By Leave a Comment on Så här tvingar du en grupprincip-uppdatering och uppdaterar den i bakgrunden

tvinga en grupprincip-uppdatering med Kommandotolken

det första alternativet är att köra ett enkelt kommando som talar om för klienten att hoppa över det normala bakgrundsbehandlingsintervallet och uppdatera alla nya eller ändrade GPOs från servern just nu. Du måste dock fysiskt trava ut till varje användarmaskin och ange kommandot gpupdate och därigenom uppdatera Grupprincipobjektet, tillsammans med andra nya eller ändrade GPOs, manuellt.,

Observera att om du kör kommandot gpupdate utan parametrar uppdateras både användaren och datorhalvorna av Grupprincipobjekten. För att uppdatera bara en halv eller den andra, Använd denna syntax:

gpupdate /Target:Computer, /Target: User

kör gpupdate medan en användare är inloggad på en maskin ger omedelbart Windows de nya GPO-inställningarna (förutsatt naturligtvis att domänkontrollanten har den replikerade GPO-informationen).,

i Windows XP och senare aktiveras Snabbstart, Programdistribution och Mappomdirigering som standard, så inställningarna behandlas endast vid nästa inloggningstid. Om du använder rätt växlar, kan gpupdate räkna ut om Nyligen ändrade objekt kräver en utloggning eller omstart för att vara aktiv:

  • kör gpupdate med /Logoff switch kommer att räkna ut om en policyändring i Active Directory kräver att användaren loggar ut. Om inte, de nya inställningarna tillämpas omedelbart; om så är fallet, användaren kommer automatiskt att loggas ut och grupprincipinställningarna kommer att tillämpas när de loggar in igen.,
  • på samma sätt, om Snabbstart är aktiverad, krävs en omstart för att tillämpa GPOs som har Programvarudistributionsinställningar. Att köra gpupdate med / boot-omkopplaren kommer att ta reda på om en policy har något som kräver en omstart och startar om datorn automatiskt. Om den uppdaterade GPO inte kräver en omstart tillämpas GPO-inställningarna och användaren förblir inloggad.

både /Logoff-och / boot-omkopplarna är valfria.

diskussionen hittills gäller endast nya Allmänläkare och ändringar av befintliga., Men ibland kanske du vill tillämpa alla GPOs till en dator-inte bara nya eller ändrade GPOs men gamla också. I så fall måste du använda /force — omkopplaren med gpupdate enligt följande:

gpupdate /force

andra alternativ är tillgängliga i samband med /force, inklusive:

  • /Logoff-logga användaren av efter att Grupprincipinställningarna har uppdaterats.
  • /Sync — ändra förgrunden (start/inloggning) bearbetning till synkron.
  • /Boot — starta om datorn efter att Grupprincipinställningarna har tillämpats.,

tvinga fram en grupprincip-uppdatering med hjälp av konsolen för grupprincip

som ett alternativ till kommandoradsverktygen kan du tvinga fram en grupprincip-uppdatering med hjälp av konsolen för GRUPPRINCIPHANTERING (GPMC). GPMC medföljer varje Microsoft Windows Server eftersom Windows Server 2008; du kan också få det genom att installera Remote Server Administration Tools (RSAT).

för att tvinga en GPO att tillämpas, ta dessa enkla steg:

  1. öppna
  2. länka GPO till en OU.
  3. högerklicka på OU och välj alternativet ”Grupprincip Uppdatering”.,
  4. bekräfta åtgärden i dialogrutan Uppdatera Force Group Policy genom att klicka på ”Ja”.

tvinga en grupprincip uppdatering med PowerShell

sedan Windows Server 2012 kan du tvinga en grupprincip uppdatering med PowerShell cmdlet Invoke-GPUpdate. Detta kommando kan användas för grupprincip fjärruppdatering av Windows-klientdatorer. Du måste ha både PowerShell och Group Policy Management Console installerat.,

här är ett exempel på att använda denna cmdlet för att tvinga en omedelbar Grupprincip uppdatering på en viss dator: 

Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0

parametern RandomDelayMinutes 0 säkerställer att policyn uppdateras direkt. Den enda nackdelen med att använda denna parameter är att användarna kommer att få en CMD-skärm popup.

om du vill tvinga en uppdatering på alla datorer, kör dessa kommandon:

den här koden kommer att få alla datorer från domänen, lägga dem i en variabel och köra kommandon för varje objekt.,

GPO Bakgrundsuppdatering

alla Grupprincip — klienter behandlar GPOs när bakgrundsuppdateringsintervallet kommer att passera-men de behandlar endast de GPO som är nya eller har ändrats sedan förra gången klienten begärde dem.

För säkerhetsinställningar fungerar dock Grupprincip-motorn annorlunda. Den ber om en speciell bakgrundsuppdatering bara för säkerhetspolitiska inställningar. Detta kallas Bakgrunds säkerhetsuppdatering och gäller för varje version av Windows Server., Varje 16 timmar frågar varje Grupprincip-klient Active Directory om alla GPOs som innehåller säkerhetsinställningar (inte bara de som har ändrats) och återanvänder dessa säkerhetsinställningar. Detta säkerställer att om en säkerhetsinställning har ändrats på klienten (bakom Grupprincip-motorns rygg) återgår den automatiskt till rätt inställning inom 16 timmar.,

Bakgrundsuppdateringsprocess för lokala GPOs

om användare är lokala administratörer på sina Windows — datorer har de total kontroll för att gå runt Grupprincip-motorprocesserna och kan göra ändringar i Lokala policyer-ändringar som kan upphäva en policy du har ställt in med en GPO, inklusive saker på systemet som inte ska ändras. För att undvika det här problemet bör du endast ge lokala administratörskonton till vissa privilegierade användare som inte kan arbeta med lokala administratörsrättigheter eller ge lokala administratörsrättigheter endast till de program som privilegierade användare behöver köra., Du bör aldrig ge vanliga användare administrativa rättigheter.

obligatorisk återanvändning av Grupprincip-inställningar för icke-säkerhet

som beskrivits ovan uppdaterar säkerhetsuppdateringen alla säkerhetsrelaterade policyinställningar var 16: e timme. Men ibland måste du också tvinga icke-säkerhetsinställningar som ska tillämpas, även om GPOs på servrarna inte har ändrats för att fixa exploits som inte är specifikt säkerhetsrelaterade., Grupprincip under varje initial principbehandling och bakgrundsuppdatering:

  • register (Administrativa mallar)
  • underhåll av Internet Explorer
  • IP-säkerhet
  • EFS Återställningspolicy
  • trådlös Policy
  • diskkvot
  • skript
  • säkerhet
  • mapp omdirigering
  • programvaruinstallation
  • trådbunden Policy

slutsats

för att sammanfatta, när du ändrar en GPO i Active Directory, kommer den att tillämpas automatiskt vid nästa Uppdateringsintervall; du kan också tvinga en uppdatering att tillämpa den omedelbart på dina klientsystem., Som en extra säkerhetsåtgärd kan du ställa in obligatorisk återanvändning för att säkerställa att vissa grupprincipinställningar alltid tillämpas igen, även om de inte har ändrats. Detta gör att du kan återställa eventuella oönskade ändringar som gjorts av lokala administratörer.

Jeff är chef för Global Solutions Engineering på Netwrix. Han är en lång tid Netwrix bloggare, högtalare och presentatör. I Netwrix bloggen delar Jeff lifehacks, tips och tricks som dramatiskt kan förbättra din systemadministrationsupplevelse.,

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *