Как обновить политику домена на компьютере
Обновлено: 21.11.2024
Представьте, что вам звонит специалист по безопасности, который управляет вашими брандмауэрами и прокси-серверами. Он сообщает вам, что добавил дополнительный прокси-сервер для пользователей, выходящих в Интернет. Вы добавляете новый объект групповой политики, который влияет на всех пользователей, чтобы они могли использовать новый прокси-сервер через Internet Explorer. Обычно для применения нового объекта групповой политики требуется от 90 до 120 минут, но вам нужно, чтобы новые настройки были применены прямо сейчас, и вы не можете попросить своих пользователей выйти из системы и снова войти в систему, чтобы применить их. В таких случаях вы можете обойти обычное время ожидания перед запуском фоновой обработки политик. Это можно сделать с помощью командной строки, консоли управления групповыми политиками (GPMC) или PowerShell.
Принудительное обновление групповой политики с помощью командной строки
Ваш первый вариант — запустить простую команду, которая сообщает клиенту пропустить обычный интервал фоновой обработки и обновить все новые или измененные объекты групповой политики с сервера прямо сейчас. Однако вы должны физически подходить к каждому пользовательскому компьютеру и вводить команду gpupdate, тем самым вручную обновляя объект групповой политики вместе с любыми другими новыми или измененными объектами групповой политики.
Обратите внимание, что выполнение команды gpupdate без параметров обновит обе половины объекта групповой политики — пользователь и компьютер. Чтобы обновить только одну или другую половину, используйте следующий синтаксис:
gpupdate /Цель:Компьютер, /Цель:Пользователь
Запуск gpupdate, когда пользователь вошел в систему, немедленно предоставляет Windows новые настройки объекта групповой политики (при условии, конечно, что контроллер домена имеет реплицированную информацию объекта групповой политики).
В Windows XP и более поздних версиях по умолчанию включены быстрая загрузка, распространение программного обеспечения и перенаправление папок, поэтому настройки обрабатываются только при следующем входе в систему. Если вы используете правильные переключатели, gpupdate может выяснить, требуют ли новые измененные элементы выхода из системы или перезагрузки, чтобы быть активными:
- Запуск gpupdate с параметром /Logoff позволит выяснить, требует ли изменение политики в Active Directory выхода пользователя из системы. Если нет, новые настройки применяются немедленно; в этом случае пользователь автоматически выйдет из системы, и при повторном входе в систему будут применены параметры групповой политики.
- Аналогичным образом, если включена быстрая загрузка, для применения объектов групповой политики с настройками распространения программного обеспечения требуется перезагрузка. Запуск gpupdate с параметром /boot определит, есть ли в политике что-то, требующее перезагрузки, и автоматически перезагрузит компьютер. Если обновленный объект групповой политики не требует перезагрузки, применяются параметры объекта групповой политики, и пользователь остается в системе.
Переключатели /Logoff и /boot являются необязательными.
До сих пор обсуждение касалось только новых объектов групповой политики и изменений в существующих. Однако иногда может потребоваться применить к компьютеру все объекты групповой политики — не только новые или измененные, но и старые. В этом случае вам нужно использовать переключатель /force с gpupdate следующим образом:
В сочетании с /force доступны и другие параметры, в том числе:
- /Logoff — выход пользователя из системы после обновления параметров групповой политики.
- /Sync — изменение приоритетной обработки (запуск/вход в систему) на синхронную.
- /Boot — перезагрузите компьютер после применения параметров групповой политики.
Принудительное обновление групповой политики с помощью консоли управления групповыми политиками
В качестве альтернативы инструментам командной строки вы можете принудительно обновить групповую политику с помощью консоли управления групповыми политиками (GPMC). Консоль управления групповыми политиками входит в состав каждого Microsoft Windows Server, начиная с Windows Server 2008; вы также можете получить его, установив средства удаленного администрирования сервера (RSAT).
Чтобы принудительно применить объект групповой политики, выполните следующие простые действия:
- Открыть
- Связать объект групповой политики с организационной единицей.
- Нажмите правой кнопкой мыши на подразделение и выберите параметр "Обновление групповой политики".
- Подтвердите действие в диалоговом окне «Принудительное обновление групповой политики», нажав «Да».
Принудительное обновление групповой политики с помощью PowerShell
Начиная с Windows Server 2012, вы можете принудительно обновить групповую политику с помощью командлета PowerShell Invoke-GPUpdate. Эту команду можно использовать для удаленного обновления групповой политики клиентских компьютеров Windows. Вам потребуется установить как PowerShell, так и консоль управления групповыми политиками.
Вот пример использования этого командлета для принудительного немедленного обновления групповой политики на конкретном компьютере:
Параметр RandomDelayMinutes 0 обеспечивает мгновенное обновление политики. Единственным недостатком использования этого параметра является то, что пользователи увидят всплывающее окно с командной строкой.
Если вы хотите принудительно обновить все компьютеры, выполните следующие команды:
Этот код получит все компьютеры из домена, поместит их в переменную и запустит команды для каждого объекта.
Обновление фона GPO
Все клиенты групповой политики обрабатывают объекты групповой политики по истечении интервала фонового обновления, но они обрабатывают только те объекты групповой политики, которые являются новыми или изменились с момента последнего запроса клиента.
Однако для параметров безопасности механизм групповой политики работает иначе. Он запрашивает специальное фоновое обновление только для настроек политики безопасности. Это называется фоновым обновлением безопасности и действует для каждой версии Windows Server. Каждые 16 часов каждый клиент групповой политики запрашивает у Active Directory все объекты групповой политики, содержащие параметры безопасности (а не только измененные), и повторно применяет эти параметры безопасности. Это гарантирует, что если параметр безопасности был изменен на клиенте (за спиной механизма групповой политики), он автоматически вернется к правильному параметру в течение 16 часов.
Процесс фонового обновления для локальных объектов групповой политики
Если пользователи являются локальными администраторами своих компьютеров с Windows, они имеют полный контроль над процессами механизма групповой политики и могут вносить изменения в локальные политики — изменения, которые могут аннулировать политику, установленную вами с помощью объекта групповой политики, в том числе система, которую не следует менять. Чтобы избежать этой проблемы, вы должны предоставить учетные записи локального администратора только некоторым привилегированным пользователям, которые не могут работать с правами локального администратора, или предоставить права локального администратора только тем приложениям, которые должны запускаться привилегированными пользователями. Ни в коем случае нельзя давать обычным пользователям административные права.
Обязательное повторное применение параметров групповой политики, не связанных с безопасностью
Как описано выше, фоновое обновление безопасности обновляет все параметры политики, связанные с безопасностью, каждые 16 часов. Но иногда вам также необходимо принудительно применить параметры, не связанные с безопасностью, даже если объекты групповой политики на серверах не изменились, чтобы исправить эксплойты, не связанные конкретно с безопасностью.
Вы можете разрешить повторное применение следующих областей групповой политики во время каждой начальной обработки политики и фонового обновления:
- Реестр (административные шаблоны)
- Техническое обслуживание Internet Explorer
- IP-безопасность
- Политика восстановления EFS
- Политика беспроводной связи
- Дисковая квота
- Скрипты
- Безопасность
- Перенаправление папок
- Установка программного обеспечения
- Правила проводной связи
Заключение
Напомним, что когда вы меняете объект групповой политики в Active Directory, он будет автоматически применяться при следующем интервале обновления; вы также можете принудительно обновить его, чтобы немедленно применить его к вашим клиентским системам. В качестве дополнительной меры безопасности вы можете настроить обязательное повторное применение, чтобы убедиться, что определенные параметры групповой политики всегда применяются повторно, даже если они не изменились. Это позволяет отменить любые нежелательные изменения, сделанные локальными администраторами.
Джефф — бывший директор по разработке глобальных решений в Netwrix. Он давний блогер Netwrix, спикер и ведущий. В блоге Netwrix Джефф делится лайфхаками, советами и рекомендациями, которые могут значительно улучшить ваш опыт системного администрирования.
