Методи оновлення групової політики Windows на доменних комп'ютерах

У цій статті ми розглянемо функції оновлення параметрів групової політики на комп’ютерах домену Active Directory: автоматичне оновлення, команда команди Gpupdate , Віддалене оновлення через консоль управління групою ( GPMC.MSC ) і команда PowerShell Закінчити-gpupdate .

Зміст:

• Інтервал оновлення параметрів групової політики
• Gpupdate.Exe - команда оновлення параметрів групової політики
• Примусово оновлювати політику з консолі управління груповою політикою (GPMC)
• Заклик -gpupdate - оновлення PowerShell від PowerShell

Інтервал оновлення параметрів групової політики

Для того, щоб нові налаштування, які ви встановили в локальній або доменній груповій політиці (GPO), застосовуються для клієнтів, необхідно, щоб послуги клієнтів групової політики перечитали політиків та внесли зміни до налаштувань клієнта. Цей процес називається Оновлення групових політиків. Налаштування групової політики оновлюються під час завантаження комп'ютера та введення користувача або автоматично у фоновому режимі раз на 90 хвилин + випадковий зміщення часу (зміщення) в інтервалі від 0 до 30 хвилин (t.Е. Політики гарантовано застосовуються до клієнтів в інтервалі 90 - 120 хвилин після оновлення файлів GPO на контролері домену).

Контролери домену за замовчуванням оновлюють параметри GPO набагато частіше - кожні 5 хвилин.

Ви можете змінити інтервал налаштування GPO за допомогою параметра Встановіть інтервал оновлення групової політики для комп’ютерів, яка розташована в конфігурації комп'ютера GPO -> Шаблони адміністрування -> Система -> Групова політика.

Увімкніть політику (увімкнено) та встановіть час (за лічені хвилини) у наступних налаштуваннях:

• Цей параметр дозволяє кубувати, як старий політика застосовується до комп'ютера (від 0 до 44640 хвилин) - як часто клієнт повинен оновлювати параметри GPO (якщо ви вказуєте 0 - політики починають оновлювати кожні 7 секунд - не робіть цього);
• Це випадковий час, що додається до інтервалу оновлення, щоб запобігти одночасно всім клентам запитувати групову політику (від 0 до 1440 хвилин) - Максимальне значення випадкового інтервалу часу, який додається у вигляді переміщення до попереднього параметра (використовується для зменшення кількості одночасних контактів для постійного струму для файлів GPO).

Майте на увазі, що часте оновлення GPO призводить до збільшення трафіку до контролерів домену та збільшення навантаження в мережу.

Gpupdate.Exe - команда оновлення параметрів групової політики

Усі адміністратори знайомі з командою Gpupdate.Екзе, що дозволяє оновити параметри групової політики на комп’ютері. Більшість без вагань використовуйте команду для оновлення GPO Gpupdate /force . Ця команда робить комп'ютер примусово перечитати всіх політиків з контролера домену та повторно всі варіанти. Т.Е. При використанні ключа Примушувати Клієнт звертається до контролера домену і повторно реєструє файли всього політичного діяча, зосереджених на ньому. Це спричиняє збільшення навантаження на мережу та контролер домену.

Проста команда гпудат Використовує лише нові/модифіковані параметри GPO.

Якщо все гаразд, з’являться наступні рядки:

Оновлення політики ... Оновлення комп'ютерної політики завершило успішне. Оновлення політики користувачів успішно завершило.

Якщо будь -які політики чи налаштування не застосовуються, використовуйте команду GPRESULT для діагностики та рекомендацій зі статті "Чому GPO не застосовувався до комп'ютера?Що.

Ви можете окремо оновити параметри GPO у розділі користувача:

gpupdate /target: користувач

Або просто комп'ютерна політика:

Gpupdate /target: комп'ютер /сила

Якщо деякі політики не можуть бути оновлені у фоновому режимі, Gpudate може виконати поточний журнал користувачів:

gpupdate /target: користувач /logoff

Або повторно підготувати комп'ютер (якщо зміни в GPO можна застосовувати лише під час завантаження Windows):

Gpupdate /завантаження

Примусово оновлювати політику з консолі управління груповою політикою (GPMC)

У консолі GPMC.MSC (консоль управління груповою політикою), Починаючи з Windows Server 2012, стало можливим віддалено оновити налаштування групової політики на доменних комп'ютерах.

У Windows 10, щоб використовувати цю консоль, вам доведеться встановити компонент RSAT:

Додати -windowscapability -online -name rsat.Групаполітика.Управління.Інструменти ~~~ 0.0.1.0

Тепер, змінивши налаштування або створення та підняття нового GPO, вам просто потрібно натиснути на праву клавішу на потрібному організованому блоці (OU) на консолі GPMC та вибрати елемент у контекстному меню Оновлення групової політики. Кількість комп'ютерів з’явиться у новому вікні, на якому буде оновлено GPO. Підтвердьте обов'язкове оновлення політика шляхом натискання Так.

Потім GPO по черзі оновлює кожен комп'ютер у OU, і ви отримаєте результат зі статусом оновлення політиків на комп’ютерах.

Ця команда віддалено створює на комп’ютерах завдання планувальника з командою Gpupdate.Exe /Force для кожного користувача Pogged. Завдання запускається через випадковий проміжок часу (до 10 хвилин), щоб зменшити навантаження в мережу.

Для роботи цієї функціональності GPMC для клієнта необхідно виконати наступні умови:

• Порт TCP 135 відкривається у брандмауері Windows;
• Включено інструктаж з управління Windows та планувальник завдань.

Якщо комп'ютер вимкнено, або доступ до нього блокується брандмауером навпроти назви такого комп'ютера, напишник "Віддалений дзвінок процедури буде скасований" з’явиться.

Насправді ця функціональність дає однаковий ефект, якщо ви вручну оновили налаштування політики на кожному комп'ютері за допомогою команди Gpupdate /force .

Заклик -gpupdate - оновлення PowerShell від PowerShell

Ви також можете назвати віддалене оновлення групової політики на комп’ютерах за допомогою Woodlet PowerShell Locum Закінчити-gpupdate (Включено до RSAT). Наприклад, для віддаленого оновлення політики користувачів на певному комп’ютері ви можете використовувати команду:

Elloke -gpupdate -computer "corp \ computer0200" -target "користувач"

При запуску командира Закінчити-gpupdate Без параметрів він оновлює параметри GPO на поточному комп’ютері (аналог gpudate.exe).

У поєднанні з командувачем Get-Domputer ви можете оновити групову політику на всіх комп'ютерах у певному ОУ:

Get -dcoputer -filter * -SearchBase "OU = обчислюється, OU = SPB, DC = WinitPro, DC = com" | Foreach inloke -gpupdate -computer $ _.Ім'я -force

або на всіх комп'ютерах, які підпадають під певним критерієм (наприклад, на всіх серверах Windows у домені):

Ви можете встановити випадкову затримку оновлення GPO за допомогою параметра RandomDelayinminutes. Таким чином, ви можете зменшити навантаження в мережу, якщо одночасно оновлювати політиків на багатьох комп'ютерах. Для негайного застосування політиків використовується параметр RandomDelayinminutes 0.

Get -dcoputer -filter enabled -eq "true" -і оперативна система "**windows server*' | Foreach inloke -gpupdate -computer $ _.Назва -randomdelayinminutes 10 -force

Для недоступних комп’ютерів команда поверне помилку:

Invoke-gpupdate: Комп'ютер "SPB-SRV01" не відповідає. Цільовий комп'ютер або вимкнено, або віддалені заплановані завдання управління правилами брандмауера вимкнено. 

Завдяки віддаленому виконанню GPO invoke-gpupdate або оновлення через консоль GPMC, консольне вікно з занедбаною командою може з’явитися на моніторі користувача Gpupdate .