Forzare un Aggiornamento di Criteri di Gruppo utilizzando il Prompt dei comandi
la prima opzione è quella di eseguire un semplice comando che dice al client di saltare a sfondo normale intervallo di elaborazione e di aggiornamento di tutti i nuovi o modificati gli oggetti criteri di gruppo dal server in questo momento. Tuttavia, è necessario trotterellare fisicamente su ciascun computer utente e immettere il comando gpupdate, aggiornando così manualmente l’oggetto Criteri di gruppo, insieme a qualsiasi altro GPO nuovo o modificato.,
Si noti che l’esecuzione del comando gpupdate senza parametri aggiornerà sia l’utente che le metà del computer degli oggetti Criteri di gruppo. Per aggiornare solo una metà o l’altra, usa questa sintassi:
gpupdate /Target:Computer, /Target:User
L’esecuzione di gpupdate mentre un utente è connesso a una macchina fornisce immediatamente a Windows le nuove impostazioni GPO (supponendo, ovviamente, che il controller di dominio abbia le informazioni GPO replicate).,
In Windows XP e versioni successive, Avvio veloce, Distribuzione software e reindirizzamento delle cartelle sono abilitati per impostazione predefinita, quindi le impostazioni vengono elaborate solo al momento successivo di accesso. Se si utilizzano le opzioni corrette, gpupdate può capire se gli elementi appena modificati richiedono una disconnessione o un riavvio per essere attivi:
- L’esecuzione di gpupdate con l’opzione / Logoff determinerà se una modifica dei criteri in Active Directory richiede all’utente di disconnettersi. In caso contrario, le nuove impostazioni vengono applicate immediatamente; in tal caso, l’utente verrà automaticamente disconnesso e le impostazioni dei criteri di gruppo verranno applicate quando accede di nuovo.,
- Allo stesso modo, se Avvio veloce è abilitato, un riavvio è necessario per applicare GPO che hanno le impostazioni di distribuzione del software. L’esecuzione di gpupdate con l’opzione / boot capirà se un criterio ha qualcosa che richiede un riavvio e riavvia automaticamente il computer. Se il GPO aggiornato non richiede un riavvio, vengono applicate le impostazioni GPO e l’utente rimane connesso.
Entrambi gli interruttori /Logoff e / boot sono opzionali.
La discussione finora si applica solo ai nuovi GPO e alle modifiche a quelli esistenti., Tuttavia, a volte potresti voler applicare tutti i GPO a un computer, non solo nuovi o modificati GPO ma anche vecchi. In tal caso, è necessario utilizzare l’opzione /force con gpupdate, come segue:
gpupdate /force
Altre opzioni sono disponibili in combinazione con /force, tra cui:
- /Logoff — Disconnettere l’utente dopo che le impostazioni dei criteri di gruppo sono state aggiornate.
- /Sync — cambia l’elaborazione in primo piano (avvio / accesso) in sincrono.
- / Boot-Riavviare il computer dopo l’applicazione delle impostazioni dei criteri di gruppo.,
Forzare un aggiornamento dei criteri di gruppo utilizzando la Console di gestione dei criteri di gruppo
In alternativa agli strumenti della riga di comando, è possibile forzare un aggiornamento dei criteri di gruppo utilizzando la Console di gestione dei criteri di gruppo (GPMC). GPMC è incluso con ogni Microsoft Windows Server dal Windows Server 2008; è anche possibile ottenere installando Remote Server Administration Tools (RSAT).
Per forzare l’applicazione di un GPO, fai questi semplici passaggi:
- Apri
- Collega il GPO a un OU.
- Fare clic con il pulsante destro del mouse sulla OU e scegliere l’opzione “Aggiornamento criteri di gruppo”.,
- Confermare l’azione nella finestra di dialogo Force Group Policy Update facendo clic su “Yes”.
