forcer une mise à jour de stratégie de groupe à l’aide de l’invite de commande
votre première option consiste à exécuter une commande simple qui indique au client d’ignorer l’intervalle de traitement en arrière-plan normal et de mettre à jour Cependant, vous devez effectuer un trot physique sur chaque machine utilisateur et entrer la commande gpupdate, actualisant ainsi l’objet de stratégie de groupe, ainsi que tout autre GPOs nouveau ou modifié, manuellement.,
notez que l’exécution de la commande gpupdate sans paramètres actualisera à la fois L’Utilisateur et les moitiés informatiques des objets de stratégie de groupe. Pour actualiser juste une moitié ou l’autre, utilisez cette syntaxe:
gpupdate /Target:Computer,/Target:User
exécuter gpupdate pendant qu’un utilisateur est connecté à une machine donne immédiatement à Windows les nouveaux paramètres GPO (en supposant, bien sûr, que le contrôleur de domaine possède les informations GPO répliquées).,
sous Windows XP et versions ultérieures, le démarrage rapide, la Distribution logicielle et la Redirection des dossiers sont activés par défaut, de sorte que les paramètres ne sont traités qu’à la prochaine connexion. Si vous utilisez les bons commutateurs, gpupdate peut déterminer si les éléments nouvellement modifiés nécessitent une déconnexion ou un redémarrage pour être actifs:
- L’exécution de gpupdate avec le commutateur /Logoff déterminera si un changement de stratégie dans Active Directory nécessite que l’utilisateur se déconnecte. Si non, les nouveaux paramètres sont appliqués immédiatement; dans ce cas, l’utilisateur sera automatiquement déconnecté et les paramètres de Stratégie de Groupe est appliquée lorsque la session est de retour dans.,
- De même, si le démarrage rapide est activé, un redémarrage est nécessaire pour appliquer les GPO qui ont des paramètres de Distribution logicielle. L’exécution de gpupdate avec le commutateur / boot déterminera si une stratégie a quelque chose qui nécessite un redémarrage et redémarrera automatiquement l’ordinateur. Si le GPO mis à jour ne nécessite pas de redémarrage, les paramètres GPO sont appliqués et l’utilisateur reste connecté.
Les commutateurs /Logoff et /boot sont facultatifs.
la discussion jusqu’à présent s’applique uniquement aux nouveaux GPO et aux modifications apportées aux GPO existants., Cependant, parfois, vous voudrez peut — être appliquer tous les GPO à un ordinateur-pas seulement les GPO nouveaux ou modifiés, mais aussi les anciens. Dans ce cas, vous devez utiliser le commutateur /force avec gpupdate, comme suit:
gpupdate /force
D’autres options sont disponibles avec /force, notamment:
- /Logoff — déconnectez l’utilisateur après la mise à jour des paramètres de stratégie de groupe.
- /Sync — Change le traitement de premier plan (démarrage / Ouverture de session) en synchrone.
- / Boot — redémarrez la machine après l’application des paramètres de stratégie de groupe.,
forcer une mise à jour de stratégie de groupe à l’aide de la console de gestion de stratégie de groupe
comme alternative aux outils de ligne de commande, vous pouvez forcer une mise à jour de stratégie de groupe à l’aide de la console de gestion de stratégie de groupe (GPMC). GPMC est inclus avec chaque serveur Microsoft Windows depuis Windows Server 2008; vous pouvez également l’obtenir en installant des outils D’Administration de serveur distant (RSAT).
pour forcer l’application d’un GPO, procédez comme suit:
- Open
- Link the GPO to an OU.
