Erzwingen einer Gruppenrichtlinienaktualisierung über die Eingabeaufforderung
Ihre erste Option besteht darin, einen einfachen Befehl auszuführen, der den Client anweist, das normale Hintergrundverarbeitungsintervall zu überspringen und alle neuen oder geänderten GPOs vom Server aus zu aktualisieren. Sie müssen jedoch physisch zu jedem Benutzercomputer traben und den Befehl gpupdate eingeben, um das Gruppenrichtlinienobjekt zusammen mit anderen neuen oder geänderten GPOs manuell zu aktualisieren.,
Beachten Sie, dass das Ausführen des Befehls gpupdate ohne Parameter sowohl die Benutzer-als auch die Computerhälfte der Gruppenrichtlinienobjekte aktualisiert. Um nur die eine oder andere Hälfte zu aktualisieren, verwenden Sie diese Syntax:
gpupdate / Target:Computer, /Target: User
gpupdate ausführen, während ein Benutzer an einem Computer angemeldet ist, gibt Windows sofort die neuen GPO-Einstellungen (vorausgesetzt natürlich, dass der Domänencontroller über die replizierten GPO-Informationen verfügt).,
In Windows XP und höher sind der Schnellstart, die Softwareverteilung und die Ordnerumleitung standardmäßig aktiviert, sodass die Einstellungen nur beim nächsten Anmeldezeitpunkt verarbeitet werden. Wenn Sie die richtigen Schalter verwenden, kann gpupdate herausfinden, ob neu geänderte Elemente eine Abmeldung oder einen Neustart erfordern, um aktiv zu sein:
- Wenn gpupdate mit dem Schalter /Logoff ausgeführt wird, wird ermittelt, ob eine Richtlinienänderung in Active Directory das Abmelden des Benutzers erfordert. Wenn nicht, werden die neuen Einstellungen sofort angewendet; In diesem Fall wird der Benutzer automatisch abgemeldet und die Gruppenrichtlinieneinstellungen werden angewendet, wenn er sich wieder anmeldet.,
- Wenn Fast Boot aktiviert ist, ist ein Neustart erforderlich, um GPOs mit Softwareverteilungseinstellungen anzuwenden. Wenn Sie gpupdate mit dem /boot-Schalter ausführen, wird ermittelt, ob eine Richtlinie einen Neustart erfordert, und der Computer wird automatisch neu gestartet. Wenn das aktualisierte GPO keinen Neustart erfordert, werden die GPO-Einstellungen angewendet und der Benutzer bleibt angemeldet.
Die Schalter /Logoff und /boot sind optional.
Die Diskussion gilt bisher nur für neue GPOs und Änderungen an bestehenden GPOs., Manchmal möchten Sie jedoch möglicherweise alle GPOs auf einen Computer anwenden — nicht nur neue oder geänderte GPOs, sondern auch alte. In diesem Fall müssen Sie den Schalter / force mit gpupdate wie folgt verwenden:
gpupdate / force
Andere Optionen sind in Verbindung mit /force verfügbar, einschließlich:
- / Logoff — Melden Sie den Benutzer ab, nachdem die Gruppenrichtlinieneinstellungen aktualisiert wurden.
- / Sync – Ändern Sie den Vordergrund (Start/Anmeldung) Verarbeitung synchron.
- / Boot-Starten Sie den Computer neu, nachdem die Gruppenrichtlinieneinstellungen angewendet wurden.,
Erzwingen einer Gruppenrichtlinienaktualisierung mithilfe der Gruppenrichtlinienverwaltungskonsole
Alternativ zu den Befehlszeilentools können Sie eine Gruppenrichtlinienaktualisierung mithilfe der Gruppenrichtlinienverwaltungskonsole (GPMC) erzwingen. Der Gruppenrichtlinien-Verwaltungskonsole wird mit jedem Microsoft Windows Server seit Windows Server 2008; auch kann man es durch die Installation der Remote Server Administration Tools (RSAT).
Um die Anwendung eines GPO zu erzwingen, führen Sie diese einfachen Schritte aus:
- Öffnen Sie
- Verknüpfen Sie das GPO mit einer OU.
- Klicken Sie mit der rechten Maustaste auf die OU und wählen Sie die Option „Gruppenrichtlinienaktualisierung“.,
- Bestätigen Sie die Aktion im Dialogfeld Gruppenrichtlinienaktualisierung erzwingen mit „Ja“.