Forzare un aggiornamento dei criteri di gruppo utilizzando PowerShell
Da Windows Server 2012, è possibile forzare un aggiornamento dei criteri di gruppo utilizzando il cmdlet PowerShell Invoke-GPUpdate. Questo comando può essere utilizzato per l’aggiornamento remoto dei criteri di gruppo dei computer client Windows. È necessario disporre sia di PowerShell che della Console di gestione dei criteri di gruppo.,
Ecco un esempio di utilizzo di questo cmdlet per forzare un aggiornamento immediato dei criteri di gruppo su un particolare computer:
Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0
Il parametro RandomDelayMinutes 0 garantisce che i criteri vengano aggiornati istantaneamente. L’unico aspetto negativo dell’utilizzo di questo parametro è che gli utenti riceveranno un pop-up dello schermo cmd.
Se vuoi forzare un aggiornamento su tutti i computer, esegui questi comandi:
Questo codice otterrà tutti i computer dal dominio, li inserirà in una variabile ed eseguirà i comandi per ogni oggetto.,
GPO Background Refresh
Tutti i client di criteri di gruppo elaborano i GPO quando si verifica l’intervallo di aggiornamento in background, ma elaborano solo i GPO nuovi o modificati dall’ultima volta che il client li ha richiesti.
Tuttavia, per le impostazioni di sicurezza, il motore Criteri di gruppo funziona in modo diverso. Chiede un aggiornamento speciale dello sfondo solo per le impostazioni dei criteri di sicurezza. Questo è chiamato background security refresh ed è valido per ogni versione di Windows Server., Ogni 16 ore, ogni client Criteri di gruppo chiede Active Directory su tutti i GPO che contengono impostazioni di sicurezza (non solo quelli che sono stati modificati) e riapplica tali impostazioni di sicurezza. Ciò garantisce che se un’impostazione di sicurezza è cambiata sul client (dietro la schiena del motore Criteri di gruppo), viene automaticamente ripristinata l’impostazione corretta entro 16 ore.,
Processo di aggiornamento in background per GPO locali
Se gli utenti sono amministratori locali delle loro macchine Windows, hanno il controllo totale per aggirare i processi del motore dei criteri di gruppo e possono apportare modifiche ai criteri locali — modifiche che potrebbero annullare un criterio impostato con un GPO, incluse le cose sul sistema che non dovrebbero essere modificate. Per evitare questo problema, è necessario assegnare gli account di amministratore locale solo ad alcuni utenti privilegiati che non possono utilizzare i diritti di amministratore locale o assegnare i diritti di amministratore locale solo alle applicazioni che gli utenti privilegiati devono eseguire., Non si dovrebbe mai dare agli utenti regolari diritti amministrativi.
Riapplicazione obbligatoria delle impostazioni dei criteri di gruppo non di sicurezza
Come descritto sopra, l’aggiornamento della sicurezza in background aggiorna tutte le impostazioni dei criteri relativi alla sicurezza ogni 16 ore. Ma a volte è anche necessario forzare l’applicazione di impostazioni non di sicurezza, anche se i GPO sui server non sono stati modificati per correggere exploit che non sono specificamente correlati alla sicurezza., Criteri di gruppo durante ogni criterio iniziale di elaborazione e di aggiornamento in background:
- Registro di sistema (Modelli Amministrativi)
- Manutenzione di Internet Explorer
- Protezione IP
- Criteri di Ripristino EFS
- Wireless Politica
- Quote Disco
- Script
- Protezione
- Reindirizzamento Cartelle
- Installazione del Software
- Wired Politica
Conclusione
Per riassumere, quando si modifica un oggetto criteri di gruppo in Active Directory, verrà automaticamente applicato al successivo intervallo di aggiornamento; è anche possibile forzare l’aggiornamento di applicare subito i tuoi sistemi client., Come ulteriore misura di sicurezza, è possibile impostare la riapplicazione obbligatoria per garantire che alcune impostazioni dei criteri di gruppo vengano sempre riapplicate, anche se non sono state modificate. Ciò consente di annullare eventuali modifiche indesiderate apportate dagli amministratori locali.
