Примусове віддалене оновлення групової політики (gpupdate)

Групова політика - це складна інфраструктура, яка дозволяє застосовувати параметри політики для настройки віддаленого комп'ютера і взаємодії з користувачем в межах домену. Якщо результуюча політика не відповідає очікуванням, рекомендується спершу переконатися, що для даного комп'ютера і користувача задані актуальні параметри політики. У попередніх версіях Windows користувачеві для цього потрібно було запустити на комп'ютері GPUpdate.exe.

За допомогою функціональної можливості, яка додана в контекстне меню для підрозділу в консолі управління груповими політиками, віддалене оновлення групової політики дозволяє оновити всі її параметри, включаючи параметри безпеки, які задані для групи віддалених комп'ютерів. При виборі підрозділу для віддаленого поновлення параметрів групової політики на всіх пов'язаних з ним комп'ютерах виконуються наступні операції.

Запит Active Directory повертає список всіх комп'ютерів, що належать підрозділу.

Інструментарій WMI отримує список увійшли користувачів на кожному з комп'ютерів, що належать до вибраного підрозділу.

Створюється віддалена заплановане завдання, що запускає GPUpdate.exe / force для кожного увійшов користувача і один раз для поновлення групової політики комп'ютерів. Щоб знизити навантаження на мережу, завдання запускається з випадковою затримкою від 0 до 10 хвилин. При використанні консолі управління груповими політиками настройка випадкової затримки неможлива, однак за допомогою командлета Invoke-GPUpdate можна налаштувати випадкову затримку або негайне виконання запланованої завдання.

В даному документі пояснюється, як примусового віддаленого поновлення групової політики на всіх комп'ютерах підрозділи і всіх підрозділів, що містяться всередині обраного підрозділу, за допомогою консолі управління груповими політиками. У цій процедурі також представлений еквівалентний метод Windows PowerShell.

Запланувати примусове віддалене оновлення групової політики можна тільки за допомогою консолі управління груповими політиками з приєднаних до домену комп'ютерів під управлінням:

Windows 8 або Windows 8.1 із засобами адміністрування віддаленого сервера для Windows 8.

Запланувати віддалене оновлення групових політик можна для будь-якого комп'ютера під керуванням:

Щоб запланувати оновлення групової політики на приєднаних до домену комп'ютерах за допомогою консолі управління груповими політиками або командлет Invoke-GPUpdate. Вам потрібно включити в правилах брандмауера вхідний трафік по портам, перерахованим в наступній таблиці.

Тип мережевого трафіку

Динамічні порти RPC TCP, розклад

Віддалене управління призначеними завданнями (RPC)

TCP-порт 135, RPCSS

(Служба віддаленого виклику процедур)

Віддалене управління призначеними завданнями (RPC-EPMAP)

всі порти TCP, Winmgmt

(Служба інструментарію управління Windows)

Інструментарій управління Windows (WMI - вхідний трафік)

Створення об'єкта групової політики на основі стартового об'єкта "Порти брандмауера для віддаленого поновлення групової політики" і настройка його зв'язку з доменом

У дереві консолі управління груповими політиками виберіть домен, на всіх комп'ютерах якого потрібно дозволити віддалене оновлення групової політики.

Клацніть обраний домен правою кнопкою миші і виберіть в контекстному меню пункт Створити об'єкт групової політики в цьому домені і зв'язати його.

В поле Ім'я діалогового вікна Новий об'єкт групової політики введіть ім'я нового об'єкта групової політики.

Виберіть зі списку Вихідний початковий об'єкт групової політики стартовий об'єкт групової політики Порти брандмауера для віддаленого поновлення групової політики. на базі якого буде створюватися новий об'єкт групової політики, а потім натисніть кнопку ОК.

Відкрийте вкладку Пов'язані об'єкти групової політики в області результатів.

Еквівалентні команди Windows PowerShell

Наступні командлети Windows PowerShell виконують ту ж функцію, що і попередня процедура. Вводите кожен командлет в одному рядку, незважаючи на те, що тут вони можуть відображатися розбитими на кілька рядків через обмеження форматування.

Використовуйте командлет New-GPO з параметром -StarterGpoName. а потім передайте вихідні дані в командлет New-GPLink.