- cliquez avec le bouton droit sur L’unité D’organisation et choisissez L’option « Mise à jour de la stratégie de groupe”.,
- confirmez l’action dans la boîte de dialogue forcer la mise à jour de la stratégie de groupe en cliquant sur « Oui”.
forcer une mise à jour de stratégie de groupe à L’aide de PowerShell
Depuis Windows Server 2012, vous pouvez forcer une actualisation de stratégie de groupe à l’aide de L’applet de commande PowerShell Invoke-GPUpdate. Cette commande peut être utilisée pour la mise à jour à distance de stratégie de groupe des ordinateurs clients Windows. Vous devrez installer PowerShell et la console de gestion des stratégies de groupe.,
Voici un exemple d’utilisation de cette applet de commande pour forcer une mise à jour immédiate d’une stratégie de groupe sur un ordinateur particulier:
Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0
Le paramètre RandomDelayMinutes 0 garantit que la stratégie est mise à jour instantanément. Le seul inconvénient de l’utilisation de ce paramètre est que les utilisateurs obtiendront une fenêtre contextuelle d’écran cmd.
Si vous voulez forcer une mise à jour sur tous les ordinateurs, exécutez ces commandes:
Ce code permettra d’obtenir tous les ordinateurs du domaine, les mettre dans une variable et d’exécuter les commandes de chaque objet.,
actualisation de L’arrière — plan GPO
tous les clients de stratégie de groupe traitent les GPO lorsque l’intervalle d’actualisation de l’arrière-plan arrive à son terme-mais ils ne traitent que les GPO qui sont nouveaux ou qui ont changé depuis la dernière fois que le client les a demandés.
Cependant, pour les paramètres de sécurité, le moteur de Stratégie de Groupe fonctionne différemment. Il demande une actualisation d’arrière-plan spéciale uniquement pour les paramètres de stratégie de sécurité. Ceci est appelé l’actualisation de la sécurité en arrière-plan et est valide pour chaque version de Windows Server., Toutes les 16 heures, chaque client de stratégie de groupe interroge Active Directory sur tous les GPO qui contiennent des paramètres de sécurité (pas seulement ceux qui ont changé) et réapplique ces paramètres de sécurité. Cela garantit que si un paramètre de sécurité a changé sur le client (derrière le moteur de stratégie de groupe), il revient automatiquement au paramètre approprié dans les 16 heures.,
processus D’Actualisation en arrière — plan pour les GPO locaux
Si les utilisateurs sont des administrateurs locaux de leurs machines Windows, ils ont le contrôle total de contourner les processus du moteur de stratégie de groupe et peuvent apporter des modifications aux stratégies locales-modifications qui pourraient annuler une stratégie que vous avez définie avec un GPO, Pour éviter ce problème, vous devez attribuer des comptes d’administrateur local uniquement à certains utilisateurs privilégiés qui ne peuvent pas utiliser les droits d’administrateur local ou n’accorder des droits d’administrateur local qu’aux applications que les utilisateurs privilégiés doivent exécuter., Vous ne devez jamais donner aux utilisateurs réguliers des droits d’administration.
réapplication obligatoire des paramètres de stratégie de groupe Non liés à la sécurité
comme décrit ci-dessus, l’actualisation de la sécurité en arrière-plan met à jour tous les paramètres de stratégie liés à la sécurité toutes les 16 heures. Mais parfois, vous devez également forcer l’application de paramètres non liés à la sécurité, même si les GPO sur les serveurs n’ont pas changé afin de corriger les exploits qui ne sont pas spécifiquement liés à la sécurité., Stratégie de groupe lors de chaque traitement de stratégie initiale et Actualisation en arrière-plan:
- Registre (Modèles administratifs)
- Maintenance Internet Explorer
- sécurité IP
- Politique de récupération EFS
- Politique sans fil
- Quota de disque
- Scripts
- sécurité
- redirection de dossier
- Installation de logiciel
- Politique Filaire
conclusion
pour résumer, lorsque vous modifiez un GPO dans Active Directory, il sera automatiquement appliqué à L’intervalle D’actualisation Suivant; vous pouvez également forcer une actualisation à l’appliquer immédiatement à vos systèmes clients., Par mesure de sécurité supplémentaire, vous pouvez configurer une nouvelle application obligatoire pour vous assurer que certains paramètres de stratégie de groupe sont toujours réappliqués, même s’ils n’ont pas changé. Cela vous permet d’annuler toutes les modifications indésirables apportées par les administrateurs locaux.