Групповая политика — это сложная инфраструктура, позволяющая применять параметры политики для удаленной настройки компьютера и работы пользователей в домене. Если результирующий набор параметров политики не соответствует вашим ожиданиям, рекомендуется сначала убедиться, что компьютер или пользователь получили последние параметры политики. В предыдущих версиях Windows для этого пользователь запускал GPUpdate.exe на своем компьютере.
В Windows Server 2012 и Windows 8 вы можете удаленно обновлять параметры групповой политики для всех компьютеров в организационном подразделении (OU) из одного центрального расположения с помощью консоли управления групповыми политиками (GPMC). Или вы можете использовать командлет Windows PowerShell Invoke-GPUpdate для обновления групповой политики для набора компьютеров, включая компьютеры, не входящие в структуру OU, например, если компьютеры расположены в контейнере компьютеров по умолчанию.
Обновление удаленной групповой политики обновляет все параметры групповой политики, включая параметры безопасности, установленные на группе удаленных компьютеров, с помощью функции, добавленной в контекстное меню для OU в консоли управления групповыми политиками (GPMC). . Когда вы выбираете подразделение для удаленного обновления параметров групповой политики на всех компьютерах в этом подразделении, выполняются следующие операции:
Запрос Active Directory возвращает список всех компьютеров, принадлежащих этому подразделению.
Для каждого компьютера, принадлежащего выбранному подразделению, вызов WMI извлекает список вошедших пользователей.
Удаленное запланированное задание создается для запуска GPUpdate.exe /force для каждого вошедшего в систему пользователя и один раз для обновления групповой политики компьютера. Задание планируется запускать со случайной задержкой до 10 минут, чтобы снизить нагрузку на сетевой трафик.Эту случайную задержку нельзя настроить при использовании консоли управления групповыми политиками, но вы можете настроить случайную задержку для запланированной задачи или настроить ее на немедленный запуск при использовании командлета Invoke-GPUpdate.
В этом документе описывается метод принудительного обновления удаленной групповой политики для всех компьютеров в организационной единице и всех организационных единицах, входящих в выбранную организационную единицу, с помощью консоли управления групповыми политиками. Для каждой процедуры также представлен эквивалентный метод Windows PowerShell.
В этом документе
В этом разделе приведены примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе Использование командлетов.
Предпосылки
Вы можете запланировать принудительное удаленное обновление групповой политики только с помощью консоли управления групповыми политиками с работающих компьютеров, присоединенных к домену:
Windows Server 2012 или Windows Server 2012 R2
Windows 8 или Windows 8.1 со средствами удаленного администрирования сервера для Windows 8
Вы можете запланировать удаленное обновление групповой политики для любого работающего компьютера:
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Шаг 1. Настройте правила брандмауэра на каждом клиенте, которым будет управлять удаленное обновление групповой политики
Чтобы запланировать обновление групповой политики для компьютеров, присоединенных к домену, с помощью консоли управления групповыми политиками или командлета Invoke-GPUpdate, у вас должны быть правила брандмауэра, разрешающие входящий сетевой трафик через порты, перечисленные в следующей таблице.
Тип сетевого трафика
Динамические порты TCP RPC, Расписание
(служба планировщика заданий)
Удаленное управление запланированными задачами (RPC)
TCP-порт 135, RPCSS
(служба удаленного вызова процедур)
Удаленное управление запланированными задачами (RPC-EPMAP)
TCP все порты, Winmgmt
(служба инструментария управления Windows)
Инструментарий управления Windows (WMI-in)
В Windows Server 2012 групповая политика добавила начальный объект групповой политики под названием «Порты удаленного обновления брандмауэра групповой политики». Этот начальный объект групповой политики включает параметры политики для настройки правил брандмауэра, указанных в предыдущей таблице. Рекомендуется создать новый объект групповой политики из этого начального объекта групповой политики. Свяжите объект групповой политики с вашим доменом с более высоким приоритетом, чем объект групповой политики домена по умолчанию, а затем используйте его для настройки всех компьютеров в домене для включения удаленного обновления групповой политики.
Чтобы создать объект групповой политики из начального объекта групповой политики удаленного обновления портов брандмауэра и связать его с доменом
В дереве консоли GPMC найдите домен, для которого вы хотите настроить все компьютеры для включения удаленного обновления групповой политики.
Щелкните правой кнопкой мыши выбранный домен и выберите Создать объект групповой политики в этом домене и связать его здесь…
В диалоговом окне "Новый объект групповой политики" введите имя нового объекта групповой политики в поле "Имя".
В списке Исходный начальный объект групповой политики выберите начальный объект групповой политики удаленного обновления портов брандмауэра групповой политики, который вы хотите использовать для создания нового объекта групповой политики, и нажмите кнопку ОК.
В области результатов перейдите на вкладку Связанные объекты групповой политики.
Выберите только что созданный объект групповой политики и нажимайте стрелку вверх, пока объект групповой политики не появится в списке над политикой домена по умолчанию. Новый объект групповой политики будет иметь меньшее значение порядка ссылок, чем политика домена по умолчанию.
Эквивалентные команды Windows PowerShell
Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в отдельной строке, хотя здесь они могут отображаться переносом слов на несколько строк из-за ограничений форматирования.
Используйте командлет New-GPO с параметром –StarterGpoName, а затем направьте выходные данные в командлет New-GPLink.
Для получения дополнительной информации о командлете New-GPO и командлете New-GPLink см.:
Шаг 2. Запланируйте удаленное обновление групповой политики
Вы можете запланировать запуск gpupdate.exe на нескольких компьютерах из консоли управления групповыми политиками или из сеанса Windows PowerShell с помощью командлета Invoke-GPUpdate.
Чтобы запланировать запуск обновления групповой политики на всех компьютерах в организационной единице с помощью консоли управления групповыми политиками
В дереве консоли GPMC найдите подразделение, для которого вы хотите обновить групповую политику для всех компьютеров.
Групповая политика также будет обновлена для всех компьютеров, расположенных в подразделениях, входящих в выбранное подразделение.
Щелкните правой кнопкой мыши выбранное подразделение и выберите «Обновить групповую политику…»
Нажмите «Да» в диалоговом окне «Принудительное обновление групповой политики». Это эквивалентно запуску GPUpdate.exe /force из командной строки.
В окне результатов обновления удаленной групповой политики отображается только состояние планирования обновления групповой политики для каждого компьютера, расположенного в выбранной организационной единице, и любых организационных единиц, содержащихся в выбранной организационной единице.На этом экране не отображается успех или неудача фактического обновления групповой политики для каждого компьютера.
Использовать результирующий набор политик, чтобы определить успешность запланированного обновления групповой политики, определить результирующий набор политик.
Вы должны запланировать задержку до 10 минут, чтобы начать обновление групповой политики, когда вы проверяете результаты для каждого компьютера.
Эквивалентные команды Windows PowerShell
Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в отдельной строке, хотя здесь они могут отображаться переносом слов на несколько строк из-за ограничений форматирования.
Командлет Invoke-GPUpdate позволяет запланировать удаленное обновление групповой политики для указанного компьютера со всеми параметрами, предоставляемыми утилитой командной строки GPUpdate.exe. Это дает больше свободы в определении того, какой набор компьютеров необходимо обновить, чем при планировании обновления через консоль управления групповыми политиками. Кроме того, вы можете настроить интервал времени ожидания перед выполнением обновления групповой политики с помощью параметра –RandomDelayInMinutes. Если задано нулевое (0) значение, запланированная задача обновления групповой политики настроена на немедленный запуск. Дополнительные сведения см. в разделе Invoke-GPUpdate.
Вы можете обновить измененные параметры групповой политики для компьютера, на который вы вошли, запустив командлет Invoke-GPUpdate без указания каких-либо параметров, например:
Вы не можете запланировать обновление групповой политики для контейнера «Компьютеры» с помощью функции «Обновление групповой политики консоли управления групповыми политиками…». Контейнер «Компьютеры» — это место по умолчанию для учетных записей компьютеров. Он не реализован как подразделение, которым может управлять консоль управления групповыми политиками. Однако, комбинируя использование командлета Windows PowerShell Get-ADComputer с командлетом Invoke-GPUpdate, вы можете запланировать удаленное обновление для всех компьютеров в контейнере Computers. Дополнительные сведения о доступных командлетах Windows PowerShell для Active Directory см. в разделе Командлеты администрирования доменных служб Active Directory в Windows PowerShell.
В этой статье мы покажем, как обновлять параметры групповой политики (GPO) на компьютерах Windows в домене Active Directory: как обновлять (обновлять) групповые политики автоматически, как использовать команду GPUpdate, как обновлять их удаленно с помощью консоль управления групповыми политиками ( GPMC.msc ) или командлет PowerShell Invoke-GPUpdate.
Как изменить интервал обновления групповой политики?
Прежде чем новые параметры, заданные вами в локальной или доменной групповой политике (GPO), будут применены к клиентам Windows, служба клиента групповой политики должна прочитать политики и внести изменения в параметры Windows. Этот процесс называется обновлением групповой политики. Параметры GPO обновляются при загрузке компьютера, входе пользователя в систему и обновляются автоматически в фоновом режиме каждые 90 минут + случайное смещение по времени 0–30 минут (означает, что параметры политики обязательно будут применены на клиентах через 90–90 минут). через 120 минут после обновления файлов GPO на контроллере домена).
Вы можете изменить интервал обновления объекта групповой политики с помощью параметра «Установить интервал обновления групповой политики для компьютеров», расположенного в разделе «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Групповая политика» объекта групповой политики.
Включите политику и установите время (в минутах) для следующих параметров:
- Этот параметр позволяет настроить периодичность применения групповой политики к компьютерам (от 0 до 44 640 минут), а также частоту обновления клиентом параметров объекта групповой политики в фоновом режиме. Если здесь поставить 0, то политики будут обновляться каждые 7 секунд (не стоит этого делать);
- Это случайное время, добавляемое к интервалу обновления для предотвращения одновременного запроса групповой политики всеми клиентами (от 0 до 1440 минут). чтобы уменьшить количество одновременных обращений клиентов к контроллеру домена для загрузки файлов GPO).
Обратите внимание, что частое обновление объекта групповой политики приводит к увеличению трафика на контроллеры домена и увеличению нагрузки на сеть.
Использование команды GPUpdate.exe для принудительного обновления настроек GPO
Все администраторы знают команду gpupdate.exe, позволяющую обновлять параметры групповой политики на компьютере. Для этого большинство без колебаний используют команду gpupdate /force. Команда заставляет ваш компьютер прочитать все объекты групповой политики с контроллера домена и повторно применить все настройки.Это означает, что при использовании принудительного ключа клиент подключается к контроллеру домена, чтобы получить файлы для ВСЕХ политик, предназначенных для него. Это может привести к увеличению нагрузки на вашу сеть и контроллер домена.
Простая команда gpudate без каких-либо параметров применяет только новые и измененные настройки объекта групповой политики.
В случае успеха появится следующее сообщение:
Если некоторые политики или параметры не были применены, используйте команду gpresult для диагностики проблемы и следуйте инструкциям в статье Общие проблемы, из-за которых групповая политика не применяется
Вы можете обновить только настройки GPO пользователя:
или только параметры политики компьютера:
gpupdate /target:computer /force
Если некоторые политики не могут быть обновлены в фоновом режиме, gpupdate может отключить текущего пользователя:
gpupdate /target:user /logoff
Или перезагрузите компьютер (если изменения GPO могут быть применены только при загрузке Windows):
Как принудительно выполнить удаленное обновление объекта групповой политики из консоли управления групповыми политиками (GPMC)?
В Windows Server 2012 и более поздних версиях можно удаленно обновлять параметры групповой политики на компьютерах домена с помощью GPMC.msc (консоли управления групповыми политиками).
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Затем, после изменения каких-либо настроек или создания и связывания нового объекта групповой политики, достаточно щелкнуть правой кнопкой мыши нужное организационное подразделение (OU) в консоли управления групповыми политиками и выбрать в контекстном меню пункт «Обновление групповой политики». В новом окне вы увидите количество компьютеров, на которых будет обновляться GPO. Подтвердите принудительное обновление политик, нажав Да.
Затем объекты групповой политики будут удаленно обновлены на каждом компьютере в OU один за другим, и вы получите результат со статусом обновления групповой политики на компьютерах (успешно/неудачно).
Эта функция создает задачу в планировщике заданий с помощью команды GPUpdate.exe /force для каждого пользователя, вошедшего в систему на удаленном компьютере. Задача выполняется в произвольный период времени (до 10 минут), чтобы снизить нагрузку на сеть.
Чтобы функция удаленного обновления GPO GPMC работала на клиенте, должны быть выполнены следующие условия:
- TCP-порт 135 должен быть открыт в правилах брандмауэра Защитника Windows;
- Должны быть включены службы инструментария управления Windows и планировщика заданий.
Если компьютер выключен или доступ к нему блокируется брандмауэром, отображается сообщение ‘ Удаленный вызов процедуры был отменен. Сообщение об ошибке 8007071a появляется рядом с именем компьютера.
На самом деле эта функция работает так же, как если бы вы вручную обновили настройки объекта групповой политики с помощью команды GPUpdate /force на каждом компьютере.
Invoke-GPUpdate: принудительное обновление удаленной групповой политики через PowerShell
Вы также можете вызвать удаленное обновление GPO на компьютерах с помощью командлета PowerShell Invoke-GPUpdate (являющегося частью RSAT). Например, для удаленного обновления параметров политики пользователя на конкретном компьютере можно использовать следующую команду:
Invoke-GPUpdate -Компьютер "frparsrv12" -Цель "Пользователь"
Если вы запустите командлет Invoke-GPUpdate без каких-либо параметров, он обновит настройки объекта групповой политики на текущем компьютере (например, gpudate.exe).
Вместе с командлетом Get-ADComputer вы можете обновить объект групповой политики на всех компьютерах в определенной организационной единице:
Get-ADComputer –filter * -Searchbase "OU=Computes,OU=Mun,OU=DE,dc=woshub,dc=com" | foreach
или на всех компьютерах, соответствующих определенному требованию (например, на всех хостах Windows Server в домене):
Вы можете установить случайное смещение для обновления GPO с помощью RandomDelayInMinutes. Таким образом, вы можете снизить нагрузку на сеть, если будете обновлять параметры групповой политики на нескольких компьютерах одновременно. Для немедленного применения параметров групповой политики используется параметр RandomDelayInMinutes 0.
Если вы запустите командлет Invoke-GPUpdate удаленно или обновите объект групповой политики из консоли управления групповыми политиками, на рабочем столе пользователя на короткое время может появиться окно консоли с запущенной командой gpupdate.
В этом руководстве вы узнаете, как использовать команду gpupdate для принудительного обновления групповой политики на компьютере с Windows. Я также покажу вам, как принудительно выполнить обновление на нескольких и удаленных компьютерах.
GPUdate — это команда Windows, встроенная во все версии клиентских и серверных операционных систем Windows.
По умолчанию Windows обновляет параметры групповой политики каждые 90 минут или при перезагрузке компьютера. Бывают случаи, когда вам нужно немедленно обновить политики компьютера, и ждать 90 минут не вариант. С помощью команды gpupdate вы можете принудительно обновить политику.
GPUpdate VS GPUpdate /force
В чем разница между командой GPUpdate и GPUpdate /force?
- GPupdate — применяет только измененные политики. Например, вы обновляете политику, которая включает экран блокировки Windows. Эта команда применит только ту политику, которая была изменена.
- GPUpdate /force — эта команда повторно применяет все параметры политики. Если у вас есть 20 групповых политик, все 20 будут применены повторно.
Какую команду следует использовать? Лучше всего начать с команды GPUpdate, она должна работать в большинстве случаев. Если команда gpupdate не сработала, попробуйте gpupdate /force.
Я бы не стал запускать gpupdate /force на нескольких устройствах одновременно. Если у вас много групповых политик, это может быть ресурсоемким на контроллерах домена.
Видеоруководство
Примеры обновления
Чтобы запустить gpupdate, откройте командную строку Windows и введите следующую команду.
Вы должны получить сообщение об успешном завершении.
Чтобы повторно применить все политики, используйте переключатель /force.
Давайте рассмотрим несколько реальных примеров использования команды gpupdate.
Пример 1. Добавление ярлыка на рабочий стол пользователя
Пользователь отправляет заявку с высоким приоритетом и говорит, что мне нужно как можно скорее установить программу учета рабочего времени на свой компьютер. В этом примере пользователю просто нужно добавить ярлык на рабочий стол. Хорошо, нет проблем.
Вы заходите в консоль управления групповыми политиками и применяете объект групповой политики к пользователю. Затем вы подключаетесь к компьютеру пользователя и запускаете команду gpupdate.
Вот фото до.
После запуска gpupdate вы увидите ярлык, добавленный на рабочий стол.
Групповая политика применяется немедленно, и ярлык добавляется на рабочий стол. Перезагрузка также обновит групповые политики, но иногда это неудобно для ваших пользователей.
Команда gpupdate хороша тем, что ее можно запустить от имени пользователя без прав администратора. В приведенном выше примере вы можете видеть, что я выполнил команду с пользователем, вошедшим в систему. В зависимости от настроек GPO это может не всегда работать. В некоторых случаях может потребоваться перезагрузка компьютера, чтобы настройки вступили в силу.
Пример 2. Ваш начальник запрашивает установку программного обеспечения
В этом примере вашему начальнику нужно немедленно установить Acrobat Pro. Конечно босс. Откройте консоль управления групповыми политиками и добавьте пользователя в объект групповой политики, который устанавливает Acrobat pro.
Затем введите команду gpupdate. Но на этот раз вы получите сообщение ниже.
Я хотел показать этот пример, потому что не все политики можно применить сразу. Развертывание программного обеспечения с помощью групповой политики возможно только во время перезагрузки.
Извините, босс, вам нужно перезагрузить компьютер. 🙂
Когда следует использовать команду GPUpdate /force?
В двух приведенных мной примерах требовалось запустить только команду gpupdate. Параметр /force следует использовать только для устранения неполадок или при возникновении проблем с применением политики.
С учетом сказанного я не заметил никаких проблем с запуском gpupdate /force в качестве первого варианта. Я также не видел причин запускать его в качестве первого варианта. Большую часть времени я могу запустить gpupdate, и все работает. Как я упоминал выше, основная проблема с gpupdate /force заключается в одновременном запуске его на нескольких компьютерах, что может привести к значительной нагрузке на ваши контроллеры домена.
Запуск GPUpdate на нескольких компьютерах
Если вам нужно принудительно обновить групповую политику на удаленных или нескольких компьютерах, вы можете использовать эти примеры.
Способ 1. Использование консоли управления групповыми политиками
Знаете ли вы, что можете использовать консоль управления групповыми политиками для обновления удаленных и нескольких компьютеров?
В консоли GPM щелкните правой кнопкой мыши подразделение и выберите "Обновить групповую политику".
Вы увидите индикатор выполнения, показывающий статус.
Способ 2. Использование команды PowerShell Invoke-GPupdate
Существует команда PowerShell для обновления групповых политик. Для обновления на одном компьютере используйте эту команду
Для обновления на нескольких компьютерах с помощью PowerShell используйте эту команду. Приведенная ниже команда обновит все компьютеры в моей OU Accounting. Просто измените базовый путь поиска на отличительное имя вашего подразделения.
Синтаксис GUpdate
Чтобы просмотреть все параметры командной строки, запустите gpupdate /? Есть несколько переключателей командной строки, но за все годы работы системным администратором я использовал только gpupdate и gpupdate /force.
Надеюсь, это руководство было вам полезным. Не стесняйтесь оставлять комментарии или вопросы ниже.
Читайте также: