Nutí Aktualizaci Zásad Skupiny pomocí Příkazového Řádku
první možnost je spustit jednoduchý příkaz, který říká klientovi, aby přeskočit normální zpracování na pozadí interval a aktualizovat všechny nové nebo změněné objekty zásad skupiny ze serveru právě teď. Musíte však fyzicky klusat ke každému uživatelskému počítači a zadat příkaz gpupdate, čímž obnovíte objekt zásad skupiny spolu s jinými novými nebo změněnými GPO ručně.,
všimněte si, že spuštění příkazu gpupdate bez parametrů obnoví uživatele i poloviny objektů zásad skupiny. Aktualizovat jen jednu polovinu, nebo druhé, použijte tuto syntaxi:
gpupdate /Target:Computer, /Target:User
Spuštění gpupdate, zatímco uživatel je přihlášen k počítači okamžitě dává Windows na nový objekt GPO nastavení (samozřejmě za předpokladu, že řadič domény má replikované GPO informace).,
v systému Windows XP a novější je ve výchozím nastavení povoleno Rychlé spuštění, distribuce softwaru a přesměrování složek, takže nastavení jsou zpracovávána pouze při příštím přihlášení. Pokud budete používat správné přepínače, gpupdate můžete zjistit, jestli nově změněné položky vyžadují odhlášení nebo restartu se být aktivní:
- Spuštění gpupdate /Odhlášení přepínač bude zjistit, zda změna politiky v Active Directory vyžaduje, aby uživatel log off. Pokud tomu tak není, nová nastavení se použijí okamžitě; pokud ano, uživatel bude automaticky odhlášen a nastavení zásad skupiny budou použity, když se přihlásí zpět.,
- podobně, pokud je povoleno Rychlé spuštění, je nutné restartovat, aby se použily GPO, které mají nastavení distribuce softwaru. Spuštění gpupdate s přepínačem / boot zjistí, zda politika má něco, co vyžaduje restart a automaticky restartuje počítač. Pokud aktualizovaný GPO nevyžaduje restart, použijí se nastavení GPO a uživatel zůstane přihlášen.
oba přepínače /Logoff a / boot jsou volitelné.
diskuse se zatím týká pouze nových GPO a změn stávajících., Někdy však budete chtít použít všechny GPO k počítači – nejen nové nebo změněné GPO, ale i staré. V tomto případě, budete muset použít /platnost spínač s gpupdate, takto:
gpupdate /force
Další možnosti jsou k dispozici ve spojení s /sil, včetně:
- /Odhlásit — odhlásit uživatele po nastavení zásady Skupiny byly aktualizovány.
- / Sync-Změna zpracování popředí (startup/logon) na synchronní.
- / Boot-restartujte počítač po nastavení zásad skupiny.,
Nutí Aktualizaci Zásad Skupiny pomocí Konzoly pro Správu Zásad Skupiny
Jako alternativu pro nástroje příkazového řádku, můžete vynutit aktualizaci Zásad Skupiny pomocí Konzoly pro Správu Zásad Skupiny (GPMC). GPMC je součástí každého serveru Microsoft Windows od Windows Server 2008; můžete jej také získat instalací nástrojů pro správu vzdáleného serveru (RSAT).
Chcete-li vynutit aplikaci GPO, proveďte tyto jednoduché kroky:
- Open
- propojte GPO s OU.
- klepněte pravým tlačítkem myši na OU a vyberte možnost „aktualizace zásad skupiny“.,
- potvrďte akci v dialogovém okně aktualizace zásad Force Group kliknutím na „Ano“.
vynucení aktualizace zásad skupiny pomocí PowerShell
od Windows Server 2012 můžete vynutit aktualizaci zásad skupiny pomocí PowerShell cmdlet Invoke-GPUpdate. Tento příkaz lze použít pro skupinovou politiku vzdálené aktualizace klientských počítačů se systémem Windows. Budete muset mít nainstalovanou PowerShell i konzolu pro správu zásad skupiny.,
Tady je příklad použití této rutiny vynutit okamžitou aktualizaci Zásad Skupiny na určité počítače:
Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0
RandomDelayMinutes 0 parametr zajišťuje, že politika je aktualizována okamžitě. Jedinou nevýhodou použití tohoto parametru je, že uživatelé získají vyskakovací okno cmd obrazovky.
Pokud chcete vynutit aktualizaci na všech počítačích, spusťte tyto příkazy:
Tento kód bude mít všechny počítače z domény, dát je do proměnné a spusťte příkazy pro každý objekt.,
GPO Background Refresh
All Group Policy clients process GPO, když dojde k obnovení intervalu pozadí-ale zpracovávají pouze ty GPO, které jsou nové nebo se změnily od posledního okamžiku, kdy je klient požádal.
pro nastavení zabezpečení však motor zásad skupiny funguje jinak. Požádá o speciální obnovení pozadí pouze pro nastavení bezpečnostních zásad. Toto se nazývá aktualizace zabezpečení na pozadí a platí pro každou verzi systému Windows Server., Každých 16 hodin, každý Zásad Skupiny klienta žádá Active Directory na všechny Gpo, které obsahují nastavení zabezpečení (ne jen ty, které se změnily) a znovu ty nastavení zabezpečení. Tím je zajištěno, že pokud se na klientovi (za zády motoru zásad skupiny) změnilo nastavení zabezpečení, automaticky se do 16 hodin vrátí ke správnému nastavení.,
aktualizace na Pozadí Procesu pro Místní objekty zásad skupiny
Pokud se uživatelé jsou místní správci jejich počítačích se systémem Windows, mají úplnou kontrolu jít kolem stroj zásady Skupiny procesů a může provádět změny na místní zásady — změny, které by mohly zrušit politiku, které jste nastavili s OBJEKT zásad skupiny, včetně věcí, na systém, který by neměl být změněn. Chcete-li se tomuto problému vyhnout, měli byste dát účty místního správce pouze některým privilegovaným uživatelům, kteří nemohou pracovat s právy místního správce nebo dát místní administrátorská práva pouze těm aplikacím, které privilegovaní uživatelé potřebují spustit., Nikdy byste neměli dávat běžným uživatelům administrativní práva.
povinné opětovné použití nastavení zásad skupiny Bez zabezpečení
jak je popsáno výše, aktualizace zabezpečení na pozadí aktualizuje všechna nastavení zásad souvisejících s bezpečností každých 16 hodin. Někdy však musíte také vynutit nastavení bez zabezpečení, která mají být použita, i když se GPO na serverech nezměnily, aby se opravily exploity, které nesouvisejí konkrétně s bezpečností., Zásady skupiny během každého počáteční politiky, zpracování a aktualizace na pozadí:
- Registru (Administrativní Šablony)
- Údržba aplikace Internet Explorer
- Bezpečnostní IP
- zásady Obnovení EFS
- Bezdrátové Politika
- Disk Quota
- Skripty
- Bezpečnost
- Přesměrování Složky
- Instalace Softwaru
- Pevné Politika
Závěr
Pro rekapitulaci, při změně objektu zásad skupiny ve službě Active Directory, bude automaticky aplikován na další interval aktualizace; můžete také vynutit aktualizaci použít okamžitě, aby vaše klientské systémy., Jako další bezpečnostní opatření můžete nastavit povinné opětovné použití, abyste zajistili, že některá nastavení zásad skupiny budou vždy znovu použita, i když se nezměnila. To vám umožní vrátit nežádoucí změny provedené místními správci.