У цій статті ми розглянемо особливості поновлення параметрів групових політик на комп’ютерах домену Active Directory: автоматичне оновлення політик, команду GPUpdate, Віддалене оновлення через консоль Group Policy Management Console (GPMC.msc) І командлет PowerShell Invoke-GPUpdate.

Частота оновлення параметрів групових політик

Щоб нові настройки, які ви задали в локальній або доменної груповій політиці (GPO) застосували на клієнтах, необхідно, щоб служба Group Policy Client перечитала політики і внесла зміни в налаштування клієнта. Це процес називається оновлення групових політик. Налаштування групових політик оновлюються при завантаженні комп’ютері і вході користувача, або автоматично у фоновому режимі раз в 90 хвилин + випадковий зсув часу (offset) в інтервалі від 0 до 30 хвилин (тобто політики гарантовано застосуються на клієнтах в інтервалі 90 – 120 хвилин після поновлення файлів GPO на контролері домену).

Контролери домену за замовчуванням оновлюють налаштування GPO набагато частіше – раз в 5 хвилин.

Ви можете змінити інтервал поновлення настрої GPO за допомогою параметра Встановити інтервал оновлення групової політики для комп’ютерів, Який знаходиться в секції GPO Computer Configuration -> Administrative Templates -> System -> Group Policy.

Увімкніть політику (Enabled) і задайте час (у хвилинах) в наступних налаштуваннях:

  • Цей параметр дозволяє налаштувати, як часто групова політика застосовується до комп’ютера (Від 0 до 44640 хвилин) – як часто клієнт повинен оновлювати налаштування GPO (якщо вказати тут 0 – політики почнуть оновлюватися кожні 7 секунд – не варто цього робити);
  • Це випадковий час, доданий до інтервалу оновлення, щоб усі клієнти не могли одночасно запитувати групову політику (Від 0 до 1440 хвилин) – максимальне значення випадкового інтервал часу, які додається у вигляді зсуву до попереднього параметру (використовується для зменшення кількості одночасних звернень до DC за файлами GPO від клієнтів).

налаштувати частуту автоматичного поновлення GPO в Windows

Майте на увазі, що часте оновлення GPO призводить до збільшення трафіку до контролерів домену та підвищеного навантаження на мережу.

GPUpdate.exe – команда поновлення параметрів групових політики

Всім адміністраторів знайома команда gpupdate.exe, Яка дозволяє оновити параметри групових політик на комп’ютері. Більшість не замислюючись використовують для поновлення GPO команду gpupdate /force. Ця команда змушує комп’ютер примусово перечитати всі політики з контролера домену та заново застосувати Усе параметри. Тобто при використанні ключа сили клієнт звертається до контролера домену та заново отримує файли ВСІХ націлених на нього політик. Це викликає підвищене навантаження на мережу і контролер домену.

проста команда gpudate застосовує тільки нові / змінені параметри GPO.

Якщо все OK, повинні з’явиться такі рядки:

Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

gpupdate - команда поновлення параметрів групових політик

Можна окремо оновити параметри GPO з призначеної для користувача секції:

gpupdate /target:user

або тільки політики комп’ютера:

gpupdate /target:computer /force

Якщо деякі політики не можна оновити в фоновому режимі, gpudate може виконати logoff поточного користувача:

gpupdate /target:user /logoff

Або виконати перезавантаження комп’ютера (якщо зміни в GPO можуть застосується тільки під час завантаження Windows):

gpupdate /Boot

Примусово оновлення політики з консолі Group Policy Management Console (GPMC)

В консолі GPMC.msc (консоль управління груповою політикою), Починаючи з Windows Server 2012, з’явилася можливість віддаленого оновлення налаштувань групових політик на комп’ютерах домену.

Тепер після зміни налаштувань або створення і прілінковкі нової GPO, вам досить натиснути правою клавішею по потрібному Organizational Unit (OU) в консолі GPMC і вибрати в контекстному меню пункт Оновлення групової політики. У новому вікні з’явиться кількість комп’ютерів, на яких буде виконано оновлення GPO. Підтвердіть примусове оновлення політик, натиснувши Так.

віддалене оновлення групових політик з консолі GPMC

Потім GPO по черзі оновлюйте на кожному комп’ютері в OU і ви отримаєте результат зі статусом поновлення політик на комп’ютерах (Succeeded / Failed).

Дана команда віддалено створює на комп’ютерах завдання планувальника з командою GPUpdate.exe / force для кожного залогіненним користувача. Завдання запускається через випадковий проміжок часу (до 10 хвилин) для зменшення навантаження на мережу.

Для роботи цього функціоналу GPMC на клієнті повинні бути виконані наступні умови:

  • Відкрито порт TCP 135 в Windows Firewall;
  • Включені служби Windows Management Instrumentation і Task Scheduler.

Якщо комп’ютер вимкнений, або доступ до нього блокується файерволом напроти імені такого комп’ютера з’явиться напис “The remote procedure call was cancelled”.

По суті цей функціонал дає той же ефект, якби ви вручну оновили налаштування політик на кожному комп’ютері командою GPUpdate /force.

звіт по оновленню GPO на комп'ютерах домену

Invoke-GPUpdate – оновлення GPO з Powershell

Також ви можете викликати віддалене оновлення групових політик на комп’ютерах за допомогою PowerShell комнадлета Invoke-GPUpdate (Входить в RSAT). Наприклад, щоб віддалено оновити призначені для користувача політики на певному комп’ютері, можна використовувати команду:

Invoke-GPUpdate -Computer "corpComputer0200" -Target "User"

При запуску командлета Invoke-GPUpdate без параметрів, він оновлює налаштування GPO на поточному комп’ютері (аналог gpudate.exe).

У поєднанні з Командлети Get-ADComputer ви можете оновити групові політики на всіх комп’ютерах в певному OU:

Get-ADComputer –filter * -Searchbase "ou=Computes,OU=SPB,dc=winitpro,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}

або на всіх комп’ютерах, які потрапляють під певний критерій (наприклад, на всіх Windows Server в домені):

Ви можете задати випадкову затримку поновлення GPO за допомогою параметра RandomDelayInMinutes. Таким чином ви можете зменшити навантаження на мережу, якщо одночасно оновлюєте політики на безлічі комп’ютерів. Для негайного застосування політик використовується параметр RandomDelayInMinutes 0.

Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows Server*' }| foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}

Для недоступних комп’ютерів команда поверне помилку:

Invoke-GPUpdate: Computer "spb-srv01" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.

Invoke-GPUpdate - командлет powershell для поновлення gpo

При віддаленому виконанні командлет Invoke-GPUpdate або поновлення GPO через консоль GPMC на моніторі користувача може на короткий час з’явитися вікно консолі із запущеною командою gpupdate.

Leave a Reply

Your email address will not be published. Required fields are marked *