Команда обновить групповые политики

Как в Windows 10 принудительно обновить локальные политики без перезагрузки

Во всех популярных редакциях Windows 10 выше Home имеется встроенный инструмент администрирования gpedit.msc или локальные групповые политики. Данный инструмент включает в себя широкий спектр политик (настроек) и предназначается для принудительного изменения базовой конфигурации операционной системы и учетных записей. Реализован он в виде консоли управления MMC с достаточно удобным и интуитивно понятным графическим интерфейсом.

После изменения ряда политик компьютер необходимо перезагрузить или выждать от 30 до 90 минут, чтобы новые настройки смогли вступить в силу, но вы можете заставить их работать сразу, сэкономив время и избавив себя от необходимости перезапускать систему.

Давайте же посмотрим, как это можно сделать.

Всё довольно просто, если вы хотите обновить все политики сразу, откройте от имени администратора PowerShell или командную строку и выполните команду gpupdate /force .

Эта команда «перезапустит» политики и компьютера, и пользователей.

А теперь представим, что вы хотите обновить лишь определенную категорию политик, скажем, только именные политики пользователя. И тут ничего сложного, просто к команде gpupdate добавляется соответствующий ключ. А чтобы всё было ясно, приводим примеры:

gpupdate /target:computer — Обновляет только измененные политики компьютера.
gpupdate /target:user — Обновляет только измененные пользовательские политики.

Если же вы хотите обновить все политики только пользователя или только компьютера, добавьте в конец каждой команды через пробел ключ /force.

К слову, всем тем, кто пользуется редактором локальных групповых политик не помешает ознакомиться и с другими полезными ключами утилиты gpupdate.exe .

Если у вас включена защита системы, через определенное время и перед установкой вносящего серьезные изменения Читать далее

На этой неделе в сеть утекла очередная мажорная версия Windows под индексом 11, выход которой Читать далее

Меню «Пуск» в Windows 10 – верх эволюции этого меню на данный момент, оно самое Читать далее

При подключении различных внешних устройств к компьютеру – флешек, внешних дисков, камер, карт памяти, мобильных Читать далее

1 комментарий

Извиняюсь, что отфтоп, но боюсь под статьей 3 летней давности уже нет смысла писать — вы как-то писали про изменение параметров отображения exe файлов в области сведений через реестр, но в случае с папками там не отображается их размер и кол-во файлов внутри, а в тупую адаптировать способ в статье под папки не удалось, хотел спросить совета, как это исправить.

Способы обновления групповых политик Windows на компьютерах домена

В этой статье мы рассмотрим особенности обновления параметров групповых политик на компьютерах домена Active Directory: автоматическое обновление политик, команду GPUpdate , удаленное обновление через консоль Group Policy Management Console ( GPMC.msc ) и командлет PowerShell Invoke-GPUpdate .

  • Интервал обновления параметров групповых политик
  • GPUpdate.exe – команда обновления параметров групповых политики
  • Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
  • Invoke-GPUpdate – обновление GPO из Powershell

Интервал обновления параметров групповых политик

Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).

Вы можете изменить интервал обновления настрое GPO с помощью параметра Set Group Policy refresh interval for computers, который находится в секции GPO Computer Configuration -> Administrative Templates -> System -> Group Policy.

Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:

  • This setting allow you to customize how often Group Policy is applied to computer (от 0 до 44640 минут) – как часто клиент должен обновлять настройка GPO (если указать тут 0 – политики начнут обновляться каждые 7 секунд – не стоит этого делать);
  • This is a random time added to the refresh interval to prevent all clients from requesting Group Policy at the same time (от 0 до 1440 минут) – максимальное значение случайного интервал времени, которые добавляется в виде смещения к предыдущему параметру (используется для уменьшения количества одновременных обращений к DC за файлами GPO от клиентов).

GPUpdate.exe – команда обновления параметров групповых политики

Всем администраторов знакома команда gpupdate.exe, которая позволяет обновить параметры групповых политик на компьютере. Большинство не задумываясь используют для обновления GPO команду gpupdate /force . Эта команда заставляет компьютер принудительно перечитать все политики с контроллера домена и заново применить все параметры. Т.е. при использовании ключа force клиент обращается к контроллеру домена и заново получает файлы ВСЕХ нацеленных на него политик. Это вызывает повышенную нагрузку на сеть и контроллер домена.

Простая команда gpudate применяет только новые/измененные параметры GPO.

Если все OK, должны появится следующие строки:

Можно отдельно обновить параметры GPO из пользовательской секции:

или только политики компьютера:

gpupdate /target:computer /force

Если некоторые политики нельзя обновить в фоновом режиме, gpudate может выполнить logoff текущего пользователя:

gpupdate /target:user /logoff

Или выполнить перезагрузку компьютера (если изменения в GPO могут применится только во время загрузки Windows):

Принудительно обновление политики из консоли Group Policy Management Console (GPMC)

В консоли GPMC.msc (Group Policy Management Console), начиная с Windows Server 2012, появилась возможность удаленного обновления настроек групповых политик на компьютерах домена.

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools

Теперь после изменения настроек или создания и прилинковки новой GPO, вам достаточно щелкнуть правой клавишей по нужному Organizational Unit (OU) в консоли GPMC и выбрать в контекстном меню пункт Group Policy Update. В новом окне появится количество компьютеров, на которых будет выполнено обновление GPO. Подтвердите принудительное обновление политик, нажав Yes.

Затем GPO по очереди обновяться на каждом компьютере в OU и вы получите результат со статусом обновления политик на компьютерах (Succeeded/Failed).

Данная команда удаленно создает на компьютерах задание планировщика с командой GPUpdate.exe /force для каждого залогиненого пользователя. Задание запускается через случайный промежуток времени (до 10 минут) для уменьшения нагрузки на сеть.

  • Открыт порт TCP 135 в Windows Firewall;
  • Включены службы Windows Management Instrumentation и Task Scheduler.

Если компьютер выключен, или доступ к нему блокируется файерволом напротив имени такого компьютера появится надпись “The remote procedure call was cancelled”.

По сути этот функционал дает тот же эффект, если бы вы вручную обновили настройки политик на каждом компьютере командой GPUpdate /force .

Invoke-GPUpdate – обновление GPO из Powershell

Также вы можете вызвать удаленное обновление групповых политик на компьютерах с помощью PowerShell комнадлета Invoke-GPUpdate (входит в RSAT). Например, чтобы удаленно обновить пользовательские политики на определенном компьютере, можно использовать команду:

Invoke-GPUpdate -Computer «corpComputer0200» -Target «User»

При запуске командлета Invoke-GPUpdate без параметров, он обновляет настройки GPO на текущем компьютере (аналог gpudate.exe).

В сочетании с командлетом Get-ADComputer вы можете обновить групповые политики на всех компьютерах в определенном OU:

Get-ADComputer –filter * -Searchbase «ou=Computes,OU=SPB,dc=winitpro,dc=com» | foreach

или на всех компьютерах, которые попадают под определенный критерий (например, на всех Windows Server в домене):

При удаленном выполнении командлета Invoke-GPUpdate или обновления GPO через консоль GPMC на мониторе пользователя может на короткое время появиться окно консоли с запущенной командой gpupdate .

Как в Windows 10 принудительно обновить локальные политики без перезагрузки | Белые окошки

Групповая политика wsus для серверов windows

Начнем с описания серверной политики ServerWSUSPolicy.

Как в windows 10 принудительно обновить локальные политики без перезагрузки | белые окошки

Во всех популярных редакциях Windows 10 выше Home имеется встроенный инструмент администрирования gpedit.msc или локальные групповые политики . Данный инструмент включает в себя широкий спектр политик (настроек) и предназначается для принудительного изменения базовой конфигурации операционной системы и учетных записей. Реализован он в виде консоли управления MMC с достаточно удобным и интуитивно понятным графическим интерфейсом.

После изменения ряда политик компьютер необходимо перезагрузить или выждать от 30 до 90 минут, чтобы новые настройки смогли вступить в силу, но вы можете заставить их работать сразу, сэкономив время и избавив себя от необходимости перезапускать систему.

Давайте же посмотрим, как это можно сделать.

Всё довольно просто, если вы хотите обновить все политики сразу, откройте от имени администратора PowerShell или командную строку и выполните команду gpupdate /force .

Эта команда «перезапустит» политики и компьютера, и пользователей.

А теперь представим, что вы хотите обновить лишь определенную категорию политик, скажем, только именные политики пользователя. И тут ничего сложного, просто к команде gpupdate добавляется соответствующий ключ. А чтобы всё было ясно, приводим примеры:

• gpupdate /target:computer — Обновляет только измененные политики компьютера.
• gpupdate /target:user — Обновляет только измененные пользовательские политики.

Если же вы хотите обновить все политики только пользователя или только компьютера, добавьте в конец каждой команды через пробел ключ /force .

К слову, всем тем, кто пользуется редактором локальных групповых политик не помешает ознакомиться и с другими полезными ключами утилиты gpupdate.exe .

К примеру, есть политики, обновление которых в фоновом режиме невозможно, и в этом случае добавленный в конец команды ключ /boot позволит вам выполнить перезагрузку прямо из командной строки.

Как удаленно обновить групповые политики в windows server 2021 | виртуализация и облачные решения

В данной статье мы покажем простой способ удаленного обновления групповых политик на клиентах (компьютерах и серверах) домена Active Directory, без необходимости доступа к консоли удаленной машине и без использования команды gpupdate .

Одной из самых сложных проблем в управлении групповыми политиками AD является — тестирование политик «на лету», без перезагрузки компьютера или доступа к локальному компьютеру и запуску команды gpupdate /force .

Функция Remote Group Policy Update предоставляет возможность использовать одну консоль управления GPO (GPMC.msc) как для создания, изменения, так и применения и тестирования групповых политик.

Функционал удаленного обновления групповых политик впервые появился в Microsoft Windows Server 2021, во всех последующих версия (Windows Server 2021, Microsoft Windows 10), этот функционал и его стабильность постепенно улучшался.

Требования для работы Remote Group Policy Update:

Требования к серверному окружению:

  • Windows Server 2021 и выше
  • Либо Windows 10 с установленными инструментами управления RSAT (Management tools)

Требования к клиентам:

Требования к сетевому взаимодействию (файерволам) между сервером и клиентами

  • Должен быть открыт TCP Port 135
  • Включена служба Windows Management Instrumentation (служба управления Windows)
  • Служба Task Scheduler (служба планировщика заданий)

В том случае, если ваше окружение соответствует данным требованиям, откройте консоль управления групповыми политиками (GPMC.msc), выберите OU (контейнер), в котором расположены целевые компьютеры, на которых нужно принудительно обновить GPO.

Щелкните правой кнопкой мыши по нужному контейнеру и выберите пункт Group Policy Update .

В открывшемся окне появится информация о количестве объектов в данном OU, на которых будет произведено обновление GPO. Для подтверждения действия щелкните по кнопке «Yes».

В окне Remote Group Policy update results вы увидите статус выполнения обновления политик, а также статус данной операции (успех/ ошибка, код ошибки). Естественно, если какой-то компьютер выключен, или доступ к нему ограничен файерволом, появится соответствующая ошибка.

Политика установки обновлений wsus для рабочих станций

Мы предполагаем, что обновления на клиентские рабочие станции, в отличии от серверной политики, будут устанавливаться автоматически ночью сразу после получения обновлений. Компьютеры после установки обновлений должны перезагружаться автоматически (предупреждая пользователя за 5 минут).

В данной GPO (WorkstationWSUSPolicy) мы указываем:

В Windows 10 1607 и выше, несмотря на то, что вы указали им получать обновления с внутреннего WSUS, все еще могут пытаться обращаться к серверам Windows Update в интернете. Эта «фича» называется Dual Scan. Для отключения получения обновлений из интернета нужно дополнительно включать политику Do not allow update deferral policies to cause scans against Windows Update (ссылка).

Обновление политик AD с командой Powershell Invoke-GPUpdate

Для обновления политик Active Directory, вместо команды CMD gpudate, в Powershell используется Invoke-GPUpdate. В этом статье будут рассмотрены примеры обновления политик как для всего AD, так и для отдельной OU.

Сама команда идет в комплекте с ролью AD или установленным RSAT.

Навигация по посту

  • Обновление GPO на одном компьютере
  • Обновление с использованием AD

Обновление GPO на одном компьютере

Представим, что у нас есть компьютер ‘CL5’ и мы хотим обновить политики, которые предназначены для компьютера или пользователя. Это можно сделать так:

Для работы этой команды, а так же большинства других с возможностью удаленного подключения, должен работать PSRemoting.

По умолчанию эта команда не применяет новые политики моментально, а делает это с определенным интервалом. Что бы избежать этого нужно указать параметр:

  • RandomDelayInMinutes — где значение 0 обозначает «моментальное обновление». Кроме этого можно указать значение в минутах, которое будет определять время обновления политик после запуска команды.

В документации Microsoft написано, что для значений больших чем 0 так же применяется «случайное смещение», но как оно вычисляется мне выяснить не удалось. Такой подход используется, если вы ожидаете какую-то большую нагрузку на сеть или сервер.

В этом примере политики будут применены моментально:

При этом у пользователей появится следующее окно, которое нельзя никак скрыть:

Как и с gpupdate в CMD мы можем указать источник применения политики в Target:

  • User — обновить GPO предназначенные для пользователя;
  • Computer — обновить GPO для компьютера.

Сами политики могут не применяться, например, до повторного входа пользователя или перезагрузки. Если такие действия необходимы можно использовать следующие ключи:

  • Boot — компьютер будет перезагружен после того, как политика будет скачена;
  • LogOff — после применения политики пользователю выйдет из под своей учетной записи для повторного входа.

Пример работы с обоими ключами:

Force исключает ситуацию, где у пользователя будет запрошено подтверждение на какое-то действия (на выход например). Окно с примером, где этого ключа не было:

Возможные проблемы

Некоторые GPO так и не вступили в действие при использовании ключей Boot и LogOff. Просто отображалось окно аналогичное показанному на изображении выше. После закрытия окна перезагрузка или выход пользователя тоже не произошел.

Команда Boot не перезагружает компьютер, а только выбрасывает пользователя для повторного входа. Возможно это связано с самой политикой, так как она не требовала перезагрузку.

Так же читал про проблемы, которые связаны с отсутствием или использованием старой версии RSAT. Об этом говорят следующие ошибки:

  • Invoke-GPUpdate: The term ‘Invoke-GPUpdate’ not recognized as the name of a cmdlet.
  • Invoke-GPUpdate : Имя «Invoke-GPUpdate» не распознано как имя командлета, функции.
Получение списка компьютеров с Get-ADComputer в Powershell

Обновление с использованием AD

Имя каждого компьютера можно найти через следующий запрос:

У меня есть организационная единица ‘Moscow’, в домене ‘domain.local’. Что бы найти компьютеры в этом OU можно использовать следующий синтаксис:

Обновление политик можно сделать через конвейер следующим образом:

Ключ -ErrorAction SilentlyContinue позволяет исключить вывод ошибок, которые связаны с выключенными компьютерами.

Если компьютеров в AD много и вам важна скорость обновления — лучше использовать циклы с задержкой:

Команда обновить групповые политики

Этот форум закрыт. Спасибо за участие!

  • Форумы
  • Просмотр пользователей форумов
  • Часто задаваемые вопросы

Лучший отвечающий

Вопрос

Есть необходимость применить групповую политику без перезагрузки конечной машины.

Подскажите пожалуйста как это сделать

Ответы

  • Предложено в качестве ответа Дмитрий Трясов 16 июля 2013 г. 18:47
  • Помечено в качестве ответа Иван Проданов Microsoft contingent staff, Moderator 1 августа 2013 г. 6:24

Есть необходимость применить групповую политику без перезагрузки конечной машины.

Ряд политик применяется только при старте (например Folder Redirection или установка ПО через политики): то, что может быть применено без рестарта — его и не потребует.

п.с. gpupdate /force совершенно непричём в данном случае, но если вы использовали ключ /force и в политиках существует хотя бы одна, которая применяется при запуске — попросит перезапуск.

  • Предложено в качестве ответа Дмитрий Трясов 16 июля 2013 г. 18:47
  • Помечено в качестве ответа Иван Проданов Microsoft contingent staff, Moderator 1 августа 2013 г. 6:24

Все ответы

  • Предложено в качестве ответа Дмитрий Трясов 16 июля 2013 г. 18:47
  • Помечено в качестве ответа Иван Проданов Microsoft contingent staff, Moderator 1 августа 2013 г. 6:24

Есть необходимость применить групповую политику без перезагрузки конечной машины.

Ряд политик применяется только при старте (например Folder Redirection или установка ПО через политики): то, что может быть применено без рестарта — его и не потребует.

п.с. gpupdate /force совершенно непричём в данном случае, но если вы использовали ключ /force и в политиках существует хотя бы одна, которая применяется при запуске — попросит перезапуск.

  • Предложено в качестве ответа Дмитрий Трясов 16 июля 2013 г. 18:47
  • Помечено в качестве ответа Иван Проданов Microsoft contingent staff, Moderator 1 августа 2013 г. 6:24

Андрей, добрый день. Если Ваш вопрос относился к тому, как это сделать на большом количестве машин одновременно, то вот недавнее похожее обсуждение, попробуйте воспользоваться советами, данными в теме.

Да, Кирилл, все верно, и чуть дополню:

Что касается gpupdate /force , то многие непонимают, для чего нужен последний ключ, и как вообще работает механизм применения групповых политик.(буквально вчера вечером после прочтения топика спросил выборочно пару-тройку первых входящих в дверь) Если кратко сорвать покровы, то ключ /force

просто-напросто применит заново принудительно все политики, относящиеся и к пользователю, и к компьютеру.Выполнять эту команду имеет смысл только тогда, когда Вы изменили несколько объектов ГП, скажем настроили какие-то зависимости между разными GPO, и нужно, чтобы применились абсолютно все измененные объекты политик. А теперь представьте ,что вы отредактировали один объект и изменили одну настройу. Вам нужно, чтобы только эти новые настройки ушли в применение- окей, версия шаблона поменялась, машина скачает версии, увидит, что изменен один объект, а не тридцать, и применит только этот один измененный объект. Делается это просто выполнением gpupdate.

Особенно заметен эффект на слабых машинах и слабых каналах.

Вывод- ключ /force — это баловство и преступление.