コマンドプロンプトを使用してグループポリシーの更新を強制する
最初のオプションは、クライアントに通常のバックグラウンド処理間隔をスキップし、サーバーからすべての新規または変更されたGpoを今すぐ更新するように指示する簡単なコマンドを実行することです。 ただし、各ユーザーマシンに物理的に移動してgpupdateコマンドを入力すると、グループポリシーオブジェクトが他の新しいGpoまたは変更されたGpoとともに手動で,
パラメーターなしでgpupdateコマンドを実行すると、グループポリシーオブジェクトのユーザーとコンピューターの両方の半分が更新されます。
gpupdate/Target:Computer,/Target:User
ユーザーがマシンにログオンしている間にgpupdateを実行すると、すぐにWindowsに新しいGPO設定が与えられます(もちろん、ドメインコントローラにレプリケートされたGPO,
Windows XP以降では、高速起動、ソフトウェア配布、フォルダリダイレクトが既定で有効になっているため、設定は次回のログオン時にのみ処理されます。 適切なスイッチを使用すると、gpupdateは、新しく変更されたアイテムがログオフまたは再起動をアクティブにする必要があるかどうかを判断できます。
- /Logoffスイッチを指定してgpupdateを実行すると、Active Directoryでのポリシー変更によりユーザーがログオフする必要があるかどうかがわかります。 そうでない場合、ユーザーは自動的にログオフされ、グループポリシー設定はログインし直すときに適用されます。,
- 同様に、高速起動が有効になっている場合は、ソフトウェア配布設定があるGpoを適用するために再起動が必要です。 /Bootスイッチでgpupdateを実行すると、ポリシーに再起動が必要なものがあるかどうかがわかり、コンピューターが自動的に再起動されます。 更新されたGPOを再起動する必要がない場合は、GPO設定が適用され、ユーザーはログオンしたままになります。
/Logoffスイッチと/bootスイッチはどちらも省略可能です。
これまでの議論は、新しいGpoと既存のGpoへの変更にのみ適用されます。, ただし、新しいGpoや変更されたGpoだけでなく、古いGpoにもすべてのGpoをコンピュータに適用することができる場合があります。 その場合は、次のようにgpupdateで/forceスイッチを使用する必要があります。
gpupdate/force
/forceと組み合わせて、次のような他のオプションを使用できます。
- /Logoff—グループポリシー設定が更新された後にユーザーをログオフします。
- /Sync—フォアグラウンド(スタートアップ/ログオン)処理を同期に変更します。
- /Boot-グループポリシー設定が適用された後、コンピュータを再起動します。,
グループポリシー管理コンソールを使用したグループポリシー更新の強制
コマンドラインツールの代わりに、グループポリシー管理コンソール(GPMC)を使用してグループポリシー更新を強制することができます。 GPMCは、Windows Server2008以降のすべてのMicrosoft Windows Serverに含まれています。
GPOを強制的に適用するには、次の簡単な手順を実行します。
- OPEN
- GPOをOUにリンクします。
- OUを右クリックし、”グループポリシーの更新”オプションを選択します。,
- “はい”をクリックして、強制的なグループポリシー更新ダイアログでアクションを確認します。
PowerShellを使用したグループポリシーの更新の強制
Windows Server2012以降、PowerShellコマンドレットInvoke-GPUpdateを使用してグループポリシーの更新を強制できます。 このコマンドは、Windowsクライアントコンピュータのグループポリシ る必要がありましてもユーやグループの方針管理コンソールを設置。,
このコマンドレットを使用して特定のコンピューターでグループポリシーを即時に更新する例を次に示します。
Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0
RandomDelayMinutes0パラメーターを使用すると、ポリシー このパラメータを使用する唯一の欠点は、ユーザーがcmd画面ポップアップを取得することです。
すべてのコンピューターを強制的に更新する場合は、次のコマンドを実行します。
このコードは、ドメインからすべてのコンピューターを取得し、変数に入れて、各オブジェクトのコマンドを実行します。,
GPOバックグラウンド更新
すべてのグループポリシークライアントは、バックグラウンド更新間隔が経過するとGpoを処理しますが、クライアントが最後に要求したときから新しいGpoまたは変更されたGpoのみを処理します。
ただし、セキュリティ設定では、グループポリシーエンジンの動作が異なります。 セキュリティポリシー設定のためだけに特別な背景の更新を要求します。 これを背景にセリフレッシュが有効での全てのバージョンのWindowsサーバーです。, 16時間ごとに、各グループポリシークライアントは、セキュリティ設定を含むすべてのGpo(変更されたGpoだけでなく)についてActive Directoryに尋ね、それらのセキュリテ これにより、クライアント(グループポリシーエンジンの背後)でセキュリティ設定が変更された場合、16時間以内に自動的に適切な設定に戻されます。,
ローカルGpoのバックグラウンド更新プロセス
ユーザーがWindowsマシンのローカル管理者である場合、グループポリシーエンジンプロセスを完全に制御し、ローカルポリシーを変更することができます—変更すべきではないシステム上のものを含め、GPOで設定したポリシーを無効にする可能性があります。 この問題を回避するには、ローカル管理者権限を使用できない一部の特権ユーザーにのみローカル管理者アカウントを付与するか、特権ユーザーが実行する必要が, アナフィラキシー様を定期的にユーザーの管理権である。
セキュリティ以外のグループポリシー設定の必須再適用
上記のように、バックグラウンドセキュリティ更新は、16時間ごとにすべてのセキュリテ ただし、特にセキュリティ関連ではない悪用を修正するために、サーバー上のGpoが変更されていない場合でも、セキュリティ以外の設定を強制する必要, 各初期ポリシー処理およびバックグラウンド更新中のグループポリシー:
- レジストリ(管理用テンプレート)
- Internet Explorerのメンテナンス
- IPセキュリティ
- EFS回復ポリシー
- ワイヤレスポリシー
- ディスククォータ
- スクリプト
- セキュリティ
- フォルダリダイレクト
- ソフトウェアインストール
- 有線ポリシー
まとめ
要約すると、active Directoryでgpoを変更すると、次の更新間隔でgpoが自動的に適用されます。, 追加の安全対策として、必須の再適用を設定して、変更されていなくても、特定のグループポリシー設定が常に再適用されるようにすることができます。 することができますに帰属意図しない化されたコードを生成するために現地ます。
