вы можете дождаться автоматического обновления политик (придётся ждать до 90 минут), либо можете обновить и применить политики вручную с помощью команды GPUpdate. Команда GPUpdate используется для принудительного обновления групповых политик компьютера и/или пользователя.
Совет. В Windows 2000 для ручного обновления групповых политик использовалась команда secedit /refreshpolicy. В следующих версиях Windows она была заменена утилитой GPUpdate.
Полный синтаксис команда gpupdate выглядит так:
При запуске команды gpupdate без параметров выполняется обновление только новыех и изменённых настроек политик пользователя и компьютера
Вы можете обновить только политики пользователя или только политики компьютера с помощью параметра /target. Например:
Для принудительного обновления настроек групповых политик используется команда GPUpdate /force. В чем разница между GPUpdate и GPUpdate /force?
Команда gpupdate применяет только измененные политики, а команда GPUpdate /force заново переприменяет все политики клиента — и новые и старые (вне зависимости от того, были ли они изменены).
В большинстве случаев для обновления политик на компьютере нужно использовать gpupdate. В больших доменах Active Directory частое использование ключа /force при обновлении GPO вызывает большую нагрузку на контроллеры домена (т.к. компьютеры запрашивают заново все нацеленные на них или на пользователей политики).
Как мы уже говорили ранее групповые политики обновляются автоматически каждые 90 минут или во время загрузки компьютера. Поэтому в большинстве случае использование опции gpupdate /force не оправдано (особенно в различных скриптах) из-за высокой нагрузки на клиентские компьютеры, контроллеры домена и каналы передачи данных. Не стоит часто использовать параметр /force для принудительного обновления натсроек политик у клиентов, подключенных по медленным и нестабильным каналам передачи.
Вы можете добавить задержку (до 600 секунд) при обновлении политик с помощью параметра /wait:
Т.к. некоторые политики пользователя нельзя обновить в фоновом режиме, а только при входе пользователя в систему (установка программ, перенаправление папок и т.д.), вы можете выполнить logoff для текущего пользователя командой:
gpupdate /logoffНекоторые настройки политик компьютера могут применится только при загрузке Windows, поэтому вы можете инициировать перезагрузку компьютера с помощью параметра /Boot:
gpupdate /BootПараметр /Sync указывает, что следующее применение политики должно выполняться синхронно. Активные применения политики происходят при перезагрузке компьютера или при входе пользователя в систему.
В PowerShell 3.0 был добавлен командлет Invoke-GPUpdate, который можно использовать для обновления политик на удаленных компьютерах. Например, следующая команда запустит удаленное обновление групповых политик на компьютере msk-PC-1-22:
Invoke-GPUpdate -Computer msk-PC-1-22 -Force
Вы можете удаленно запустить принудительное обновление политик на всех компьютерах в указанном OU Active Directory с помощью команд:
Today I will show you how to force a group policy update on remote computers.
Computers will update group policy in the background every 90 minutes, in addition, group policy is updated when the computer starts up.
There are times when you make changes or create new GPOs (Group Policy Objects) and you need the changes to go into effect immediately.
There are a few different methods for remotely updating group policy.
Let’s take a look.
Tip: Method 1 is best for older clients, Method 2 and 3 are for systems running 2012 and later.
Using the gpupdate command with PsExec
This first method uses a built in command on the client computers called gpupdate.
To immediately force a group policy update on the local computer use this command
gpupdate /force
The /force will force all policies to update not just the new ones.
Now, if you have a bunch of computers that need to be updated it would be a pain to log into each one and run this command.
To run this on a remote computer you can use the PsExec command from the Sysinternals toolset.
Here is an example of using PsExec to remotely update group policy
“PsExec \Computername Gpupdate”
Just replace Computername with the actual hostname of the computer.
Using Group Policy Management Console
With Windows Server 2012 and later versions, you can now force a group policy update on remote computers from the Group Policy Management Console.
This method is super easy and allows you to run an update on a single OU or all OUs.
Here are the steps.
Open the Group Policy Management Console
You can open this console on a computer that has the RSAT tools installed or a server running the DHCP role.
Right click an OU to update
You can update an individual OU or a parent OU and it will update all sub OUs.
I’m going to update my parent OU “ADPRO Computers” this OU has a few sub OUs broken out into departments. This will run a group policy update on all computers.
I’ll click yes to confirm to run the update.