Наприклад, щоб створити новий об'єкт групової політики з ім'ям Configure firewall rules for remote gpupdate (настройка правил брандмауера для віддаленого поновлення групової політики) за допомогою стартового об'єкта групової політики Group Policy Remote Update Firewall Ports (порти брандмауера для віддалених оновлень групової політики) і зв'язати його з доменом Contoso.com, використовуйте наступний сценарій:

За допомогою командлета Invoke-GPUpdate можна запланувати запуск gpupdate.exe на декількох комп'ютерах з консолі управління груповими політиками або сеансу Windows PowerShell.

Планування поновлення групової політики на всіх комп'ютерах підрозділу за допомогою консолі управління груповими політиками

У дереві консолі управління груповими політиками знайдіть підрозділ, для всіх комп'ютерів якого потрібно оновити групову політику.

Групова політика буде також оновлена для всіх комп'ютерів в підрозділах, що входять в вибране підрозділ.

Правою кнопкою миші вбрання підрозділ і виберіть пункт Оновлення групової політики ...

Натисніть кнопку Так у діалоговому вікні Примусове оновлення групової політики. Це еквівалентно виконанню GPUpdate.exe / force з командного рядка.

У вікні Результати віддаленого поновлення групової політики відображається тільки стан запланованого оновлення групової політики на всіх своїх комп'ютерах і у всіх підрозділах, що знаходяться в обраному підрозділі. У ньому не відображаються реальні відомості про успішне або невдале оновленні групової політики для кожного комп'ютера.

За допомогою результуючої політики визначте успішність запланованого поновлення групової політики (див. Розділ Визначення результуючої політики).

При перевірці результатів поновлення на кожному комп'ютері слід запланувати можливу затримку, яка може тривати до 10 хвилин.

Еквівалентні команди Windows PowerShell

Командлет Invoke-GPUpdate дозволяє запланувати віддалене оновлення групової політики на певному комп'ютері з такими ж можливостями налаштування параметрів, як і в службовій програмі командного рядка GPUpdate.exe. Це дає велику свободу вибору набору комп'ютерів для поновлення, ніж планування оновлення за допомогою консолі управління груповими політиками. Також є можливість налаштувати інтервал очікування перед початком оновлення групової політики за допомогою параметра -RandomDelayInMinutes. При нульовому значенні параметра оновлення групової політики буде запущено негайно. Додаткові відомості див. У розділі Invoke-GPUpdate.

Щоб оновити змінені параметри групової політики на комп'ютері, на який виконаний вхід, запустіть командлет Invoke-GPUpdate без будь-яких параметрів, наприклад:

Не можна запланувати оновлення групової політики для контейнера Комп'ютери за допомогою функції консолі управління груповими політиками Оновлення групової політики .... Контейнер Комп'ютери є розташуванням за замовчуванням для облікових записів комп'ютера. Він не є підрозділом, яким можна керувати за допомогою консолі управління груповими політиками. Проте за допомогою спільного використання командлет Windows PowerShell Get-ADComputer з Командлети Invoke-GPUpdate можна запланувати віддалене оновлення для всіх комп'ютерів в контейнері Комп'ютери. Додаткові відомості про доступні Командлети Windows PowerShell для Active Directory см. В розділі Командлети адміністрування AD DS в Windows PowerShell.

Спочатку отримайте список комп'ютерів в контейнері Комп'ютери. використовуючи командлет Get-ADComputer. Потім введіть ім'я кожного комп'ютера зі списку в командлет Invoke-GPUpdate. Наприклад, для примусового поновлення всіх параметрів групової політики на всіх комп'ютерах в контейнері Комп'ютери для домену Contoso.com використовуйте наступний сценарій:

За допомогою спільного використання Get-ADComputer з Командлети Invoke-GPUpdate можна виконати примусове оновлення всіх параметрів групової політики на всіх комп'ютерах в окремому підрозділі. Наприклад, для примусового поновлення всіх параметрів групової політики на всіх комп'ютерах в підрозділі Accounting (бухгалтерія) домену Contoso.com використовуйте наступний сценарій:

Використовуючи Get-ADComputer з Командлети Invoke-GPUpdate і встановивши значення 0 для параметра --RandomDelayInMinutes. можна виконати негайне оновлення всіх параметрів групової політики на всіх комп'ютерах в окремому підрозділі. Наприклад, для примусового поновлення всіх параметрів групової політики на всіх комп'ютерах в підрозділі Accounting (бухгалтерія) домену Contoso.com використовуйте наступний сценарій: