Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз я вам показал, как я делал досрочное погашение ипотеки Сбербанка, поделился свои жизненным опытом. Сегодня я хочу вас научить, как находить и диагностировать причины, по которым у вас может не применяться назначенная вами групповая политика к компьютеру или пользователю или целому организационному подразделению. Мы рассмотрим все этапы, через которые проходит происходит взаимодействие с GPO. Разберем утилиты, которыми должен владеть системный администратор в задачи которого входит создание и назначение политик. Уверен, что данный пост будет вам полезен и интересен.
За, что Active Directory от Microsoft получила такую популярность? Одним из ответов на данный вопрос, будет функционал групповой политики. Все администраторы, как и большинство современных людей, существа очень ленивые и любят, когда все централизованно управляется и по возможности автоматизированно. Именно объекты GPO, позволяют производить настройки десятков, сотен и тысяч компьютеров, из одного места и практически по всем направлениям, например добавление принтеров, скриптов входа, профилей WiFi и многое другое.
Очень частые ситуации, что системный администратор создал новую групповую политику, применил ее на нужный ему объект, но эффекта это не дало и нужно понять почему она не применилась и вот тут начинающие системные администраторы попадают в просак, не понимая, где и что нужно искать. Ниже мы с вами разберем алгоритм действий, который поможет вам найти причину и восстановить работу применения групповой политики на нужный объект.
К чему применяется групповая политика (GPO)
Первое, на что я хочу обратить внимание, это ответить, что делает групповая политика. Все мы прекрасно знаем, что операционная система Windows, это набор служб и ключей реестра. Все настройки, которые вы видите и меняете в графическом режиме, по сути меняют ключи реестра. Понимая, это сразу можно сделать вывод:
- что реестр есть как для объекта компьютер
- и реестр есть для объекта пользователь
Именно эту две сущности являются конечными объектами в политике GPO. В Active Directory объекты пользователей и компьютеров не лежат просто так, а располагаются в двух видах папок:
- Это контейнер – по сути простая папка, важно, что к ней нельзя применять объекты групповой политики.
- Второй тип, это организационные подразделения (OU) – это специальные папки для объединения объектов AD по принципам. Именно с OU связываются объекты групповой политики, для применения их к компьютерам и пользователям. Внешне контейнер отличается от организационной утилитой, тем что у OU, есть дополнительная лычка на значке, это показано на скриншоте.

Алгоритм устранения проблем с GPO
Предположим, что у меня есть групповая политика, которая применяется на организационное подразделение “Client Computers”. Политика называется “Управление UIPI”. По какой-то причине пользователь жалуется, что она у него не применилась.
Из информации, об области действия групповой политики, первое на что нужно обратить свое внимание, это находится ли объект пользователя или компьютера по нужному пути. Сделать, это просто в оснастке “Управление групповой политикой” найдите вашу политику и посмотрите к каким OU она применяется, это видно на вкладке “Область (Scope)”, ее еще называют областью действия политики. В моем случае, это путь root.pyatilistnik.org/Client Computers.

Так как Active Directory, это иерархическая структура, то одна OU можете быть часть дерева из других и сама включать в себя большое количество организационных подразделений. Поэтому если у вас есть вложенность, то просто зайдя в нужную OU вы можете сразу не найти нужный объект. В таком случае воспользуйтесь поиском по Active Directory. Например у меня есть рабочая станция с которой идут жалобы на применение объекта GPO. В поиске выбираем в поле “Найти” компьютеры и в имени указываем w10-cl01, после чего нажимаем “Найти”. В результатах поиска вы получите выдачу. Щелкаем по нужному объекту и переходим в нем на вкладку “Объект”, где смотрим “Каноническое имя объекта”, по сути это его путь расположения в Active Directory. Сравниваем его с тем, что получили из области применения групповой политики и делаем вывод, попадает объект под действие или нет.

Далее убедитесь, что у вас элементарно включена связь объекта групповой политики с нужным организационным подразделением. Для этого в оснастке управления GPO, щелкните правым кликом по нужной политике и в контекстном меню проверьте, что установлена галка “Связь включена”, ее так же можно проверить на вкладке “Область” в столбце “Связь задействована”, должно стоять значение “да”.

Следующим моментом необходимо проверить, что политика не отключена на определенный объект. Для этого перейдите на вкладку “Сведения” на нужной GPO. Нас интересует строка “Состояние GPO”. По умолчанию там стоит значение “Включено”, означающее, что политика будет пытаться примениться заданные в ней настройки к обоим типам объектов (Пользователю и компьютеру). Но может быть выставлено значение:
- Параметры конфигурации компьютера отключены (Computer configuration settings disabled)
- Все параметры отключены (All setting disabled) – запретит применение политики для любого объекта
Сделано, это для ускорения применения политики к объекты. Согласитесь, что если у вас в GPO настроены изменения только для пользователя, то нет смысла проверять политику для компьютера. Поэтому системные администраторы могут отключать это, но могут и ошибиться, выключив не тот объект
Выше я вам писал, что структура OU иерархическая, а это означает, что политика прилинкованная с вышестоящего организационного подразделения применяется на нижестоящее. Но вот если у нижестоящей OU отключено наследование сверху, то он не сможет применить данную политику. Проверяется очень просто, найдите нужную вам OU, щелкните по ней правым кликом и удостоверьтесь, что не стоит пункт “Блокировать наследование”.

Он кстати будет иметь характерный значок с восклицательным знаком. Данный механизм создан специально, чтобы изолировать данную OU от ненужных политик GPO.

Проверка прав на политику
Объекты групповой политики, так же имеют свой ACL (лист доступа), это означает, что вы можете более тонко настраивать к каким объектам применяется данная политика. В редакторе “Управление групповой политикой” выберите ваш GPO. На вкладке “Область” найдите раздел “Фильтры безопасности”, он отображает к каким объектам применяется политика. Данный фильтр безопасности может включать объекты:
- Пользователь
- Компьютер
- Группа безопасности

Если у вас тут выставлена другая группа или отдельные записи, то убедитесь, что нужный объект состоит в данном ACL. Хочу отметить, что если даже нужный объект присутствует в списке фильтра безопасности, то это не означает, что политика к нему применяется и тут дело все в том, что в 2014 году Microsoft изменила принцип чтения политики, таким образом, что у вас в делегированном фильтре безопасности обязательно должна присутствовать группа “Компьютеры домена” или “Прошедшие проверку” у которой должны быть прав на чтение политики. Вся соль в том, что когда вы удаляете группу “Прошедшие проверку” из фильтра безопасности, она удаляется и из вкладки делегирование.
Чтобы параметры групповой политики для пользователя успешно применялись, она требует наличия у каждой учетной записи компьютера разрешения на считывание данных GPO из контроллера домена. Удаление группы “Прошедшие проверку” может предотвратить обработку групповых политик для пользователя. добавьте группу безопасности “Пользователи, прошедшие проверку подлинности” или “Компьютеры домена”, у которой есть по крайней мере разрешение только для чтения (https://support.microsoft.com/en-us/kb/316622)

Поэтому перейдите на вкладку “Делегирование” и проверьте наличие любой из групп “Прошедшие проверку” или “Компьютеры домена” и, что есть права на чтение. Если групп нет, то добавьте любую из них. Для этого нажмите кнопку “Дополнительно”, далее добавить и выберите “Прошедшие проверку”.

Удостоверьтесь, что выставлена галка “Чтение”.

Тут же убедитесь, что нет запретов на нужный вам объект, в моем примере, это W10-CL03. Если есть снимите.

Обратите внимание на группу “КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ (Enterprise Domain Controllers)” данная группа определяет, будет ли происходить репликация данной политики на другие контроллеры или нет, так что если политика отсутствует в папке SYSVOL на других контроллерах, то проверьте права у данной группы.

Еще одним механизмом фильтрации групповой политики, может выступать WMI фильтры. Если они есть и ваш объект не соответствует его требованиям, то вы не сможете применить политику. Посмотреть, это можно в соответствующем разделе. В моем примере есть WMI фильтр для ноутбуков, который не даст применения политики на стационарные компьютеры. Подробнее, о создании WMI фильтров и механизме проверки WMI фильтров, читайте по ссылкам. Ниже я покажу, как на конечном компьютере увидеть, что он не подошел из-за фильтрации GPO по WMI.

Инструменты диагностики групповой политики
Выше мы разобрали возможные места, где могла быть проблема, но по мимо них еще есть несколько инструментов, которые могут дать системному администратору информацию, о причинах, которые мешают применению GPO к нужному объекту.
Существуют три инструмента, которые вам покажут информацию, о применяемых политиках на объекты:
- Утилита командной строки gpresult
- Утилита rsop
- Моделирование групповой политики в оснастке gpmc.msc
- Результаты групповой политики
Диагностика GPO через gpresult
Gpresult первое средство, которое позволит системному администратору определить на каком этапе есть проблемы с выполнением GPO. Откройте на клиентском компьютере или ноутбуке командную строку от имени администратора и введите команду:
В моем примере у меня есть политика для компьютера “Управление UIPI”, поэтому я воспользуюсь gpresult для компьютера. Выполнив gpresult /r /scope:computer я вижу, что моя политика не применилась и числится в списке “Следующие политики GPO не были применены, так как они отфильтрованы”. Фильтрация отказано в доступе (Безопасность). Из этого видно, что у компьютера просто нет прав на чтение политики.

Так же в логах Windows вы можете обнаружить событие с кодом ID 5313:
Код 5313: Следующие объекты групповой политики не были применены, так как они были отфильтрованы:
Local Group Policy Не применяется (пусто) Управление UIPI Отказано (безопасность)

А вот пример 5313, но с уже WMI фильтром:
Local Group Policy Не применяется (пусто) Управление UIPI Отказано (фильтр WMI)

Я для исключаю его из запрета применения и пробую новую попытку применения политики. Я делаю для начала обновление групповой политики через gpupdate /force и затем снова выполняю команду gpresult /r /scope:computer, где теперь вижу, что политика не применилась из-за WMI фильтра. Теперь уже понятно куда копать.

Получение данных GPResult с удаленного компьютера GPResult /s server01 /r, поможет администратору или технической поддержке собрать диагностические данные. Аналогичные действия вы можете выполнять и для пользователя, тут все аналогично. Теперь воспользуемся утилитой RSOP. Откройте окно выполнить и введите rsop.msc.

Начнется сбор применяемых политик.

По результатам, у вас откроется окно результирующей политики. Похожее на то, где вы редактируете политику GPO. Тут вы можете перемещаться по веткам и смотреть текущие значения.
Но это не удобно и мы можем совместить две утилиты gpresult и Resultant Set of Policies (RSoP), получив выгодный симбиоз. В командной строке введите:
GPResult /h c:
eport.html /f
На выходе вы получите удобный html отчет, о всех примененных или отфильтрованных политиках. Открыв отчет, вы легко поймете ,какие политики были применены, а какие нет и можете сразу посмотреть значения настроек.

Результаты групповой политики
В оснастке GPMC есть возможность посмотреть какие политики применяются к нужному объекту групповой политики. Данный мастер называется “Результат моделирования групповой политики”. Щелкаем по нему правым кликом и открываем мастер.

Выбираем нужный компьютер, к которому мы хотим проверить применение политики.

Если в момент добавления компьютера у вас выскочит ошибка “Сервер RPC-недоступен”, то проверьте, что у вас запущена на нем служба WMI и в брандмауэре открыты порты для подключения к ней.

Так как я проверяю GPO для компьютера, то мне нет смысла отображать политику для пользователей.

Нажимаем далее. У вас появится отчет. Раскрыв его на вкладке “Сведения” вы увидите, какие политики применены, а какие нет.

Раскрыв подробнее политику, которая не смогла примениться, я вижу, что причиной всему был WMI фильтр.

Последним удобным инструментом диагностики и моделирования групповой политики, выступает функционал GPMC, под названием “Моделирование групповой политики”. В задачи которого входит проверка применения политики в существующей ситуации, так и просто тест без реальной прилинковки к OU, указав нужный объект. В оснастке GPMC выберите пункт “Моделирование групповой политикой” и щелкните по нему правым кликом, выбрав “Мастер моделирования групповой политики”.

На первом шаге мастера моделирования групповой политики, будет простое уведомление, что к чему, нажимаем далее.

Далее вам будет предложен выбор, дабы указать нужный контроллер домена.

Теперь выбираем нужную OU, для которой мы будем тестировать групповую политику. Делается все через кнопку “Обзор”. Я выбрал “Client Computers”


На следующем шаге мастера моделирования групповой политики, вам предоставят сэмулировать таки параметры:
- Медленное сетевое подключение, меньше 500 кб/с
- Обработка петлевого адреса (Замыкание групповой политики – loopbacl policy) – это опция когда вы применяете для OU в которой находятся компьютеры, например терминальные сервера, политики для пользователя. Делается это для того, чтобы политики применяемые к пользователю на его рабочей станции или другом сервере от тех, что в данной OU. Можете подробно почитать, что такое замыкание групповой политики.
- Выбор сайта.

Указываем в какой группе находится наш объект, к которому будет применяться политика.

далее вы можете применить любой из фильтров WMI, который вы хотите тестировать.


В итоге мы получаем результат моделирования групповой политики, тут можно посмотреть, что применилось, что нет.

На этом у меня все. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org. Надеюсь, что статья оказалась полезной.
In this article we will show how to update Group Policy (GPO) settings on Windows computers in an Active Directory domain: how to update (refresh) Group Policies automatically, how to use the GPUpdate command, how to update them remotely using the Group Policy Management Console (GPMC.msc) or the Invoke-GPUpdate PowerShell cmdlet.
How to Change Group Policy Refresh Interval?
By default, domain controllers update GPO settings more often: every 5 minutes.
- This setting allows you to customize how often Group Policy is applied to computers (0 to 44640 minutes) how often the client should refresh the GPO settings in the background. If you set 0 here, the policies will be updated every 7 seconds (it is not worth to do it);
- This is a random time added to the refresh interval to prevent all clients from requesting Group Policy at the same time (0 to 1440 minutes) is a maximum value of a random time interval added as an offset to the previous parameter (used to reduce the number of simultaneous client calls to the DC to download GPO files).

Note that frequent GPO update results in the growth of traffic to the domain controllers and leads to higher network load.
Using GPUpdate. exe Command to Force Refresh GPO Settings
A simple gpudate command without any parameters only applies new and changed GPO settings.

or only the computer’s policy settings:
Or restart a computer (if the GPO changes can only be applied when Windows boots):
How to Force a Remote GPO Update from the Group Policy Management Console (GPMC)?
In Windows Server 2012 and newer, you can update Group Policy settings on domain computers remotely using the GPMC.msc (Group Policy Management Console).
In Windows 10, you will have to install the RSAT to use the GPMC console:
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Then after changing any settings, or creating and linking a new GPO, it is enough to right-click the Organizational Unit (OU) you want in the GPMC and select Group Policy Update in the context menu. In a new window, you will see the number of computers GPO will be updated on. Confirm the force update of the policies by clicking Yes.

Then the GPO will be remotely updated on each computer in the OU one by one, and you will get the result with the group policy update status on the computers (Succeeded/Failed).
- TCP Port 135 must be open in Windows Defender Firewall rules;
- Windows Management Instrumentation and Task Scheduler services must be enabled.
Actually, the feature works the same as if you have updated GPO settings manually using the GPUpdate /force command on each computer.

Force Remote Group Policy Update via PowerShell
If you run the Invoke-GPUpdate cmdlet without any parameters, it will update the GPO settings on the current computer (like gpudate.exe).
Together with the Get-ADComputer cmdlet, you can update GPO on all computers in a specific OU:
or on all computers meeting the specific requirement (for example, on all Windows Server hosts in a domain):
You can set a random offset to update GPO using RandomDelayInMinutes. Thus, you can reduce the network load if you update Group Policy setting on multiple computers simultaneously. To apply the Group Policy settings immediately, the RandomDelayInMinutes 0 parameter is used.
Invoke-GPUpdate: Computer “frparsrv12” is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.