Now this is pretty cool, I get a window showing me the status of group policy being updated on each computer.
Вот так просто можно использовать консоль управления групповой политикой для удаленного принудительного обновления групповой политики.
Если вы знаток Powershell, попробуйте следующий метод.
Использование Powershell Invoke-GPUpdate
В Windows 2012 теперь можно принудительно выполнить немедленное обновление с помощью командлета PowerShell invoke-GPUpdate.
Эту команду можно использовать для обновления клиентов Windows 10 и Windows 7.
Вам потребуется установленный Powershell, а также консоль управления групповыми политиками (GPMC).
Вот команда:
Invoke-GPUpdate -Computer COMPUTER02 -RandomDelayInMinutes 0
RandomDelayInMinutes 0 определяет задержку. Установка его на 0 сразу же обновит групповую политику.
Единственным недостатком использования этой команды является то, что клиенты получат всплывающее окно CMD, как показано ниже.
Он отображается только около 3 секунд, а затем закрывается.
Если вы хотите использовать команду PowerShell для принудительного обновления на всех компьютерах, вы можете использовать следующие команды:
Приведенные выше команды будут извлекать каждый компьютер из домена, помещать их в переменную и запускать команды для каждого объекта в переменной.
Как всегда, я надеюсь, что эта статья окажется для вас полезной.
Инструмент создания отчетов о разрешениях Active Directory
Вы можете легко определить, у кого есть какие разрешения, откуда они были получены и когда они были предоставлены или отозваны. Вы также можете создавать готовые отчеты для соответствия различным стандартам и нормам, таким как HIPAA, PCI DSS, SOX и GDPR
.
Скачать бесплатную пробную версию
Ваш босс просит установить программное обеспечение
Затем выполните команду gpupdate. Но на этот раз вы получите сообщение ниже.
Я хотел показать этот пример, потому что не все политики можно применить сразу. Развертывание программного обеспечения с помощью групповой политики может происходить только во время перезагрузки.
Извините, босс, вам нужно перезагрузиться. 🙂
Когда следует использовать команду GPUpdate /force?
В двух приведенных мной примерах требовалось запустить только команду gpupdate. Параметр /force следует использовать только для устранения неполадок или при возникновении проблем с применением политики.
При этом я не видел никаких проблем с запуском gpupdate /force в качестве первого варианта. Я также не видел причин запускать его в качестве первого варианта. Большую часть времени я могу запустить gpupdate, и все работает. Как я упоминал выше, основная проблема с gpupdate /force заключается в одновременном запуске его на нескольких компьютерах, что может привести к значительной нагрузке на ваши контроллеры домена.
Синтаксис GPUpdate
Надеюсь, это руководство было вам полезным. Не стесняйтесь оставлять комментарии или вопросы ниже.
Запуск GPUpdate на нескольких компьютерах
Если вам нужно принудительно обновить групповую политику на удаленных компьютерах или на нескольких компьютерах, вы можете использовать эти примеры.
Использование консоли управления групповыми политиками
Знаете ли вы, что можно использовать консоль управления групповыми политиками для обновления удаленных и нескольких компьютеров?
В консоли GPM щелкните правой кнопкой мыши подразделение и выберите «Обновить групповую политику».
Вы получите индикатор выполнения, показывающий вам статус.
Использование команды PowerShell Invoke-GPupdate
Существует команда PowerShell для обновления групповых политик. Для обновления на одном компьютере используйте эту команду
Для обновления на нескольких компьютерах с помощью PowerShell используйте эту команду. Приведенная ниже команда обновит все компьютеры в моей OU Accounting. Просто измените базовый путь поиска на различающееся имя вашего подразделения.
Предпосылки
Если вы хотите запустить какой-либо из примеров, представленных в этом руководстве, предварительные условия этой статьи невелики.
Как работает Gpupdate
Когда вы сидите перед компьютером, присоединенным к домену, откройте командную строку Windows или PowerShell и запустите gpupdate, начнется ряд задач.
Gpupdate в действии
2. Затем служба клиента групповой политики обращается к контроллеру домена входа в систему компьютера и проверяет, доступны ли какие-либо новые объекты групповой политики или обновления существующих объектов групповой политики.
Служба клиента групповой политики записывает события в журнал приложений и служб LogMicrosoftWindowsGroupPolicyOperational.
