В этой статье мы рассмотрим особенности обновления параметров групповых политик на компьютерах домена Active Directory: автоматическое обновление политик, команду
GPUpdate
, удаленное обновление через консоль Group Policy Management Console (
GPMC.msc
) и командлет PowerShell
Invoke-GPUpdate
.
Интервал обновления параметров групповых политик
Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).
Вы можете изменить интервал обновления настрое GPO с помощью параметра Set Group Policy refresh interval for computers, который находится в секции GPO Computer Configuration -> Administrative Templates -> System -> Group Policy.
Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:
- This setting allow you to customize how often Group Policy is applied to computer (от 0 до 44640 минут) – как часто клиент должен обновлять настройка GPO (если указать тут 0 – политики начнут обновляться каждые 7 секунд – не стоит этого делать);
- This is a random time added to the refresh interval to prevent all clients from requesting Group Policy at the same time (от 0 до 1440 минут) – максимальное значение случайного интервал времени, которые добавляется в виде смещения к предыдущему параметру (используется для уменьшения количества одновременных обращений к DC за файлами GPO от клиентов).
GPUpdate.exe – команда обновления параметров групповых политики
Всем администраторов знакома команда gpupdate.exe, которая позволяет обновить параметры групповых политик на компьютере. Большинство не задумываясь используют для обновления GPO команду
gpupdate /force
. Эта команда заставляет компьютер принудительно перечитать все политики с контроллера домена и заново применить все параметры. Т.е. при использовании ключа force клиент обращается к контроллеру домена и заново получает файлы ВСЕХ нацеленных на него политик. Это вызывает повышенную нагрузку на сеть и контроллер домена.
Простая команда
gpudate
применяет только новые/измененные параметры GPO.
Если все OK, должны появится следующие строки:
Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
Можно отдельно обновить параметры GPO из пользовательской секции:
gpupdate /target:user
или только политики компьютера:
gpupdate /target:computer /force
Если некоторые политики нельзя обновить в фоновом режиме, gpudate может выполнить logoff текущего пользователя:
gpupdate /target:user /logoff
Или выполнить перезагрузку компьютера (если изменения в GPO могут применится только во время загрузки Windows):
gpupdate /Boot
Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
В консоли GPMC.msc (Group Policy Management Console), начиная с Windows Server 2012, появилась возможность удаленного обновления настроек групповых политик на компьютерах домена.
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Теперь после изменения настроек или создания и прилинковки новой GPO, вам достаточно щелкнуть правой клавишей по нужному Organizational Unit (OU) в консоли GPMC и выбрать в контекстном меню пункт Group Policy Update. В новом окне появится количество компьютеров, на которых будет выполнено обновление GPO. Подтвердите принудительное обновление политик, нажав Yes.
Затем GPO по очереди обновяться на каждом компьютере в OU и вы получите результат со статусом обновления политик на компьютерах (Succeeded/Failed).
Данная команда удаленно создает на компьютерах задание планировщика с командой GPUpdate.exe /force для каждого залогиненого пользователя. Задание запускается через случайный промежуток времени (до 10 минут) для уменьшения нагрузки на сеть.
- Открыт порт TCP 135 в Windows Firewall;
- Включены службы Windows Management Instrumentation и Task Scheduler.
Если компьютер выключен, или доступ к нему блокируется файерволом напротив имени такого компьютера появится надпись “The remote procedure call was cancelled”.
По сути этот функционал дает тот же эффект, если бы вы вручную обновили настройки политик на каждом компьютере командой
GPUpdate /force
.
Invoke-GPUpdate – обновление GPO из Powershell
Также вы можете вызвать удаленное обновление групповых политик на компьютерах с помощью PowerShell комнадлета Invoke-GPUpdate (входит в RSAT). Например, чтобы удаленно обновить пользовательские политики на определенном компьютере, можно использовать команду:
Invoke-GPUpdate -Computer "corp\Computer0200" -Target "User"
При запуске командлета Invoke-GPUpdate без параметров, он обновляет настройки GPO на текущем компьютере (аналог gpudate.exe).
В сочетании с командлетом Get-ADComputer вы можете обновить групповые политики на всех компьютерах в определенном OU:
Get-ADComputer –filter * -Searchbase "ou=Computes,OU=SPB,dc=winitpro,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}
или на всех компьютерах, которые попадают под определенный критерий (например, на всех Windows Server в домене):
Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows Server*' }| foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}
Invoke-GPUpdate: Computer "spb-srv01" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.
