By Leave a Comment on Hoe een Update van een Groepsbeleid te forceren en te vernieuwen op de achtergrond

een Update van Groepsbeleid forceren met behulp van de opdrachtprompt

uw eerste optie is om een eenvoudig commando uit te voeren dat de client vertelt om het normale procesinterval op de achtergrond over te slaan en alle nieuwe of gewijzigde groepsbeleidsobjecten nu van de server bij te werken. U moet echter fysiek naar elke machine van de gebruiker draven en de opdracht gpupdate invoeren, waardoor het groepsbeleidsobject handmatig wordt ververst, samen met andere nieuwe of gewijzigde groepsbeleidsobjecten.,

merk op dat het uitvoeren van de opdracht gpupdate zonder parameters zowel de gebruiker als de computerhelft van de groepsbeleidsobjecten zal verversen. Gebruik de volgende syntaxis om de ene helft of de andere te vernieuwen:

gpupdate /Target:Computer, /Target:User

het uitvoeren van gpupdate terwijl een gebruiker is aangemeld bij een machine geeft Windows onmiddellijk de nieuwe instellingen voor het groepsbeleidsobject (ervan uitgaande dat de domeincontroller de gerepliceerde GROEPSBELEIDSOBJECTINFORMATIE heeft).,

in Windows XP en hoger zijn snel opstarten, softwaredistributie en Mapomleiding standaard ingeschakeld, zodat Instellingen alleen bij de volgende aanmeldingstijd worden verwerkt. Als u de juiste schakelaars gebruikt, kan gpupdate achterhalen of nieuw gewijzigde items een afmelden of reboot vereisen om actief te zijn:

  • het uitvoeren van gpupdate met de /Afmelden schakelaar zal achterhalen of een beleidswijziging in Active Directory vereist dat de gebruiker zich afmelden. Als dit niet het geval is, worden de nieuwe instellingen onmiddellijk toegepast.als dit het geval is, wordt de gebruiker automatisch afgemeld en worden de groepsbeleidsinstellingen toegepast wanneer hij zich opnieuw aanmeldt.,
  • Evenzo, als snel opstarten is ingeschakeld, is een herstart vereist om GPO ‘ s toe te passen die software distributie-instellingen hebben. Het uitvoeren van gpupdate met de /boot switch zal erachter komen of een beleid iets heeft dat een reboot vereist en automatisch de computer opnieuw op te starten. Als het bijgewerkte groepsbeleidsobject niet opnieuw hoeft te worden opgestart, worden de GROEPSBELEIDSOBJECTINSTELLINGEN toegepast en blijft de gebruiker aangemeld.

zowel de Switches /afmelden als / boot zijn optioneel.

de discussie is tot nu toe alleen van toepassing op nieuwe groepsbeleidsobjecten en wijzigingen in bestaande groepsbeleidsobjecten., Soms wilt u echter alle groepsbeleidsobjecten toepassen op een computer — niet alleen nieuwe of gewijzigde groepsbeleidsobjecten, maar ook oude. In dat geval moet u de /force — schakelaar met gpupdate als volgt gebruiken:

gpupdate /force

andere opties zijn beschikbaar in combinatie met /force, waaronder:

  • /Logoff-Log de gebruiker uit nadat de groepsbeleidsinstellingen zijn bijgewerkt.
  • / Sync-Verander de voorgrond (opstarten/aanmelden) verwerking naar synchroon.
  • / Boot-Herstart de machine nadat de groepsbeleidsinstellingen zijn toegepast.,

een Update van Groepsbeleid forceren met de Console Groepsbeleidsbeheer

als alternatief voor de opdrachtregelprogramma ‘ s kunt u een update van Groepsbeleid afdwingen met de console Groepsbeleidsbeheer (GPMC). GPMC is inbegrepen bij elke Microsoft Windows Server sinds Windows Server 2008; u kunt het ook krijgen door Remote Server Administration Tools (RSAT) te installeren.

voer de volgende eenvoudige stappen uit om een groepsbeleidsobject toe te passen:

  1. Open
  2. koppel het groepsbeleidsobject aan een organisatie-eenheid.
  3. Klik met de rechtermuisknop op de organisatie-eenheid en kies de optie “Group Policy Update”.,
  4. bevestig de actie in het dialoogvenster Groepsbeleidsupdate forceren door op “Yes”te klikken.

een Update van Groepsbeleid forceren met PowerShell

sinds Windows Server 2012 kunt u een vernieuwing van Groepsbeleid forceren met behulp van de PowerShell-cmdlet Invoke-GPUpdate. Deze opdracht kan worden gebruikt voor externe update van Windows-clientcomputers door Groepsbeleid. U moet zowel PowerShell als de Console Groepsbeleidsbeheer geïnstalleerd hebben.,

Hier is een voorbeeld van het gebruik van deze cmdlet om een onmiddellijke update van het groepsbeleid op een bepaalde computer te forceren:

Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0

De parameter RandomDelayMinutes 0 zorgt ervoor dat het beleid onmiddellijk wordt bijgewerkt. Het enige nadeel van het gebruik van deze parameter is dat de gebruikers een CMD scherm pop-up krijgen.