4. После завершения служба клиента групповой политики ожидает следующего интервала обновления, который по умолчанию составляет 90 минут плюс случайное смещение до 30 минут.
Примеры команд GPUpdate
Вы должны получить сообщение об успешном завершении.
Чтобы повторно применить все политики, используйте переключатель /force.
Давайте взглянем на некоторые реальные примеры использования команды gpupdate.
Видеоурок
Вот фото до.
После запуска gpupdate вы можете увидеть добавленный на рабочий стол ярлык.
Что такое GPUpdate?
Gpupdate — это утилита командной строки от Microsoft, которая поставляется со всеми версиями операционной системы Windows. Это утилита, которая контролирует применение объектов групповой политики (GPO) на назначенных компьютерах Active Directory.
Вкратце команда gpupdate проверяет с помощью контроллера домена любые новые или обновленные объекты групповой политики, назначенные компьютеру, и немедленно пытается их применить.
Изучение параметров Gpupdate
Теперь, когда вы имеете общее представление о том, как работает gupdate, и знаете, когда и как использовать ключ /force, давайте теперь сосредоточимся на всех других функциях, предоставляемых gpupdate.
Получение помощи
Как и ожидалось, команда gpupdate может предоставить информацию о каждом параметре и о том, что они делают. Несмотря на недостаток глубины, /? удобно, если вам нужно быстро освежить в памяти, как выполнять определенную задачу.
Gpupdate /? отображает все переключатели и параметры, доступные для этой команды.
Нацеливание на компьютер или настройки пользователя
По умолчанию gpupdate указывает службе клиента групповой политики обрабатывать как компьютер, так и использовать параметры. Если вам нужно обновить только один из этих наборов, вы можете использовать параметр /target.
Создание тайм-аута
Gpupdate обычно запускается довольно быстро, но проблемы с не отвечающим DC или клиентской службой групповой политики могут привести к зависанию процесса. Если вы запускаете gpupdate в сценарии, который требует выполнения дополнительных задач после запуска gpupdate, вы можете создать тайм-аут.
Вы можете заставить gpupdate вернуть управление командному окну через определенный период времени и перевести обработку политик в фоновый режим, используя параметр /wait. Доступные значения для параметра /wait приведены ниже.
Принудительный автоматический выход из системы
Протестировано как на Windows 10, так и на Windows Server 2019, иногда вы сталкиваетесь с неизвестной проблемой, когда параметр /logoff не работает.
Предупреждение о выходе из системы после gpupdate
Чтобы убедиться, что вы вышли из системы в этом сценарии, вы также должны использовать переключатель /force.
Принудительный автоматический перезапуск
Подобно переключателю /logoff, переключатель /boot автоматически перезагружает компьютер, если Windows не может обработать какие-либо параметры компьютера в фоновом режиме. Переключатель /boot обычно используется для установки программного обеспечения, ориентированного на компьютер.
Принудительная синхронная обработка
Во время синхронной обработки клиент групповой политики вызывает все свои CSE, даже если параметры не были изменены. Синхронная обработка необходима, поскольку одни настройки зависят от других.
Объяснение переключателя Infamous /force
Теперь вы знаете основы того, что происходит при запуске gpupdate. Пока вроде все работает, да? В типичном сценарии запуск gpupdate и разрешение ему пройти через свой процесс работает просто отлично. Но бывают случаи, когда вам нужно форсировать некоторые вещи.
Одним из наиболее широко используемых параметров gpupdate является переключатель /force. Этот переключатель каким-то образом укоренился в сознании каждого ИТ-специалиста как необходимый переключатель для использования. Вопреки распространенному мнению, на самом деле вам это не нужно, за исключением определенных обстоятельств.
По умолчанию gpupdate умный; он сравнивает все текущие настройки с любыми новыми настройками и применяет только их. Но вы также можете заставить gupdate повторно применить все настройки с помощью переключателя /force. Зачем вам это нужно?
Служба клиента групповой политики регулярно повторно применяет некоторые параметры, например параметры безопасности (интервал по умолчанию — 16 часов).
Основная причина не использовать переключатель /force — это когда вы имеете дело с настройками, которые могут применяться только при входе в систему или при запуске. Когда это происходит, Windows будет предлагать вам выйти из системы или перезагрузиться каждый раз, когда вы запускаете gpupdate /force, даже если новые настройки не требуют такого действия.
