wymuszenie aktualizacji zasad grupy przy użyciu wiersza polecenia
pierwszą opcją jest uruchomienie prostego polecenia, które mówi klientowi o pominięciu normalnego interwału przetwarzania w tle i zaktualizowaniu wszystkich nowych lub zmienionych układów GPO z serwera. Musisz jednak fizycznie przejść do każdego komputera użytkownika i wprowadzić polecenie gpupdate, odświeżając w ten sposób obiekt zasad grupy, wraz z innymi nowymi lub zmienionymi GPO, ręcznie.,
zauważ, że uruchomienie polecenia gpupdate bez parametrów odświeży zarówno użytkownikowi, jak i komputerowi połowę obiektów zasad grupy. Aby odświeżyć jedną lub drugą połowę, użyj tej składni:
gpupdate /Target:Computer, /Target:User
uruchomienie gpupdate, gdy użytkownik jest zalogowany na komputerze natychmiast daje Windows nowe ustawienia GPO (zakładając oczywiście, że kontroler domeny ma replikowane informacje GPO).,
w Windows XP i nowszych, Szybkie uruchamianie, dystrybucja oprogramowania i przekierowanie folderów są domyślnie włączone, więc ustawienia są przetwarzane tylko przy następnym logowaniu. Jeśli użyjesz odpowiednich przełączników, gpupdate może dowiedzieć się, czy Nowo zmienione elementy wymagają wylogowania lub ponownego uruchomienia, aby były aktywne:
- uruchamiając gpupdate z przełącznikiem /wylogowanie, dowiesz się, czy zmiana zasad w Active Directory wymaga wylogowania użytkownika. Jeśli nie, nowe ustawienia zostaną natychmiast zastosowane; jeśli tak, użytkownik zostanie automatycznie wylogowany, a ustawienia zasad grupy zostaną zastosowane po ponownym zalogowaniu.,
- Podobnie, jeśli włączony jest szybki rozruch, wymagany jest restart, aby zastosować Układy GPO z ustawieniami dystrybucji oprogramowania. Uruchomienie gpupdate z przełącznikiem / boot spowoduje wykrycie, czy polityka zawiera coś, co wymaga ponownego uruchomienia i automatycznego ponownego uruchomienia komputera. Jeśli zaktualizowany GPO nie wymaga ponownego uruchomienia, ustawienia GPO są stosowane, a użytkownik pozostaje zalogowany.
przełączniki /Logoff i / boot są opcjonalne.
dyskusja na razie dotyczy tylko nowych GPO i zmian w istniejących., Czasami jednak możesz zastosować wszystkie GPO do komputera — nie tylko nowe lub zmienione GPO, ale także stare. W takim przypadku musisz użyć przełącznika / force z gpupdate, w następujący sposób:
gpupdate /force
Inne opcje są dostępne w połączeniu z /force, w tym:
- /Logoff — Wyloguj użytkownika po zaktualizowaniu ustawień zasad grupy.
- / Sync-Zmiana przetwarzania pierwszego planu (uruchamiania/logowania) na synchroniczny.
- / Boot-Uruchom ponownie komputer po zastosowaniu ustawień zasad grupy.,
wymuszanie aktualizacji zasad grupy przy użyciu Konsoli zarządzania zasadami grupy
jako alternatywę dla narzędzi wiersza poleceń można wymusić aktualizację zasad grupy przy użyciu konsoli zarządzania zasadami grupy (GPMC). GPMC jest dołączony do każdego serwera Microsoft Windows od systemu Windows Server 2008; można go również uzyskać, instalując narzędzia do zarządzania zdalnym serwerem (RSAT).
aby wymusić zastosowanie GPO, wykonaj następujące proste kroki:
- Otwórz
- Połącz GPO z OU.
