Принудительное обновление групповых политик

Обновление групповой политики в Windows

Компьютеры будут обновлять групповую политику в фоновом режиме каждые 90 минут, кроме того, групповая политика обновляется при запуске компьютера. Иногда вы вносите изменения или создаете новые объекты групповой политики, и вам нужно, чтобы изменения вступили в силу немедленно.

Способ 1 Обновление групповой политики с помощью команды gpupdate /force

Шаг 1: Запустите окно командной строки

Windows 7

Нажмите кнопку «Пуск» , введите «cmd» (без кавычек) в строку поиска в самом низу меню «Пуск», а затем щелкните значок cmd.exe, который должен появиться вверху списка результатов.

Windows 10

Щелкните правой кнопкой мыши кнопку «Пуск» Нажмите на командную строку(Admin), чтобы открыть окно CMD.

Шаг 2: Запустите команду gpupdate /force

Использование команды PsExec для обновления групповой политики удаленных компьютеров PsExec

Теперь, если у вас есть куча компьютеров, которые нуждаются в обновлении, было бы сложно войти в каждый из них и запустить эту команду. Для её запуска на удаленном компьютере вы можете использовать команду PsExec из набора инструментов Sysinternals. Вот пример использования PsExec для удаленного обновления групповой политики

Просто замените Computername на фактическое имя хоста компьютера

Чтобы выполнить GPUpdate.exe на группе компьютеров, указанных в текстовом файле, используйте команду PSExec.exe:

PSExec.exe @Computers.TXT GPUpdate.exe /force

Шаг 3: Перезагрузите компьютер

В окне командной строки введите gpupdate /force и нажмите клавишу Enter на клавиатуре. Строка «Обновление политики …» должна появиться в окне командной строки ниже, где вы только что набрали.

После завершения обновления вам будет предложено либо выйти из системы, либо перезагрузить компьютер. Нажмите N,чтобы отклонить эти запросы, а затем перезагрузите компьютер вручную. Иногда вам не будет предложено перезагрузить компьютер или выйти из системы после обновления. Тем не менее, вам все равно следует перезагрузить компьютер, если ИТ-специалист не примет иного решения.

После завершения обновления вы можете перезагрузить компьютер командой gpupdate / boot или вручную . Перезагрузить компьютер вручную немного быстрее, чем через окно командной строки.

Способ 2. Использование консоли управления групповой политикой

В Windows Server 2012 и более поздних версиях теперь можно принудительно обновить групповую политику на удаленных компьютерах из консоли управления групповой политикой. Этот метод очень прост и позволяет запускать обновление для одного подразделения или всех подразделений.

Шаг 1. Откройте консоль управления групповыми политиками.

Шаг 2: Щелкните правой кнопкой мыши, чтобы обновить

Вы можете обновить отдельное подразделение или родительское подразделение, и оно обновит все подчиненные подразделения.

Я собираюсь обновить свой родительский OU «ADPRO Computers», в этом OU есть несколько подразделений, разбитых на отделы. Это запустит обновление групповой политики на всех компьютерах.

Способ 3: использование Powershell Invoke-GPUpdate

В Windows 2012 можно принудительно выполнить немедленное обновление с помощью команды powershell invoke-GPUupdate . Эта команда может использоваться для обновления клиентов Windows 10 и Windows 7.

Вам потребуется установленный Powershell, а также консоль управления групповыми политиками (GPMC).

RandomDelayMinutes 0 гарантирует, что политика обновляется сразу, а не ..

Единственным недостатком использования этой команды является то, что клиенты получат всплывающее окно CMD, как показано ниже. Отображается только около 3 секунд, затем закрывается.

Если вы хотите использовать команду PowerShell для принудительного обновления на всех компьютерах, вы можете использовать эти команды:

Вышеприведенные команды будут извлекать каждый компьютер из домена, помещать их в переменную и запускать команды для каждого объекта в переменной

Как в Windows 10 принудительно обновить локальные политики без перезагрузки

Во всех популярных редакциях Windows 10 выше Home имеется встроенный инструмент администрирования gpedit.msc или локальные групповые политики. Данный инструмент включает в себя широкий спектр политик (настроек) и предназначается для принудительного изменения базовой конфигурации операционной системы и учетных записей. Реализован он в виде консоли управления MMC с достаточно удобным и интуитивно понятным графическим интерфейсом.

После изменения ряда политик компьютер необходимо перезагрузить или выждать от 30 до 90 минут, чтобы новые настройки смогли вступить в силу, но вы можете заставить их работать сразу, сэкономив время и избавив себя от необходимости перезапускать систему.

Давайте же посмотрим, как это можно сделать.

Всё довольно просто, если вы хотите обновить все политики сразу, откройте от имени администратора PowerShell или командную строку и выполните команду gpupdate /force .

Эта команда «перезапустит» политики и компьютера, и пользователей.

А теперь представим, что вы хотите обновить лишь определенную категорию политик, скажем, только именные политики пользователя. И тут ничего сложного, просто к команде gpupdate добавляется соответствующий ключ. А чтобы всё было ясно, приводим примеры:

• gpupdate /target:computer — Обновляет только измененные политики компьютера.
• gpupdate /target:user — Обновляет только измененные пользовательские политики.

Если же вы хотите обновить все политики только пользователя или только компьютера, добавьте в конец каждой команды через пробел ключ /force.

К слову, всем тем, кто пользуется редактором локальных групповых политик не помешает ознакомиться и с другими полезными ключами утилиты gpupdate.exe .

Если у вас включена защита системы, через определенное время и перед установкой вносящего серьезные изменения Читать далее

На этой неделе в сеть утекла очередная мажорная версия Windows под индексом 11, выход которой Читать далее

Меню «Пуск» в Windows 10 – верх эволюции этого меню на данный момент, оно самое Читать далее

При подключении различных внешних устройств к компьютеру – флешек, внешних дисков, камер, карт памяти, мобильных Читать далее

1 комментарий

Извиняюсь, что отфтоп, но боюсь под статьей 3 летней давности уже нет смысла писать — вы как-то писали про изменение параметров отображения exe файлов в области сведений через реестр, но в случае с папками там не отображается их размер и кол-во файлов внутри, а в тупую адаптировать способ в статье под папки не удалось, хотел спросить совета, как это исправить.

Способы обновления групповых политик Windows на компьютерах домена

В этой статье мы рассмотрим особенности обновления параметров групповых политик на компьютерах домена Active Directory: автоматическое обновление политик, команду GPUpdate , удаленное обновление через консоль Group Policy Management Console ( GPMC.msc ) и командлет PowerShell Invoke-GPUpdate .

Интервал обновления параметров групповых политик
GPUpdate.exe – команда обновления параметров групповых политики
Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
Invoke-GPUpdate – обновление GPO из Powershell

Интервал обновления параметров групповых политик

Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).

Вы можете изменить интервал обновления настрое GPO с помощью параметра Set Group Policy refresh interval for computers, который находится в секции GPO Computer Configuration -> Administrative Templates -> System -> Group Policy.

Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:

This setting allow you to customize how often Group Policy is applied to computer (от 0 до 44640 минут) – как часто клиент должен обновлять настройка GPO (если указать тут 0 – политики начнут обновляться каждые 7 секунд – не стоит этого делать);
This is a random time added to the refresh interval to prevent all clients from requesting Group Policy at the same time (от 0 до 1440 минут) – максимальное значение случайного интервал времени, которые добавляется в виде смещения к предыдущему параметру (используется для уменьшения количества одновременных обращений к DC за файлами GPO от клиентов).

GPUpdate.exe – команда обновления параметров групповых политики

Всем администраторов знакома команда gpupdate.exe, которая позволяет обновить параметры групповых политик на компьютере. Большинство не задумываясь используют для обновления GPO команду gpupdate /force . Эта команда заставляет компьютер принудительно перечитать все политики с контроллера домена и заново применить все параметры. Т.е. при использовании ключа force клиент обращается к контроллеру домена и заново получает файлы ВСЕХ нацеленных на него политик. Это вызывает повышенную нагрузку на сеть и контроллер домена.

Простая команда gpudate применяет только новые/измененные параметры GPO.

Если все OK, должны появится следующие строки:

Можно отдельно обновить параметры GPO из пользовательской секции:

или только политики компьютера:

gpupdate /target:computer /force

Если некоторые политики нельзя обновить в фоновом режиме, gpudate может выполнить logoff текущего пользователя:

gpupdate /target:user /logoff

Или выполнить перезагрузку компьютера (если изменения в GPO могут применится только во время загрузки Windows):

Принудительно обновление политики из консоли Group Policy Management Console (GPMC)

В консоли GPMC.msc (Group Policy Management Console), начиная с Windows Server 2012, появилась возможность удаленного обновления настроек групповых политик на компьютерах домена.

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools

Теперь после изменения настроек или создания и прилинковки новой GPO, вам достаточно щелкнуть правой клавишей по нужному Organizational Unit (OU) в консоли GPMC и выбрать в контекстном меню пункт Group Policy Update. В новом окне появится количество компьютеров, на которых будет выполнено обновление GPO. Подтвердите принудительное обновление политик, нажав Yes.

Затем GPO по очереди обновяться на каждом компьютере в OU и вы получите результат со статусом обновления политик на компьютерах (Succeeded/Failed).

Данная команда удаленно создает на компьютерах задание планировщика с командой GPUpdate.exe /force для каждого залогиненого пользователя. Задание запускается через случайный промежуток времени (до 10 минут) для уменьшения нагрузки на сеть.

Открыт порт TCP 135 в Windows Firewall;
Включены службы Windows Management Instrumentation и Task Scheduler.

Если компьютер выключен, или доступ к нему блокируется файерволом напротив имени такого компьютера появится надпись “The remote procedure call was cancelled”.

По сути этот функционал дает тот же эффект, если бы вы вручную обновили настройки политик на каждом компьютере командой GPUpdate /force .

Invoke-GPUpdate – обновление GPO из Powershell

Также вы можете вызвать удаленное обновление групповых политик на компьютерах с помощью PowerShell комнадлета Invoke-GPUpdate (входит в RSAT). Например, чтобы удаленно обновить пользовательские политики на определенном компьютере, можно использовать команду:

Invoke-GPUpdate -Computer «corpComputer0200» -Target «User»

При запуске командлета Invoke-GPUpdate без параметров, он обновляет настройки GPO на текущем компьютере (аналог gpudate.exe).

В сочетании с командлетом Get-ADComputer вы можете обновить групповые политики на всех компьютерах в определенном OU:

Get-ADComputer –filter * -Searchbase «ou=Computes,OU=SPB,dc=winitpro,dc=com» | foreach

или на всех компьютерах, которые попадают под определенный критерий (например, на всех Windows Server в домене):

При удаленном выполнении командлета Invoke-GPUpdate или обновления GPO через консоль GPMC на мониторе пользователя может на короткое время появиться окно консоли с запущенной командой gpupdate .

Обновление политик AD с командой Powershell Invoke-GPUpdate

Для обновления политик Active Directory, вместо команды CMD gpudate, в Powershell используется Invoke-GPUpdate. В этом статье будут рассмотрены примеры обновления политик как для всего AD, так и для отдельной OU.

Сама команда идет в комплекте с ролью AD или установленным RSAT.

Навигация по посту

Обновление GPO на одном компьютере
Обновление с использованием AD

Обновление GPO на одном компьютере

Представим, что у нас есть компьютер ‘CL5’ и мы хотим обновить политики, которые предназначены для компьютера или пользователя. Это можно сделать так:

Для работы этой команды, а так же большинства других с возможностью удаленного подключения, должен работать PSRemoting.

По умолчанию эта команда не применяет новые политики моментально, а делает это с определенным интервалом. Что бы избежать этого нужно указать параметр:

RandomDelayInMinutes — где значение 0 обозначает «моментальное обновление». Кроме этого можно указать значение в минутах, которое будет определять время обновления политик после запуска команды.

В документации Microsoft написано, что для значений больших чем 0 так же применяется «случайное смещение», но как оно вычисляется мне выяснить не удалось. Такой подход используется, если вы ожидаете какую-то большую нагрузку на сеть или сервер.

В этом примере политики будут применены моментально:

При этом у пользователей появится следующее окно, которое нельзя никак скрыть:

Как и с gpupdate в CMD мы можем указать источник применения политики в Target:

User — обновить GPO предназначенные для пользователя;
Computer — обновить GPO для компьютера.

Сами политики могут не применяться, например, до повторного входа пользователя или перезагрузки. Если такие действия необходимы можно использовать следующие ключи:

Boot — компьютер будет перезагружен после того, как политика будет скачена;
LogOff — после применения политики пользователю выйдет из под своей учетной записи для повторного входа.

Пример работы с обоими ключами:

Force исключает ситуацию, где у пользователя будет запрошено подтверждение на какое-то действия (на выход например). Окно с примером, где этого ключа не было:

Возможные проблемы

Некоторые GPO так и не вступили в действие при использовании ключей Boot и LogOff. Просто отображалось окно аналогичное показанному на изображении выше. После закрытия окна перезагрузка или выход пользователя тоже не произошел.

Команда Boot не перезагружает компьютер, а только выбрасывает пользователя для повторного входа. Возможно это связано с самой политикой, так как она не требовала перезагрузку.

Так же читал про проблемы, которые связаны с отсутствием или использованием старой версии RSAT. Об этом говорят следующие ошибки:

Invoke-GPUpdate: The term ‘Invoke-GPUpdate’ not recognized as the name of a cmdlet.
Invoke-GPUpdate : Имя «Invoke-GPUpdate» не распознано как имя командлета, функции.

Получение списка компьютеров с Get-ADComputer в Powershell

Обновление с использованием AD

Имя каждого компьютера можно найти через следующий запрос:

У меня есть организационная единица ‘Moscow’, в домене ‘domain.local’. Что бы найти компьютеры в этом OU можно использовать следующий синтаксис:

Обновление политик можно сделать через конвейер следующим образом:

Ключ -ErrorAction SilentlyContinue позволяет исключить вывод ошибок, которые связаны с выключенными компьютерами.

Если компьютеров в AD много и вам важна скорость обновления — лучше использовать циклы с задержкой:

Управление обновлением и применением параметров безопасности в групповой политике

Не вызывает сомнения тот факт, что групповая политика (Group Policy) в Active Directory является самым эффективным и наиболее логичным способом настройки и поддержания безопасности для всех контроллеров домена, серверов и настольных компьютеров. Вопрос возникает по поводу того, как поддерживать и управлять применением параметров безопасности, а также о том, как обновлять параметры, которые вы задаете в объекте групповой политики (GPO)? Существует много способов контролирования того, как обновлять и управлять параметрами безопасности, некоторые из которых уже есть у вас в сети, и которые вы можете настраивать, если хотите двигаться по этому пути. В этой статье будут рассмотрены некоторые способы, которые доступны для управления тем, как обновлять и применять параметры безопасности в групповой политике.

Какие параметры относятся к параметрам безопасности?

Чтобы убедиться, что мы все открыли одну и ту же страницу, я хочу убедиться, что все точно знают, что входит в «параметры безопасности» в объекте групповой политики. Если вы откроете стандартный GPO на компьютере Windows Server 2008, вам нужно будет развернуть вкладки Конфигурация компьютера | Политики | Параметры Windows | Параметры безопасности , чтобы посмотреть все параметры, связанные с безопасностью, о которых я буду говорить в этой статье (есть несколько параметров, расположенных в Конфигурации пользователя | Политики | Параметры Windows | Параметры безопасности , но они не часто используются, однако тоже относятся к этой категории), как показано на рисунке 1.

Рисунок 1: Параметры безопасности в стандартном объекте групповой политики

Причина, по которой все эти параметры относятся к данной категории, кроется в том, что они управляются расширением безопасности клиентской стороны (Security Client Side Extension — CSE). Мы увидим, что безопасностью CSE можно управлять отдельно с других CSEs, и что она ведет себя немного по-другому.

Обновление вручную

Групповая политика имеет автоматическое фоновое обновление, но в некоторых случаях интервалы слишком велики для параметров, которые вы хотите применить. В этом случае обновление групповой политики можно инициировать простой командной, которая очень полезна во времена, когда вы тестируете или хотите задать параметры на компьютере немедленно. Чтобы обновить групповую политику (которая будет включать параметры безопасности), вам нужно будет запустить GPUPDATE в интерпретаторе команд. Для компьютеров, входящих в домен, она применит все новые параметры из всех объектов групповой политики в локальной директории и Active Directory.

Если вы НЕ вносили никаких изменений в GPO, содержащий ваши параметры безопасности, но все же хотите применить параметры вручную, вы можете использовать переключатель /force с командой GPUPDATE. Этот переключатель в принудительном порядке обеспечит применение всех параметров GPO без учета номера версии GPO или обновлений в GPO. Он просто повторно применит все параметры, содержащиеся во всех GPOs.

Заметка: Если вы хотите использовать ручное обновление для применения параметров безопасности (или каких-либо других параметров) из центрального расположения, можете использовать GPUPDATE от Special Operations Software (www.specopssoft.com). Да, кстати…она бесплатна!

Автоматическое фоновое обновление

Групповая политика имеет отличную функцию, которая постоянно применена в фоновом режиме, пользователям при этом не нужно выходить из системы и входить снова, а компьютер не нужно перезагружать. По умолчанию фоновое обновление происходит примерно каждые полтора часа. Это базовое время фонового обновления, с получасовым смещением. Это автоматическое фоновое обновление управляется параметрами GPO во вкладке Конфигурация компьютера | Политики | Шаблоны администрирования | Система | Групповая политика . Параметры, которые вам нужно настроить, чтобы изменить стандартный параметр фонового обновления – это интервал обновления групповой политики для компьютера, как показано на рисунке 2.

Рисунок 2: Обновление групповой политики можно изменить с помощью этого параметра политики

Я показываю вам этот параметр не потому, что его можно изменять здесь. Существует несколько довольно веских причин не делать этого. Во-первых, каждые девяносто минут вполне достаточный параметр для обновлений групповой политики. Во-вторых, если вы измените интервал обновления, он повлияет на все CSE, а не только на параметры безопасности. Это может вызвать серьезные проблемы с производительностью всех компьютеров в сети, что, конечно, совсем не является желаемым результатом!

Однако вы можете сделать следующее относительно параметров безопасности во время фонового обновления, вы можете убедиться, что они применяются каждый раз. Это необязательно в силу поведения параметров безопасности с другим интервалом (смотреть следующий раздел), однако, если у вас возникла ситуация, в которой пользователи были настроены в качестве администраторов собственных компьютеров, не такая уж плохая мысль в принудительном порядке обеспечивать применение всех параметров безопасности при каждом фоновом обновлении групповой политики. Чтобы задать этот параметр для параметров безопасности в GPO, перейдите по вкладкам Конфигурация компьютера | Политики | Административные шаблоны | Система | Групповая политика . Там вы найдете политику под названием Обработка политики безопасности, которая показана на рисунке 3.

Рисунок 3: Параметры безопасности можно принудительно применять при каждом применении GPO

Выбирая обработку, даже если объекты групповой политики не изменились, вы лишь сможете запустить принудительное применение параметров безопасности каждый раз, а не для каждого CSE.

>’Уникальное’ фоновое обновление параметров безопасности

Имея более 30 CSE, GPO постоянно выполняет свою работу в вашей сети. Однако один CSE, который уникален, это CSE параметров безопасности. Этот CSE ведет себя подобно остальным CSE, за исключением того факта, что каждые 16 часов параметр безопасности CSE применяет все параметры во всех GPO независимо от наличия или отсутствия изменений в GPO. В других CSE в ситуации отсутствия изменений параметров GPO, параметры GPO не применяются повторно.

Это отличная функция и ее можно изменять. В отличие от других параметров, которые я показывал вам в этой статье, этот параметр НЕ относится к параметрам GPO. Он скорее является параметром реестра. Если вы хотите изменить этот параметр самостоятельно, вы можете сделать это, изменив MaxNoGPOListChangesInterval , который расположен в системном реестре:

( Заметка: Эта длинная строка цифр является GUID для безопасности CSE.) Вы можете посмотреть этот путь в параметрах интервала ключа на рисунке 4.

Рисунок 4: Параметры безопасности CSE реестра, включая значение MaxNoGPOListChangesInterval

Заметка: MaxNoGPOListChangesInterval значение реестра является вводом DWORD значения и имеет элементы минут. Если вы хотите задать это значение на 16 часов, это будет 960 минут в реестре.

Резюме

Если безопасность является важной для вашей организации, и вы используете групповую политику для применения безопасности, вы можете получить дополнительное управление над тем, как групповая политика обеспечивает параметры безопасности. У вас есть множество опций для принуждения и управления обновлениями, и даже обеспечения целостности параметров безопасности со временем в групповой политике. Существуют ручные способы, которыми можно управлять на целевом компьютере, а также решения, которые интегрируются непосредственно в Active Directory Users and Computers инструменты для управления обновлениями групповой политики из центрального места, как например Specops. Если вы хотите, чтобы ваши параметры безопасности обновлялись при каждом фоновом обновлении, вы можете задать CSE параметры для обеспечения этого. Наконец, вы можете изменять периоды специальных фоновых обновлений параметров безопасности, которые по умолчанию происходят каждые 16 часов. Благодаря всем этим элементам управления, ваша безопасность на серверах и машинах будет постоянно в действии, а также будет соответствовать вашим требованиям постоянно.