Forțând o Politică de Grup Actualizare utilizând Promptul de Comandă
prima opțiune este de a rula o comandă simplă care spune clientul pentru a sări peste normal prelucrare de fundal interval și să actualizeze toate noi sau modificate Gpo de pe server acum. Cu toate acestea, trebuie să parcurgeți fizic fiecare mașină utilizator și să introduceți comanda gpupdate, reîmprospătând astfel obiectul Politicii de grup, împreună cu orice alte GPO-uri noi sau modificate, manual.,
rețineți că rularea comenzii gpupdate fără parametri va reîmprospăta atât utilizatorul, cât și jumătățile computerului obiectelor Politicii de grup. Pentru a reîmprospăta doar o jumătate sau alta, utilizați această sintaxă:
gpupdate /Target:Computer, /Target:User
rularea gpupdate în timp ce un utilizator este conectat la o mașină oferă imediat Windows noile setări GPO (presupunând, desigur, că controlerul de domeniu are informațiile GPO reproduse).,
în Windows XP și versiunile ulterioare, pornirea rapidă, distribuția Software și redirecționarea folderului sunt activate în mod implicit, astfel încât setările sunt procesate numai la următoarea conectare. Dacă utilizați comutatoarele potrivite, gpupdate își poate da seama dacă elementele recent modificate necesită o deconectare sau o repornire pentru a fi active:
- rularea gpupdate cu comutatorul /Logoff va da seama dacă o modificare a politicii în Active Directory necesită ca utilizatorul să se deconecteze. Dacă nu, Noile setări sunt aplicate imediat; în acest caz, utilizatorul va fi deconectat automat și setările politicii de grup vor fi aplicate atunci când se conectează din nou.,
- în mod similar, dacă funcția Fast Boot este activată, este necesară o repornire pentru a aplica GPO-uri care au setări de distribuție Software. Rularea gpupdate cu comutatorul / boot va da seama dacă o politică are ceva care necesită o repornire și repornirea automată a computerului. Dacă GPO actualizat nu necesită repornire, setările GPO sunt aplicate și utilizatorul rămâne conectat.
ambele comutatoare / Logoff și / boot sunt opționale.discuția de până acum se aplică numai noilor GPO-uri și modificărilor celor existente., Cu toate acestea, uneori este posibil să doriți să aplicați toate GPO — urile pe un computer-nu doar GPO-uri noi sau modificate, ci și cele vechi. În acest caz, trebuie să utilizați comutatorul /force cu gpupdate, după cum urmează:
gpupdate /force
alte opțiuni sunt disponibile împreună cu /force, inclusiv:
- /Logoff — deconectați utilizatorul după actualizarea setărilor Politicii de grup.
- / Sync-schimbați procesarea prim-plan (pornire/conectare) în sincron.
- / Boot-reporniți aparatul după aplicarea setărilor Politicii de grup.,
forțarea unei actualizări a Politicii de grup utilizând Consola de gestionare a politicilor de grup
ca alternativă la instrumentele din linia de comandă, puteți forța o actualizare a Politicii de grup utilizând Consola de gestionare a politicilor de grup (GPMC). GPMC este inclus cu fiecare server Microsoft Windows de la Windows Server 2008; puteți obține, de asemenea, prin instalarea Remote Server Administration Tools (RSAT).pentru a forța aplicarea unui GPO, urmați acești pași simpli:
- deschideți
- conectați GPO la un OU.
- faceți clic dreapta pe OU și alegeți opțiunea „Actualizare Politică de grup”.,
- confirmați acțiunea din dialogul de actualizare a politicii grupului de forță făcând clic pe”Da”.
forțând o actualizare a Politicii de grup folosind PowerShell
începând cu Windows Server 2012, puteți forța o reîmprospătare a Politicii de grup folosind cmdletul PowerShell Invoke-GPUpdate. Această comandă poate fi utilizată pentru actualizarea la distanță a Politicii de grup a computerelor client Windows. Va trebui să aveți instalată atât PowerShell, cât și consola de gestionare a politicilor de grup.,
Aici este un exemplu de utilizare acest cmdlet pentru a forța o imediat Group Policy update de pe un anumit calculator:
Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0
RandomDelayMinutes 0 parametru asigură că politica este actualizat imediat. Singurul dezavantaj al utilizării acestui parametru este că utilizatorii vor primi un ecran pop-up cmd.dacă doriți să forțați o actualizare pe toate computerele, executați aceste comenzi:
acest cod va primi toate computerele din domeniu, le va pune într-o variabilă și va rula comenzile pentru fiecare obiect.,
GPO background Refresh
toți clienții Politicii de grup procesează GPO — uri atunci când intervalul de reîmprospătare a fundalului trece-dar procesează doar acele GPO-uri care sunt noi sau s-au schimbat de la ultima dată când clientul le-a solicitat.cu toate acestea, pentru setările de securitate, motorul de politică de grup funcționează diferit. Se cere o reîmprospătare specială de fundal doar pentru setările politicii de securitate. Aceasta se numește actualizarea securității de fundal și este valabilă pentru fiecare versiune de Windows Server., La fiecare 16 ore, fiecare client de politică de grup întreabă Active Directory despre toate GPO-urile care conțin setări de securitate (nu doar cele care s-au schimbat) și reaplică aceste setări de securitate. Acest lucru asigură faptul că, dacă o setare de securitate s-a schimbat pe client (în spatele motorului Politicii de grup), este readusă automat la setarea corectă în decurs de 16 ore.,
Proces de Reîmprospătare Fundal pentru Locale Gpo
Dacă utilizatorii sunt locale, administratorii de Ferestre mașini, au control total pentru a merge în jurul valorii de motorul de Politică de Grup de procese și putem face schimbări în politicile locale — modificări care ar putea anula o politică ați setat cu un GPO, inclusiv lucruri pe sistemul asta nu ar trebui să fie schimbat. Pentru a evita această problemă, ar trebui să acordați conturi de administrator local numai unor utilizatori privilegiați care nu pot lucra cu drepturi de administrator local sau să acordați drepturi de administrator local numai acelor aplicații pe care utilizatorii privilegiați trebuie să le ruleze., Nu trebuie să acordați niciodată drepturi administrative utilizatorilor obișnuiți.
reaplicarea obligatorie a setărilor de politică de grup care nu sunt de securitate
după cum este descris mai sus, actualizarea de securitate de fundal actualizează toate setările de politică legate de securitate la fiecare 16 ore. Dar, uneori, trebuie să forțați aplicarea setărilor care nu sunt de securitate, chiar dacă GPO-urile de pe servere nu s-au schimbat pentru a remedia exploatările care nu sunt legate în mod specific de securitate., Politica de grup în fiecare inițială de prelucrare a politicii și reîmprospătare fundal:
- Registru (Administrative Template-uri)
- Internet Explorer Intretinere
- Securitate IP
- EFS de Recuperare Politică
- Wireless Politică
- Cota de Disc
- Script-uri
- Securitate
- Folder Redirection
- Instalarea Software-ului
- prin Cablu Politică
Concluzie
Pentru a recapitula, atunci când modificați un obiect GPO în Active Directory, acesta va fi aplicat automat la următorul refresh interval; de asemenea, puteți forța o reîmprospătare să se aplice imediat la sistemele de client., Ca măsură suplimentară de siguranță, puteți configura reaplicarea obligatorie pentru a vă asigura că anumite setări ale politicii de grup sunt întotdeauna reaplicate, chiar dacă nu s-au modificat. Acest lucru vă permite să reveniți la orice modificări nedorite făcute de administratorii locali.