Erzwingen einer Gruppenrichtlinienaktualisierung mit PowerShell
Seit Windows Server 2012 können Sie eine Gruppenrichtlinienaktualisierung mit dem PowerShell-Cmdlet Invoke-GPUpdate erzwingen. Dieser Befehl kann für Gruppenrichtlinien-Remote-Updates von Windows-Clientcomputern verwendet werden. Sie müssen sowohl PowerShell als auch die Gruppenrichtlinienverwaltungskonsole installiert haben.,
Hier ist ein Beispiel für die Verwendung dieses Cmdlets, um eine sofortige Gruppenrichtlinienaktualisierung auf einem bestimmten Computer zu erzwingen:
Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0
Der Parameter RandomDelayMinutes 0 stellt sicher, dass die Richtlinie sofort aktualisiert wird. Der einzige Nachteil bei der Verwendung dieses Parameters ist, dass die Benutzer ein CMD-Bildschirm-Popup erhalten.
Wenn Sie ein Update auf allen Computern erzwingen möchten, führen Sie diese Befehle aus:
Dieser Code ruft alle Computer aus der Domäne ab, fügt sie in eine Variable ein und führt die Befehle für jedes Objekt aus.,
GPO Background Refresh
Alle Gruppenrichtlinien — Clients verarbeiten GPOs, wenn das Hintergrundaktualisierungsintervall abgelaufen ist-sie verarbeiten jedoch nur die GPOs, die neu sind oder sich seit dem letzten Mal geändert haben Der Client hat sie angefordert.
Für Sicherheitseinstellungen funktioniert die Gruppenrichtlinienengine jedoch anders. Es fragt nach einer speziellen Hintergrundaktualisierung nur für Sicherheitsrichtlinieneinstellungen. Dies wird als Hintergrundsicherheitsaktualisierung bezeichnet und ist für jede Version von Windows Server gültig., Alle 16 Stunden fragt jeder Gruppenrichtlinienclient Active Directory nach allen GPOs, die Sicherheitseinstellungen enthalten (nicht nur die, die sich geändert haben), und wendet diese Sicherheitseinstellungen erneut an. Dies stellt sicher, dass, wenn sich eine Sicherheitseinstellung auf dem Client geändert hat (hinter dem Rücken der Gruppenrichtlinienengine), diese innerhalb von 16 Stunden automatisch auf die richtige Einstellung zurückgesetzt wird.,
Hintergrundaktualisierungsprozess für lokale GPOs
Wenn Benutzer lokale Administratoren ihrer Windows — Computer sind, haben sie die vollständige Kontrolle über die Gruppenrichtlinien-Engine-Prozesse und können Änderungen an lokalen Richtlinien vornehmen-Änderungen, die eine Richtlinie, die Sie mit einem GPO festgelegt haben, zunichte machen, einschließlich Dingen auf dem System, die nicht geändert werden sollten. Um dieses Problem zu vermeiden, sollten Sie lokalen Administratorkonten nur einige privilegierte Benutzer zuweisen, die nicht mit lokalen Administratorrechten arbeiten können, oder lokale Administratorrechte nur den Anwendungen zuweisen, die privilegierte Benutzer ausführen müssen., Sie sollten regulären Benutzern niemals Administratorrechte erteilen.
Obligatorische erneute Anwendung von Nicht-Sicherheitsgruppen-Richtlinieneinstellungen
Wie oben beschrieben, aktualisiert die Hintergrundsicherheitsaktualisierung alle sicherheitsbezogenen Richtlinieneinstellungen alle 16 Stunden. Manchmal müssen Sie jedoch auch die Anwendung von Nicht-Sicherheitseinstellungen erzwingen, auch wenn sich die GPOs auf den Servern nicht geändert haben, um Exploits zu beheben, die nicht speziell sicherheitsrelevant sind., Gruppenrichtlinie bei jeder ersten Richtlinienverarbeitung und Hintergrundaktualisierung:
- Registry (Administrative Templates)
- Internet Explorer Maintenance
- IP Security
- EFS Recovery Policy
- Wireless Policy
- Disk Quota
- Scripts
- Security
- Folder Redirection
- Software Installation
- Wired Policy
Schlussfolgerung
Wenn Sie ein GPO in Active Directory ändern, wird es beim nächsten Aktualisierungsintervall automatisch angewendet.Sie können auch eine Aktualisierung erzwingen, um es sofort auf Ihre Clientsysteme anzuwenden., Als zusätzliche Sicherheitsmaßnahme können Sie eine obligatorische erneute Anwendung einrichten, um sicherzustellen, dass bestimmte Gruppenrichtlinieneinstellungen immer erneut angewendet werden, auch wenn sie sich nicht geändert haben. Auf diese Weise können Sie unerwünschte Änderungen von lokalen Administratoren wiederherstellen.