При удаленном выполнении командлета Invoke-GPUpdate или обновления GPO через консоль GPMC на мониторе пользователя может на короткое время появиться окно консоли с запущенной командой
gpupdate
.
Invoke-GPUpdate, какой такой GPU ?)) Постоянно опечатываюсь при наборе командлета (GPO GPU)) А за инфу , Спасибо !
Grupe Policy Update ?
Добрый день, коллеги.
Столкнулся с непонятной проблемой.
Компьютеры обновляют политику каждые 90-120 мин без проблем.
Но перезагрузка компьютера не приводит к принудительному обновлению политики.
Т. е. раньше можно было попросить пользователя 2 раза перезагрузиться и политика обновится + установится свежий софт. Теперь это не работает.
Может кто-то сталкивался?
Самое интересное, что в журналах нет ни ошибок, ни даже попыток обновления политики при перезагрузке компа. При этом каждые 90 минут обновление политик проходит гладко, без ошибок.
Может стоит политики домена обновить? Может в новых выпусках Win10 что-то изменилось … Под Win 10 политики точно раза два обновлял.
Домен на 2019 Стандарт.
Режим работы леса и домена — Windows Server 2016
В Windows 10 не было таких изменений.
Политики в разделе Computer Configuration -> Administrative Templates -> System -> Group Policy не настраивали?
Проблема только при перезагрузке или при полном выключении компьютера (именно выключение, а не гибернация)
Наконец-то появилось время вернуться к этой теме. 😅
В разделе «Конфигурация компьютера — Политики — Административные шаблоны — Система — Групповая политика» была только одна политика настроена «Указать время ожидания при обработке политики загрузки — Включено — 270 сек.«.
Но ее отключение ничего не дало. При перезагрузке компа все также не происходит попытки обновления групповых политик. Т. е. как раньше при первой перезагруке обновлялась политики, при второй перезагрузке компа ставился софт не канает.
Есть еще идеи?
1) В результирующих политиках есть что-то вклюенное в разделе Административные шаблоны — Система — Групповая политика?
2) Точно выполняется полная перезагрузка? А не быстрая загрузка (fast startup) Windows 10?
3) По идее есть параметр GPO, который отключает фоновое обновление настроек (Turn off background refresh of Group Policy), но у вас наоборот.
4) Как обходное решение — добавить задание планировщика при загрузке компьютере с gpupdate /force. Но костыль конечно )
Автору статьи вопрос на засыпку, который как мне кажется стоило осветить в статье, но его там нет — А если на ПК сильно сбито время, то есть существенно отличается (на пару дней) с КД, то сможет ли gpupdate /force или удалённо Invoke-GPUpdate запустить на нём принудительное обновление политик? Вообще на таком ПК групповые политики будут обновляться? (включая NTP политику) ??
Тут куча вариантов.
Например, если у вас полностью отключен NTLM, то при kerberos аутентфикации компьютер просто не авторизуются в домене.
В общем время нужно чинить, а какие глюки от неправильного времени могут возникнуть — это уже вторично.
Сопутствующий вопрос — а если меняется не сама политика, а Шедулер, расписание запуска. Как его принудительно обновить на рабочих станциях, если на сервере обновление уже произведено? Есть такая команда? А то на сервере обновил, а на рабочих станциях — все так же первый вариант расписания показывается, и исполняется
Проверьте, будет ли обновлено расписание в задании планировщика, если вручную на клиенте обновить GPO командой: gpupdate /force
Если сработает, можете воспользоваться возможностью удаленного обнвления в консоли GPMC
выбрать в контекстном меню пункт Group Policy UpdateЕсли нет, возможно просто перез перезагрузки/перелогона настройки не обновлятся
Добрый день!
команда «GPUpdate /force /boot» на window 10 вместо перезагрузки делает logoff, как с этим бороться?
У вас там случайно не Fast Startup в Windows отрабатывает?
врятли, т.к. даже если сидишь удаленно то сессия не прерывается.
думаю проблема в том что если ввести команду «GPUpdate /force», то система предлагает сделать именно выход из учетной записи, а не перезагрузку как это было в предыдущих версиях windows.