forzar una actualización de directiva de grupo mediante el símbolo del sistema
su primera opción es ejecutar un comando simple que le diga al cliente que omita el intervalo normal de procesamiento en segundo plano y actualice todos los GPO nuevos o modificados desde el servidor ahora mismo. Sin embargo, debe desplazarse físicamente a cada máquina de usuario e ingresar el comando gpupdate, actualizando así el objeto de directiva de grupo, junto con cualquier otro GPO nuevo o modificado, manualmente.,
tenga en cuenta que al ejecutar el comando gpupdate sin parámetros, se actualizarán las mitades de usuario y de equipo de los objetos de directiva de grupo. Para actualizar solo una mitad o la otra, use esta sintaxis:
gpupdate / Target: Computer, / Target:User
Ejecutar gpupdate mientras un usuario está conectado a una máquina inmediatamente le da a Windows la nueva configuración de GPO (asumiendo, por supuesto, que el controlador de dominio tiene la información de GPO replicada).,
en Windows XP y versiones posteriores, el arranque rápido, la distribución de Software y la redirección de carpetas están habilitados de forma predeterminada, por lo que la configuración solo se procesa en la próxima hora de inicio de sesión. Si utiliza los conmutadores correctos, gpupdate puede averiguar si los elementos recién modificados requieren un cierre de sesión o reinicio para estar activos:
- Al ejecutar gpupdate con el conmutador /Logoff, se averiguará si un cambio de directiva en Active Directory requiere que el usuario cierre la sesión. Si no, la nueva configuración se aplica inmediatamente; si es así, el Usuario se desconectará automáticamente y la configuración de la directiva de grupo se aplicará cuando vuelva a iniciar sesión.,
- Del mismo modo, si el arranque rápido está habilitado, se requiere un reinicio para aplicar los GPO que tienen configuraciones de distribución de Software. Al ejecutar gpupdate con el interruptor / boot, se averiguará si una política tiene algo que requiere un reinicio y reiniciará automáticamente el equipo. Si el GPO actualizado no requiere un reinicio, la configuración del GPO se aplica y el usuario permanece conectado.
los interruptores / Logoff y / boot son opcionales.
la discusión hasta ahora se aplica solo a los nuevos GPO y cambios a los existentes., Sin embargo, a veces es posible que desee aplicar todos los GPO a un equipo, no solo los GPO nuevos o modificados, sino también los antiguos. En ese caso, debe usar el interruptor /force con gpupdate, de la siguiente manera:
gpupdate /force
otras opciones están disponibles junto con /force, incluyendo:
- /Logoff — cierre la sesión del usuario después de actualizar la configuración de la directiva de grupo.
- / Sync-cambie el procesamiento en primer plano (Inicio/Inicio de sesión) a síncrono.
- / Boot: reinicie la máquina después de aplicar la configuración de la directiva de grupo.,
forzar una actualización de directiva de grupo mediante la consola de administración de directivas de grupo
como alternativa a las herramientas de línea de comandos, puede forzar una actualización de directiva de grupo mediante la consola de administración de directivas de grupo (GPMC). GPMC se incluye con todos los servidores de Microsoft Windows desde Windows Server 2008; también puede obtenerlo instalando herramientas de administración remota de servidores (RSAT).
para forzar la aplicación de un GPO, siga estos sencillos pasos:
- abrir
- vincular el GPO a una unidad organizativa.
- haga clic con el botón derecho en la unidad organizativa y elija la opción «Actualización de directiva de grupo».,
- confirme la acción en el cuadro de diálogo forzar actualización de directiva de grupo haciendo clic en «sí».
forzar una actualización de directiva de grupo mediante PowerShell
desde Windows Server 2012, puede forzar una actualización de directiva de grupo mediante el cmdlet de PowerShell Invoke-GPUpdate. Este comando se puede usar para la actualización remota de directivas de grupo de equipos cliente Windows. Necesitará tener PowerShell y la consola de administración de directivas de grupo instaladas.,
Este es un ejemplo de uso de este cmdlet para forzar una actualización inmediata de la directiva de grupo en un equipo concreto:
Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0
El parámetro RandomDelayMinutes 0 garantiza que la directiva se actualice al instante. El único inconveniente de usar este parámetro es que los usuarios obtendrán una ventana emergente de pantalla cmd.
si desea forzar una actualización en todos los equipos, ejecute estos comandos:
este código obtendrá todos los equipos del dominio, los pondrá en una variable y ejecutará los comandos para cada objeto.,
actualización en segundo plano de GPO
todos los clientes de directiva de grupo procesan GPO cuando se cumple el intervalo de actualización en segundo plano, pero solo procesan aquellos GPO que son nuevos o han cambiado desde la última vez que el cliente los solicitó.
sin embargo, para la configuración de seguridad, el motor de directivas de grupo funciona de manera diferente. Solicita una actualización especial en segundo plano solo para la configuración de la directiva de seguridad. Esto se denomina actualización de seguridad en segundo plano y es válido para todas las versiones de Windows Server., Cada 16 horas, cada cliente de directiva de grupo pregunta a Active Directory sobre todos los GPO que contienen configuraciones de seguridad (no solo las que han cambiado) y vuelve a aplicar esas configuraciones de seguridad. Esto garantiza que si una configuración de seguridad ha cambiado en el cliente (detrás del motor de directivas de grupo), se revierte automáticamente a la configuración adecuada en un plazo de 16 horas.,
proceso de actualización en segundo plano para los GPO locales
si los usuarios son administradores locales de sus máquinas Windows, tienen el control total de los procesos del motor de directivas de grupo y pueden realizar cambios en las directivas locales, cambios que podrían anular una directiva que haya establecido con un GPO, incluidas las cosas del sistema que no se deben cambiar. Para evitar este problema, debe asignar cuentas de administrador local solo a algunos usuarios privilegiados que no pueden trabajar con derechos de administrador local o conceder derechos de administrador local solo a aquellas aplicaciones que los usuarios privilegiados necesitan ejecutar., Nunca debe otorgar derechos administrativos a los usuarios regulares.
reaplicación obligatoria de configuraciones de directiva de grupo que no son de seguridad
como se describió anteriormente, la actualización de seguridad en segundo plano actualiza todas las configuraciones de directiva relacionadas con la seguridad cada 16 horas. Pero a veces también debe forzar la aplicación de configuraciones que no sean de seguridad, incluso si los GPO en los servidores no han cambiado para corregir exploits que no están específicamente relacionados con la seguridad., Política de grupo durante cada procesamiento inicial de políticas y actualización en segundo plano:
- Registro (Plantillas administrativas)
- Mantenimiento de Internet Explorer
- Seguridad IP
- Política de recuperación EFS
- Política inalámbrica
- cuota de disco
- Scripts
- Seguridad
- redirección de carpetas
- instalación de Software
- Política cableada
conclusión
para resumir, cuando cambie un GPO en Active Directory, se aplicará automáticamente en el siguiente intervalo de actualización; también puede forzar una actualización para aplicarla inmediatamente a sus sistemas cliente., Como medida de seguridad adicional, puede configurar una reaplicación obligatoria para garantizar que ciertas configuraciones de directiva de grupo siempre se vuelvan a aplicar, incluso si no han cambiado. Esto le permite revertir los cambios no deseados realizados por los administradores locales.