Als u een update op alle computers wilt forceren, voert u deze commando ’s uit:

deze code haalt alle computers uit het domein, plaatst ze in een variabele en voert de commando’ s voor elk object uit.,

GPO Background Refresh

alle groepsbeleidsclients verwerken groepsbeleidsobjecten wanneer het interval voor het vernieuwen van de achtergrond voorbij komt — maar ze verwerken alleen die groepsbeleidsobjecten die nieuw zijn of zijn gewijzigd sinds de laatste keer dat de client ze heeft aangevraagd.

voor beveiligingsinstellingen werkt de groepsbeleidsengine echter anders. Het vraagt om een speciale achtergrond vernieuwen alleen voor beveiligingsbeleid instellingen. Dit wordt de background security refresh genoemd en is geldig voor elke versie van Windows Server., Elke 16 uur vraagt elke groepsbeleidsclient Active Directory naar alle groepsbeleidsobjecten die beveiligingsinstellingen bevatten (niet alleen die welke zijn gewijzigd) en past deze beveiligingsinstellingen opnieuw toe. Dit zorgt ervoor dat als een beveiligingsinstelling op de client is gewijzigd (achter de rug van de Groepsbeleidsengine), deze automatisch binnen 16 uur wordt teruggezet naar de juiste instelling.,

Achtergrondvernieuwingsproces voor lokale groepsbeleidsobjecten

als gebruikers Lokale beheerders van hun Windows — machines zijn, hebben ze volledige controle over de processen van de Groepsbeleidsengine en kunnen ze wijzigingen aanbrengen in Lokaal beleid-wijzigingen die een beleid dat u hebt ingesteld met een groepsbeleidsobject teniet kunnen doen, inclusief dingen op het systeem die niet moeten worden gewijzigd. Om dit probleem te voorkomen, moet u alleen lokale administratoraccounts geven aan sommige bevoorrechte gebruikers die niet kunnen werken met lokale administratorrechten of lokale beheerdersrechten alleen geven aan die toepassingen die bevoorrechte gebruikers moeten uitvoeren., Je moet regelmatige gebruikers nooit Administratieve rechten geven.

verplichte Hertoepassing van beleidsinstellingen voor niet-beveiligingsgroepen

zoals hierboven beschreven, worden alle beveiligingsgerelateerde beleidsinstellingen elke 16 uur bijgewerkt met de background security refresh. Maar soms moet je ook dwingen niet-beveiligingsinstellingen toe te passen, zelfs als de GPO ‘ s op de servers niet zijn gewijzigd om exploits die niet specifiek met beveiliging verband houden op te lossen., Beleid van de groep tijdens elk eerste verwerking van beleid en vernieuwen op de achtergrond:

  • Register (Administrative Templates)
  • Internet Explorer-Onderhoud
  • IP-Beveiliging
  • EFS-Herstel-Beleid
  • Draadloze Beleid
  • Disk Quota
  • Scripts
  • Beveiliging
  • Mapomleiding
  • Installatie van Software
  • Vast Beleid

Conclusie

om samen Te vatten, wanneer u een GROEPSBELEIDSOBJECT in Active Directory, het zal automatisch worden toegepast op de volgende vernieuwingsinterval; u kunt ook force a refresh toe te passen direct op uw client-systemen., Als extra veiligheidsmaatregel kunt u verplicht opnieuw aanvragen Instellen om ervoor te zorgen dat bepaalde groepsbeleidsinstellingen altijd opnieuw worden toegepast, zelfs als ze niet zijn gewijzigd. Hierdoor kunt u ongewenste wijzigingen die door lokale beheerders zijn aangebracht, ongedaan maken.

Jeff is directeur Global Solutions Engineering bij Netwrix. Hij is een lange tijd Netwrix blogger, spreker en presentator. In de NetWrix blog, Jeff deelt lifehacks, tips en trucs die drastisch kunnen verbeteren van uw systeembeheer ervaring.,

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *