Manual refreshing
Group Policy has an automatic background refresh, but in some cases the interval is not fast enough for the settings that you want to deploy. In this case, Group Policy refresh can be triggered by a simple command, which is very helpful during times when you are testing or wanting to get a setting to a computer immediately.
If you have NOT made any changes to the GPO that contains your security settings, but still want the settings to apply manually, you can use the /force switch with the GPUPDATE command. This switch will force the application of all GPO settings without considering the GPO version number or updates to the GPO. It will just reapply all settings contained in all GPOs.
Run gpupdate on a remote computer
Sometimes you may need to update quickly the group policies on multiple computers because you changed the internet proxy settings or maybe to replace a printer for example. There are couple of ways to run GPUpdate on a remote computer
Security settings “unique” background refresh
With over 30 CSEs, a GPO is constantly doing work on your network. The one CSE that is unique, however, is the security setting CSE. This CSE behaves like the other CSEs, except for the fact that every 16 hours the security settings CSE applies all settings in all GPOs regardless of a change occurring to the GPO. This differs from other CSEs with the fact that if no settings change in a GPO, the GPO settings do not reapply.
This is a great feature and one that can be altered. Unlike the other settings that I have shown to you in this article, this setting is NOT a GPO setting. Rather, it is a registry setting. If you want to tweak this setting yourself, you can do so by modifying the MaxNoGPOListChangesInterval which is located in the registry:
HKLM Software | Microsoft | Windows NT | CurrentVersion | Winlogon GPExtensions | {827D319E-6AC-11D2-A4EA-00C04F79F83A}
(Note: This long string of characters is the GUID for the Security CSE.) You can see this path and the key interval setting in Figure 4.
Figure 4: Security CSE Registry settings, including the MaxNoGPOListChangesInterval value
Note:The MaxNoGPOListChangesInterval Registry value is input as a DWORD value and has units of minutes. If you want 16 hours, that is 960 minutes in the Registry.
Wrapping up
I hope this article helped you with the GPUpdate /force command. If you have any questions, then just drop a comment below.
Как изменить интервал актуализации групповой политики?
Прежде чем новые параметры, заданные вами в локальной или доменной групповой политике (GPO), будут применены к клиентам Windows, служба клиента групповой политики должна прочитать политики и внести изменения в настройки Windows. Этот процесс называется Group Policy Update (актуализация групповой политики).
Параметры GPO обновляются при загрузке компьютера, входе пользователя в систему и автоматически обновляются в фоновом режиме каждые 90 минут случайное смещение времени 0–30 минут (это означает, что параметры политики обязательно будут применены к клиентам через 90–120 минут после обновления файлов GPO на контроллере домена).
По умолчанию контроллеры домена обновляют настройки GPO чаще: каждые 5 минут.
Как принудительно обновить удалённый объект групповой политики из консоли управления групповой политикой (gpmc)?
В Windows Server 2022 и новее вы можете обновлять параметры групповой политики на компьютерах домена удалённо, используя GPMC.msc (консоль управления групповой политикой).
В Windows 10 вам нужно будет установить RSAT, чтобы использовать консоль GPMC:
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools
Затем после изменения каких-либо параметров или создания и сопряжения нового объекта групповой политики достаточно щёлкнуть правой кнопкой мыши нужное организационное подразделение (OU) в консоли управления групповыми политиками и выбрать в контекстном меню пункт Group Policy Update («Обновление групповой политики»).
Затем GPO будет удалённо обновляться на каждом компьютере в OU один за другим, и вы получите результат со статусом обновления групповой политики на компьютерах Succeeded/Failed («Успешно / Не удалось»).
Эта функция создаёт задачу в Планировщике задач с помощью команды «GPUpdate.exe /force» для каждого вошедшего в систему пользователя на удалённом компьютере. Задача запускается в произвольный период времени (до 10 минут), чтобы снизить нагрузку на сеть.
Чтобы функция обновления удалённого объекта групповой политики GPMC работала на клиенте, должны быть выполнены следующие условия:
- TCP-порт 135 должен быть открыт в правилах брандмауэра Защитника Windows;
- Должны быть включены службы Windows Management Instrumentation and Task Scheduler («Инструментария управления Windows и планировщика задач»).
Если компьютер выключен или брандмауэр блокирует к нему доступ, то рядом с именем компьютера появляется сообщение ‘The remote procedure call was canceled. Error Code 8007071a‘ («Удалённый вызов процедуры был отменен. Сообщение с кодом ошибки 8007071a»).
Фактически, эта функция работает так же, как если бы вы обновили настройки GPO вручную с помощью команды «GPUpdate /force» на каждом компьютере.