This is a question our experts keep getting from time to time. Now, we have got the complete detailed explanation and answer for everyone, who is interested!
Asked by: Miss Izabella Hane
How force group policy update
- Press Windows key + X or right-click on the start menu.
- Select Windows PowerShell or Command Prompt.
- Reboot your computer. A reboot is necessary to be sure that all settings are applied.
What is Gpupdate command?
Gpupdate is a command-line utility from Microsoft that comes with all versions of the Windows operating system. It’s a utility that controls the application of group policy objects (GPOs) on assigned Active Directory computers.
How do I change Windows Update GPO?
Change the Group Policy
How do I change my configured update policies?
- Double-click Windows Components.
- Scroll down to Windows Updates.
- Look for Configure Automatic Updates.
How do I change the configured update policy in Windows 10?
- Open Settings, and click/tap on the Update & security icon.
- You will now see a list of Policies set on your device that affect Windows Update. (
45 related questions found
What does Gpupdate fix?
The gpupdate command refreshes a computer’s local Group Policy, and any Active Directory-based group policies.
Where is Gpupdate?
Gpupdate.exe is developed by Microsoft Corporation. It’s a system and hidden file. Gpupdate.exe is usually located in the %SYSTEM% sub-folder and its usual size is 57,344 bytes.
How often is Gpupdate?
As we mentioned earlier, by default, Group Policy is updated in the background every 90 minutes, with a random offset of 0 to 30 minutes. But if you Enable this setting, you can specify an update rate from 0 to 64,800 minutes or 45 days.
How often does Group Policy push?
By default, Group Policy updates every 60 to 120 minutes, as well as during system startup. The most efficient way to ensure faster application of Group Policy changes is to change how frequently the client checks with a domain controller.
How often does computer policy apply?
Policy can be optionally reapplied on a periodic basis. By default, policy is reapplied every 90 minutes. To set the interval at which policy will be reapplied, use the Group Policy Object Editor.
How often are group policy objects updated on domain controller?
Open the Group Policy Editor from the “Run” Window
You can also quickly launch the Group Policy Editor with a Run command. Press Windows+R on your keyboard to open the “Run” window, type gpedit. msc , and then hit Enter or click “OK.”
How do I find Group Policy settings on a client machine?
In fact, running GPUPdate /force on a large number of computers can be damaging to your career. This is because these machines will hit a domain controller and reevaluate every GPO applicable to them.
What’s the difference between GPUpdate and GPUpdate force?
What is the Difference Between GPUpdate and GPUpdate /force? The gpupdate command applies only changed policies, and the GPUpdate /force command reapplies all client policies—both new and old (regardless of whether they have been changed). In most cases, you need to use gpupdate to update the policies on the computer.
Option 1: Open Local Group Policy Editor in Run
Press Win + R on the keyboard to open the Run window. In the Open field type “gpedit. msc” and press Enter on the keyboard or click OK.
How do I run Gpupdate force?
- Step 2) Run gpupdate /force.
- Step 3) Restart Your Computer. When the update has finished, you should be presented with a prompt to either logoff or restart your computer.
How do I run Gpupdate force remotely?
gpupdate /force The /force will force all policies to update not just the new ones. Now, if you have a bunch of computers that need updated it would be a pain to log into each one and run this command. To run this on a remote computer you can use the PsExec command from the Sysinternals toolset.
How do I run Gpupdate force on startup?
To force a GPO to be applied, take these simple steps:
- Open.
- Link the GPO to an OU.
- Right-click the OU and choose the “Group Policy Update” option.
- Confirm the action in the Force Group Policy Update dialog by clicking “Yes”.
What is the refresh interval for Group Policy?
Windows periodically refreshes group policy settings throughout the network. On client computers, this is done by default every 90 minutes, with a randomized offset of plus or minus 30 minutes.
What updates all the policies from domain controller to all the clients?
The remote Group Policy refresh updates all Group Policy settings, including security settings that are set on a group of remote computers, by using the functionality that is added to the context menu for an OU in the Group Policy Management Console (GPMC).
Forcing a Group Policy Update
In Windows XP and later, Fast Boot, Software Distribution and Folder Redirection are enabled by default, so settings are processed only at the next logon time. If you use the right switches, gpupdate can figure out if newly changed items require a logoff or reboot to be active:
Both the /Logoff and /boot switches are optional.
Other options are available in conjunction with /force, including:
- /Sync — Change the foreground (startup/logon) processing to synchronous.
- /Boot — Restart the machine after the Group Policy settings are applied.
Forcing a Group Policy Update using the Group Policy Management Console
- Open
- Link the GPO to an OU.
- Right-click the OU and choose the “Group Policy Update” option.
- Confirm the action in the Force Group Policy Update dialog by clicking “Yes”.
Forcing a Group Policy Update using PowerShell
Since Windows Server 2012, you can force a Group Policy refresh using the PowerShell cmdlet Invoke-GPUpdate. This command can be used for Group Policy remote update of Windows client computers. You will need to have both PowerShell and the Group Policy Management Console installed.
Here is an example of using this cmdlet to force an immediate Group Policy update on a particular computer:
Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0
If you want to force an update on all computers, run these commands:
This code will get all computers from the domain, put them into a variable and run the commands for each object.
GPO Background Refresh
All Group Policy clients process GPOs when the background refresh interval comes to pass — but they process only those GPOs that are new or have changed since the last time the client requested them.
However, for security settings, the Group Policy engine works differently. It asks for a special background refresh just for security policy settings. This is called the background security refresh and is valid for every version of Windows Server. Every 16 hours, each Group Policy client asks Active Directory about all the GPOs that contain security settings (not just the ones that have changed) and reapplies those security settings. This ensures that if a security setting has changed on the client (behind the Group Policy engine’s back), it’s automatically reverted to the proper setting within 16 hours.
Background Refresh Process for Local GPOs
As described above, the background security refresh updates all security-related policy settings every 16 hours. But sometimes you also need to force non-security settings to be applied, even if the GPOs on the servers haven’t changed in order to fix exploits that aren’t specifically security related.
- Internet Explorer Maintenance
- IP Security
- EFS Recovery Policy
- Wireless Policy
- Disk Quota
- Scripts
- Security
- Folder Redirection
- Software Installation
- Wired Policy
Conclusion
If you are running Windows 10 Pro, Enterprise, or Education edition, you can use the Local Group Policy Editor app to configure the options with a GUI.
Local Group Policy editor can be launched by typing gpedit.msc in the Run dialog.


By default, Group Policy is updated when the system starts. Additionally, Group Policy options are updated in the background every 90 minutes + a random offset of the 0 to 30 minute interval.
It is possible to apply the changes immediately without waiting for the automatic policy update process. This can be done manually with the help of the built-in tool gpupdate. It can also be useful when you need to apply certain group policies configured with a Registry tweak without having to restart the local computer. Here is how it can be done.
- Open an elevated command prompt.
- To force update all policies, run the command: gpupdate /force

- Open an elevated command prompt.
- To force update only the changed Computer policies, issue the command gpupdate /target:computer.
- To force update all Computer policies, issue the command gpupdate /target:computer /force.
Winaero greatly relies on your support. You can help the site keep bringing you interesting and useful content and software by using these options:
Post navigation
If you want to force a Group Policy Update in Windows 11/10, you will have to make use of the built-in GPUPDATE.exe command-line tool. This tool lets you refresh Group Policy manually. In this post, we will show you how to run gpupdate /force on Windows 11/10 to force Group Policy Update.

By default Group Policy gets updated in the background every 90 minutes, after a change is recorded in the Active Object. But you can change the Group Policy Refresh Interval or refresh it manually.
How to run gpupdate /force on Windows 11/10
To force refresh or update all policies, run the command, and hit Enter:
This post will help you if GPUpdate Force is not working.
Force a Remote Group Policy Refresh
In Windows 11/10/8, you can remotely refresh Group Policy settings by using the Group Policy Management Console (GPMC).
Alternatively, you can use the Invoke-GPUpdate Windows PowerShell cmdlet to refresh Group Policy for a set of computers.
I hope you find this small tip useful.
How do I run Gpupdate force on Windows 11?
TIP: This post will show you how to disable Group Policy Refresh while the computer is in use.
In addition to the Group Policy Management Console (GPMC), Microsoft provides a set of Windows PowerShell cmdlets you can use to manage Group Policy. To use the Group Policy PowerShell cmdlets, you must have GPMC installed on the device where you will run the cmdlets. To check if the Group Policy PowerShell module is installed on a device, run the command below, which will display all the available Group Policy cmdlets available if the module is installed.
Get-Command -Module GroupPolicy
Creating a New Group Policy Object
Let’s start by creating a new Group Policy object (GPO). The command below creates a new GPO called ‘Netwrix PCs’ and adds a comment to describe its purpose:
New-GPO -Name “Netwrix PCs” -Comment “Client settings for Netwrix PCs”
New-GPO -Name “Netwrix PCs” -StarterGPOName “Windows 10 MS Security Settings”
You can optionally link the GPO to a domain, domain controller’s organizational unit (OU) or site using piping. The command below creates a new GPO and links it to the Clients OU in the ad.contoso.com domain:
To unlink a GPO, use the Remove-GPLink cmdlet:
Remove-GPLink -Name “Netwrix PCs” -Target “ou=clients,dc=ad,dc=contoso,dc=com”

Figure 1. How to link and unlink a GPO
Getting Information about a GPO
Once a GPO is created, you can use Get-GPO to return information like GPO status, creation time and last modification time:
Get-GPO -Name “Netwrix PCs”
If you want more information, pipe the object created by Get-GPO to Get-GPOReport. The script below creates an HTML report that gives information about the GPO similar to what you might see in the Group Policy Management Console:

Figure 2. HTML report with detailed data about a specific GPO
Configuring Group Policy Settings
To get detailed information about a registry key configured in a GPO, use Get-GPRegistryValue:
Get-GPRegistryValue -Name “Netwrix PCs” -Key “HKCUSoftwarePoliciesMicrosoftWindowsControl PanelDesktop”

Figure 3. How to get detailed information about a registry key configured in a GPO
To remove a registry setting from a GPO, use Remove-GPRegistryValue:
Remove-GPRegistryValue -Name “Netwrix PCs” -Key “HKCUSoftwarePoliciesMicrosoftWindowsControl PanelDesktop” -ValueName ScreenSaveTimeOut
The three cmdlets above have Group Policy Preference equivalents if you decide to use Preferences instead of Policies to set registry keys: Set-GPPrefRegistryValue, Get-GPPrefRegistryValue, and Remove-GPPrefRegistryValue.
Applying Group Policy Settings
Get-GPResultantSetOfPolicy -Computer dc1 -ReportType HTML -Path c:tempdc1rsop.html
PowerShell cmdlets can be quite useful for managing Group Policy. However, configuring settings inside GPOs using PowerShell isn’t easy because Group Policy settings weren’t designed with text-based configuration in mind.
IT consultant and author specializing in management and security technologies. Russell has more than 15 years of experience in IT, he has written a book on Windows security, and he coauthored a text for Microsoft’s Official Academic Course (MOAC) series.
После изменения любых настроек групповых политик с помощью локального редактора GPO (gpedit.msc) или доменного редактора политик (gpmc.msc), новые настройки политик применяются к пользователю (или компьютеру) не сразу. Вы можете дождаться автоматического обновления политик (придётся ждать до 90 минут), либо можете обновить и применить политики вручную с помощью команды GPUpdate. Команда GPUpdate используется для принудительного обновления групповых политик компьютера и/или пользователя.
Совет. В Windows 2000 для ручного обновления групповых политик использовалась команда secedit /refreshpolicy. В следующих версиях Windows она была заменена утилитой GPUpdate.
Полный синтаксис команда gpupdate выглядит так:

При запуске команды gpupdate без параметров выполняется обновление только новыех и изменённых настроек политик пользователя и компьютера

Вы можете обновить только политики пользователя или только политики компьютера с помощью параметра /target. Например:
Для принудительного обновления настроек групповых политик используется команда GPUpdate /force. В чем разница между GPUpdate и GPUpdate /force?
Команда gpupdate применяет только измененные политики, а команда GPUpdate /force заново переприменяет все политики клиента — и новые и старые (вне зависимости от того, были ли они изменены).
В большинстве случаев для обновления политик на компьютере нужно использовать gpupdate. В больших доменах Active Directory частое использование ключа /force при обновлении GPO вызывает большую нагрузку на контроллеры домена (т.к. компьютеры запрашивают заново все нацеленные на них или на пользователей политики).
Как мы уже говорили ранее групповые политики обновляются автоматически каждые 90 минут или во время загрузки компьютера. Поэтому в большинстве случае использование опции gpupdate /force не оправдано (особенно в различных скриптах) из-за высокой нагрузки на клиентские компьютеры, контроллеры домена и каналы передачи данных. Не стоит часто использовать параметр /force для принудительного обновления натсроек политик у клиентов, подключенных по медленным и нестабильным каналам передачи.
Вы можете добавить задержку (до 600 секунд) при обновлении политик с помощью параметра /wait:
Т.к. некоторые политики пользователя нельзя обновить в фоновом режиме, а только при входе пользователя в систему (установка программ, перенаправление папок и т.д.), вы можете выполнить logoff для текущего пользователя командой:
gpupdate /logoffНекоторые настройки политик компьютера могут применится только при загрузке Windows, поэтому вы можете инициировать перезагрузку компьютера с помощью параметра /Boot:
gpupdate /BootПараметр /Sync указывает, что следующее применение политики должно выполняться синхронно. Активные применения политики происходят при перезагрузке компьютера или при входе пользователя в систему.
В PowerShell 3.0 был добавлен командлет Invoke-GPUpdate, который можно использовать для обновления политик на удаленных компьютерах. Например, следующая команда запустит удаленное обновление групповых политик на компьютере msk-PC-1-22:
Invoke-GPUpdate -Computer msk-PC-1-22 -Force
Вы можете удаленно запустить принудительное обновление политик на всех компьютерах в указанном OU Active Directory с помощью команд:
Параметры групповой политики в Windows позволяют пользователям настраивать и изменять важные параметры системы в соответствии со своими предпочтениями. Однако любые изменения, внесенные в параметры групповой политики, не вступят в силу, пока эти параметры не будут обновлены.
К счастью, в Windows легко обновить параметры групповой политики. Вы также можете настроить частоту автоматического обновления настроек в соответствии с вашими потребностями. Проверять Как использовать групповую политику для настройки меню Пуск Windows.
Хотя параметры групповой политики автоматически обновляются через заданные интервалы времени, могут возникнуть ситуации, когда вы захотите обновить эти параметры вручную, чтобы получить немедленную реализацию. К счастью, для обновления параметров групповой политики требуется только запуск одной команды в командной строке. Ниже приведены шаги, которые вы должны выполнить.
- Нажмите на Win + S чтобы открыть меню поиска.
- Тип CMD в поле и выберите Запустить от имени администратора.
- Найдите نعم При появлении запроса контроля учетных записей (UAC).
- В окне вставьте следующую команду и нажмите Enter.

Если вы хотите обновить параметры групповой политики и перезагрузить компьютер, используйте вместо этого следующую команду.
Вы также можете отдельно обновить политики пользователей и компьютеров. Если вы просто хотите обновить политики компьютеров, введите следующую команду:
gpupdate /target:computer /force
Точно так же, если вы просто хотите обновить пользовательские политики, введите эту команду:
Как использовать командную строку? Смотрите наше руководство о Как освоить командную строку в Windows.
Как изменить интервал автоматического обновления групповой политики в Windows
По умолчанию групповая политика обновляется в фоновом режиме каждые 90 минут со случайным смещением от 0 до 30 минут. Однако вы можете увеличить или уменьшить интервал обновления в соответствии с вашими требованиями.
Существует два способа изменить интервал обновления групповой политики в Windows. Вы можете использовать редактор групповой политики или редактор реестра для реализации этого изменения.
Во-первых, давайте посмотрим, как можно изменить интервал автоматического обновления групповой политики с помощью редактора групповой политики.
- Нажмите на Win + R Чтобы открыть диалоговое окно «Выполнить».
- Справа дважды щелкните Политика Установите интервал обновления групповой политики для компьютеров..
- Найдите Может быть.
- Установите частоту обновления до 44640 31 минут (XNUMX день).
- Нажмите تطبيق затем Ok.

Например, если вы введете ноль минут, компьютер будет пытаться обновлять групповую политику каждые семь секунд. Однако это может замедлить работу вашей системы. Поэтому убедитесь, что вы выбрали разумный период обновления.
Кроме того, вы можете изменить интервал обновления групповой политики с помощью редактора реестра. Если вы используете этот метод, обязательно сделайте резервную копию всех файлов журналов или создайте точку восстановления системы, прежде чем продолжить.
- Нажмите кнопку поиска на панели задач, чтобы открыть меню поиска.
- Найдите نعم При появлении запроса контроля учетных записей (UAC).
- Дважды щелкните только что созданное значение DWORD и введите интервал обновления (в минутах) в поле «Значение».
- Нажмите Ok.

Перезагрузите компьютер после выполнения вышеуказанных действий. После этого интервал обновления групповой политики будет изменен.
Обновить параметры групповой политики в Windows
Как мы только что видели, обновить редактор групповой политики в Windows очень просто. Теперь, когда вы знаете, как вручную обновлять параметры групповой политики, почему бы не проверить некоторые полезные параметры групповой политики, которые могут сделать ваш компьютер лучше? Вы можете просмотреть сейчас Лучшие параметры групповой политики, которые нужно изменить для управления Windows.
После изменения любого параметра групповой политики с помощью локального редактора объекта групповой политики (gpedit.msc) или редактора политики домена (gpmc.msc) новый параметр политики не сразу применяется к пользователю / компьютеру.
Вы можете подождать автоматического обновления объекта групповой политики (до 90 минут) или вы можете обновить и применить политики вручную с помощью команды GPUpdate.
Команда GPUpdate используется для принудительного обновления параметров политики компьютера и / или группы пользователей.
Заметка. Команда secedit/refreshpolicy использовалась в Windows 2000 для ручного обновления групповых политик. В следующих версиях Windows она была заменена утилитой GPUpdate.
Полный синтаксис инструментов gpupdate выглядит следующим образом:

Когда вы запускаете команду gpupdate без параметров, применяются только новые и измененные параметры политики пользователя и компьютера.

Computer Policy update has completed successfully.
Обновлять политики пользователей или компьютеров можно только с помощью параметра /target. Например,
Для принудительного обновления параметров групповой политики вы можете использовать команду GPUpdate /force.
В чем разница между GPUpdate и GPUpdate / force?
Команда gpupdate применяет только измененные политики, а команда GPUpdate / force повторно применяет все клиентские политики – как новые, так и старые (независимо от того, были ли они изменены).
В большинстве случаев вам нужно использовать gpupdate для обновления политик на компьютере.
В больших доменах Active Directory частое использование параметра / force при обновлении объектов групповой политики создает большую нагрузку на контроллеры домена (поскольку компьютеры повторно запрашивают все политики, нацеленные на них или пользователей).
Как мы уже говорили ранее, групповые политики обновляются автоматически каждые 90 минут или во время запуска компьютера.
Поэтому в большинстве случаев не следует использовать команду gpupdate / force (особенно в различных сценариях) из-за высокой нагрузки на клиентские компьютеры и контроллеры домена.
Вы можете добавить задержку (до 600 секунд) перед обновлением политик с помощью параметра / wait:
Поскольку некоторые пользовательские политики не могут быть обновлены в фоновом режиме, а только при входе пользователя в систему (установка программ, перенаправление папок и т. д.), вы можете выйти из системы для текущего пользователя с помощью команды:
Некоторые параметры политики компьютера могут применяться только при запуске, поэтому вы можете запустить перезагрузку компьютера с помощью параметра /Boot:
Параметр /Sync указывает, что следующее приложение политики должно выполняться синхронно.
Активное применение политики происходит, когда компьютер перезагружается или когда пользователь входит в систему.
Командлет Invoke-GPUpdate был добавлен в PowerShell 3.0, который можно использовать для обновления политик на удаленных компьютерах.
Например, следующая команда запустит обновление удаленной групповой политики на компьютере ПК1:
Invoke-GPUpdate -Computer PC1 -Force