- kliknij prawym przyciskiem myszy i wybierz opcję „Aktualizacja zasad grupy”.,
- Potwierdź działanie w oknie dialogowym Wymuś aktualizację zasad grupy, klikając „Tak”.
wymuszanie aktualizacji zasad grupy za pomocą PowerShell
od wersji Windows Server 2012 można wymusić odświeżenie zasad grupy za pomocą wywołania PowerShell cmdlet-GPUpdate. Polecenie to może być używane do zdalnej aktualizacji zasad grupy komputerów klienckich systemu Windows. Konieczne będzie zainstalowanie zarówno PowerShell, jak i konsoli zarządzania zasadami grupy.,
oto przykład użycia tego cmdletu, aby wymusić natychmiastową aktualizację zasad grupy na konkretnym komputerze:
Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0
parametr RandomDelayMinutes 0 zapewnia natychmiastową aktualizację zasad. Jedynym minusem korzystania z tego parametru jest to, że użytkownicy otrzymają wyskakujący ekran cmd.
Jeśli chcesz wymusić aktualizację na wszystkich komputerach, Uruchom te polecenia:
Ten kod pobierze wszystkie komputery z domeny, umieści je w zmiennej i uruchomi polecenia dla każdego obiektu.,
Odświeżanie tła GPO
wszyscy klienci zasad grupy przetwarzają GPO, gdy nadejdzie interwał odświeżania tła — ale przetwarzają tylko te GPO, które są nowe lub zmieniły się od ostatniego żądania klienta.
jednak w przypadku ustawień zabezpieczeń silnik zasad grupy działa inaczej. Prosi o specjalne odświeżenie tła tylko dla ustawień zasad bezpieczeństwa. Nazywa się to odświeżaniem zabezpieczeń w tle i jest ważne dla każdej wersji systemu Windows Server., Co 16 godzin każdy klient zasad grupy pyta Active Directory o wszystkie GPO, które zawierają ustawienia zabezpieczeń (nie tylko te, które się zmieniły) i ponownie stosuje te ustawienia zabezpieczeń. Zapewnia to, że jeśli ustawienie zabezpieczeń zostało zmienione na kliencie (za plecami mechanizmu zasad grupy), zostanie ono automatycznie przywrócone do właściwego ustawienia w ciągu 16 godzin.,
proces odświeżania tła dla lokalnych GPO
Jeśli użytkownicy są lokalnymi administratorami swoich komputerów z systemem Windows, mają pełną kontrolę nad procesami mechanizmu zasad grupy i mogą wprowadzać zmiany w lokalnych zasadach — zmiany, które mogą unieważnić Zasady ustawione za pomocą GPO, w tym rzeczy w systemie, które nie powinny być zmieniane. Aby uniknąć tego problemu, należy dać konta administratora lokalnego tylko niektórym uprzywilejowanym użytkownikom, którzy nie mogą pracować z prawami administratora lokalnego lub przyznać uprawnienia administratora lokalnego tylko tym aplikacjom, które użytkownicy uprzywilejowani muszą uruchomić., Nigdy nie należy przyznawać zwykłym użytkownikom praw administracyjnych.
obowiązkowe ponowne zastosowanie ustawień zasad innych niż grupy zabezpieczeń
jak opisano powyżej, odświeżanie zabezpieczeń w tle aktualizuje wszystkie ustawienia zasad związanych z bezpieczeństwem co 16 godzin. Ale czasami trzeba również wymusić zastosowanie ustawień niezwiązanych z bezpieczeństwem, nawet jeśli GPO na serwerach nie uległo zmianie, aby naprawić exploity, które nie są związane z bezpieczeństwem., Zasady grupy podczas każdego początkowego przetwarzania zasad i odświeżania w tle:
- Registry (Administrative Templates)
- Konserwacja Internet Explorera
- bezpieczeństwo IP
- Polityka odzyskiwania EFS
- Polityka Bezprzewodowa
- kontyngent dysków
- Skrypty
- bezpieczeństwo
- Polityka Przewodowa
Instalacja oprogramowania
podsumowanie
podsumowując, gdy zmienisz GPO w Active Directory, zostanie on automatycznie zastosowany w następnym interwale odświeżania; możesz również wymusić odświeżanie, aby natychmiast zastosować go do swoich systemów klienckich., Jako dodatkowy środek bezpieczeństwa można skonfigurować obowiązkowe ponowne stosowanie, aby upewnić się, że pewne ustawienia zasad grupy są zawsze ponownie stosowane, nawet jeśli nie uległy zmianie. Umożliwia to przywrócenie niechcianych zmian wprowadzonych przez lokalnych administratorów.