So erzwingen Sie die Aktualisierung von Gruppenrichtlinien aus der Ferne: Schritt-für-Schritt-Anleitung
Gruppenrichtlinieist eine komplexe Architektur, mit der Sie Richtlinieneinstellungen verwenden können, um die Erfahrung eines Computers und eines Benutzers innerhalb einer Domäne aus der Ferne anzupassen.
Lassen Sie uns untersuchen, wie wir Gruppenrichtlinien für Windows-Computer in einer Domäne verwenden können.
Überprüfen der Gruppenrichtlinie
Überprüfen Sie zunächst, ob das Gerät oder der Benutzer am meisten empfangen hataktuelle Richtlinieneinstellungenwenn dieResultierender Satz von Richtlinieneinstellungenentspricht nicht Ihren Kriterien. In früheren Windows-Versionen wurde dies dadurch erreicht, dass die Benutzer ausführen musstenGPUpdate.exeauf ihrem Computer.
Sie können Gruppenrichtlinieneinstellungen für alle PCs in einer Organisationseinheit (OU) mithilfe der Gruppenrichtlinien-Verwaltungskonsole in Windows Server 2012 und Windows 8 remote erneuern. Sie können auch das Windows PowerShell-Cmdlet Invoke-GPUpdate verwenden, um Gruppenrichtlinien für eine Gruppe von zu erneuern Maschinen, auch wenn sie sich nicht in der OU-Struktur befinden. Zum Beispiel, wenn sie sich im Container „Standardcomputer“ befinden.
Mithilfe der Funktionalität, die dem Kontextmenü für eine Organisationseinheit in der Gruppenrichtlinien-Verwaltungskonsole hinzugefügt wurde, aktualisiert die Remote-Aktualisierung der Gruppenrichtlinie alle Gruppenrichtlinieneinstellungen, einschließlich der Sicherheitseinstellungen, die auf einer Gruppe von Remotecomputern festgelegt wurden. Die folgenden Prozesse laufen beispielsweise ab, wenn Sie eine Organisationseinheit auswählen, um die Gruppenrichtlinieneinstellungen auf allen Computern remote zu aktualisieren: Eine Abfrage in Active Directory stellt eine Liste aller Computer in dieser Organisationseinheit bereit.
- Ein WMI-Aufruf erfasst die Liste der angemeldeten Benutzer für jeden Computer in der angegebenen Organisationseinheit.
- Für jeden angemeldeten Benutzer und einmal für die Gruppenrichtlinienaktualisierung des Computers wird eine kleine geplante Aufgabe eingerichtet, um GPUpdate.exe /force zu starten. Es wird erwartet, dass der Job mit einer zufälligen Verzögerung von bis zu 10 Minuten ausgeführt wird, um die Belastung durch den Netzwerkverkehr zu reduzieren. Wenn Sie die GPMC verwenden, können Sie die zufällige Verzögerung für die geplante Aufgabe nicht definieren, aber wenn Sie das Cmdlet Invoke-GPUpdate verwenden, können Sie die zufällige Verzögerung für den geplanten Job konfigurieren oder festlegen, dass die geplante Aufgabe sofort gestartet wird.
Was genau sind Gruppenrichtlinien und Gruppenrichtlinienobjekte?
Gruppenrichtlinien sind ein System, das es Administratoren ermöglicht, Benutzer- und Computerkonfigurationen in einer Domäne mithilfe einer Vielzahl von Richtlinieneinstellungen und -präferenzen aus der Ferne zu steuern. Ein Gruppenrichtlinienobjekt (GPO) ist eine Reihe von Gruppenrichtlinieneinstellungen, die mit einer bestimmten AD-Site, Domäne oder Organisationseinheit verknüpft sind.
Sicherheitseinstellungen wie Kennwortrichtlinien und Kontosperrungsrichtlinien, Verwaltungsvorlagen und mehr sind Beispiele für Gruppenrichtlinien in Verbindung mit einem Gruppenrichtlinienobjekt. In diesen Gruppenrichtlinienobjekten werden Gruppenrichtlinien aktualisiert und die Änderungen werden auf alle Objekte übertragen, mit denen das Gruppenrichtlinienobjekt verknüpft ist.
Gruppenrichtlinien sind eine Sammlung von Sicherheits- und Verwaltungsanweisungen, die verwaltet und aktualisiert werden, um die Sicherheit und den reibungslosen Betrieb eines Netzwerks zu gewährleisten. Aus verschiedenen Gründen kann es vorkommen, dass diese Gruppenrichtlinien zeitweise sofort überarbeitet werden müssen.
Aus diesem Grund hat Microsoft Tools integriert, um Gruppenrichtlinien-Upgrades zu erzwingen. Zuerst gehen wir in diesem Beitrag auf die Gruppenrichtlinien ein, dann werfen wir einen Blick auf den Standardzeitplan für Gruppenrichtlinienaktualisierungen, warum Sie möglicherweise Aktualisierungen erzwingen müssen und wie Sie Gruppenrichtlinienaktualisierungen in einem Netzwerk erzwingen.
Standardprozess für Gruppenrichtlinienaktualisierung
Nachdem die Gruppenrichtlinien geändert wurden, dauert eine Gruppenrichtlinienaktualisierung standardmäßig 90 bis 120 Minuten. Allerdings müssen Sie den GPO-Aktualisierungsprozess erzwingen, wenn Sie aus irgendeinem Grund nicht so lange warten können. Es gibt mehrere Möglichkeiten, ein GPO-Update zu verschieben. Betrachten Sie jedoch zunächst einige Fälle, in denen dies erforderlich ist.
So verwenden Sie die Aktualisierung Ihrer Gruppenrichtlinien mit dem Befehl GPUpdate/force
Das Erzwingen einer Gruppenrichtlinienaktualisierung kann aus verschiedenen Gründen erfolgen. Vielleicht wurde eine wichtige politische Einstellung vernachlässigt, oder der Umstrukturierungsprozess einer Organisation führte zu geänderten Richtlinien, die sofort in Kraft treten mussten.
Wenn sich Benutzer abmelden und wieder anmelden, werden die Gruppenrichtlinien ebenfalls aktualisiert, aber Sie können nicht erwarten, dass sich jeder Benutzer abmeldet und dann wieder anmeldet. In solchen Fällen kann das Erzwingen von Gruppenrichtlinienaktualisierungen dazu beitragen, Gruppenrichtlinien schnell zu erneuern.
Warum sollten Sie ein Gruppenrichtlinien-Update verlangen?
Mit dem Befehl GPUpdate /force können Sie die Aktualisierung der Gruppenrichtlinien Ihres Unternehmens erzwingen. Änderungen an der Gruppenrichtlinie werden nicht sofort umgesetzt; Stattdessen dauert es 90 Minuten, bis sie wirksam werden (mit einer Verzögerung von 30 Minuten, um die Last zu verteilen).
Mit dem GPUpdate-Befehl können wir das Richtlinien-Upgrade erzwingen. Um Systeme zu verwalten und Sicherheitseinstellungen zu ändern, werden Gruppenrichtlinien eingesetzt (z. B. zum Bereitstellen von Druckern oder zum Zuordnen von Netzwerklaufwerken). Bei der Lösung von IT-Problemen ist es gelegentlich erforderlich, die Gruppenrichtlinie manuell zu ändern.
Planen Sie ein Remote-Gruppenrichtlinien-Update
Das Cmdlet Invoke-GPUpdate in der GPMC oder das Cmdlet Invoke-GPUpdate in einer Windows PowerShell-Sitzung kann verwendet werden, um die Ausführung von gpupdate.exe auf zahlreichen PCs zu planen.
Planen Sie mithilfe der GPMC eine Gruppenrichtlinienaktualisierung, die auf allen Computern in einer Organisationseinheit ausgeführt wird.
- Suchen Sie in der GPMC-Konsolenstruktur die Organisationseinheit, für die Sie die Gruppenrichtlinie für alle Computer erneuern möchten.
- Klicken Sie mit der rechten Maustaste auf die ausgewählte Organisationseinheit und wählen Sie Gruppenrichtlinie aktualisieren
- Wählen Sie im Dialogfeld „Aktualisierung der Gruppenrichtlinie erzwingen“ die Option „Ja“. Dies entspricht der Verwendung der Befehlszeile zum Ausführen von GPUpdate.exe /force.
- Im Feld „Ergebnisse der Remote-Gruppenrichtlinienaktualisierung“ wird nur der Fortschritt der Planung einer Gruppenrichtlinienaktualisierung für jeden Computer in der ausgewählten Organisationseinheit und alle darin enthaltenen Organisationseinheiten angezeigt. Aus dieser Anzeige geht nicht hervor, ob die tatsächliche Gruppenrichtlinienänderung für jeden Computer erfolgreich war oder fehlgeschlagen ist.
- Bewerten Sie anhand des resultierenden Richtliniensatzes die Wirksamkeit der vorgeschlagenen Gruppenrichtlinienänderung.
Notiz:
Wenn Sie die Ergebnisse für jeden Computer bestätigen, sollten Sie bis zu 10 Minuten einplanen, bevor Sie mit der Aktualisierung der Gruppenrichtlinien beginnen.
Es gibt drei Möglichkeiten, die Wirksamkeit von Gruppenrichtlinienänderungen zu erzwingen. Nachfolgend die Einzelheiten:
- Verwenden der Gruppenrichtlinien-Verwaltungskonsole (GPMC), um eine Gruppenrichtlinienaktualisierung zu erzwingen
- Verwenden von PowerShell-Befehlen zum Erzwingen einer Gruppenrichtlinienaktualisierung
- Verwenden einer Eingabeaufforderung mit erhöhten Rechten, um eine Gruppenrichtlinienänderung zu erzwingen
Gruppenverwaltungsrichtlinienkonsole
Die Gruppenrichtlinien-Verwaltungskonsole kann verwendet werden, um eine Gruppenrichtlinienaktualisierung für eine gesamte Organisationseinheit durchzuführen. Sie können die Technik jedoch nicht auf einer Benutzer-Organisationseinheit anwenden, da hierfür nur Computerobjekte erforderlich sind. Klicken Sie stattdessen einfach mit der rechten Maustaste auf die Organisationseinheit, in der die Richtlinie geändert wurde, und wählen Sie Gruppenrichtlinienaktualisierung aus.
Dadurch werden die Benutzer- und Computerregeln aller Maschinen in der angegebenen Organisationseinheit aktualisiert. Die bewundernswerteste Funktion besteht darin, um Erlaubnis zu bitten und Ihnen mitzuteilen, wie viele PCs aktualisiert werden.
Die Richtlinien werden geändert, wenn Sie das Update bestätigen, und Sie können den Status jedes Computers überprüfen. Da in diesem Fall fünf Maschinen abgeschaltet waren, scheiterte das Update.
Verwenden Sie PowerShell, um GPUpdate auf einem Remote-PC auszuführen
Wir können gpupdate auch auf Remote-PCs mit PowerShell durchführen. Die einzige Voraussetzung ist, dass auf Ihrem Computer Windows 2012 oder höher installiert ist. Es ist auch möglich, es unter Windows 10 auszuführen, Sie müssen jedoch ein Domänenadministratorkonto verwenden, um die PowerShell-Windows zu starten.
Invoke-GPUpdate
Einer der Vorteile des Cmdlets Invoke-GPUpdate besteht darin, dass Sie die Verzögerung mithilfe der Option RandomDelayInMinutes ändern können. Setzen Sie den Wert auf 0, wenn Sie die Gruppenrichtlinie sofort ändern möchten.
|_+_|In diesem Fall habe ich den PC mit der Bezeichnung „win7“ unmittelbar nach dem Einleiten eines Gruppenrichtlinien-Updates neu gestartet.
Wenn alles gut geht, erzeugt das Cmdlet keine Ausgabe. Ihre Benutzer bemerken möglicherweise ein Befehlsfenster mit dem Titel taskeng.exe, das in einigen Situationen „Richtlinie wird aktualisiert…“ anzeigt. Nach etwa einer Sekunde verschwinden die Fenster.
Richtlinien aktualisieren
Wenn der Computer nicht erreichbar ist, erscheint die folgende Fehlermeldung in Rot: Invoke-GPUpdate funktioniert auf dem PC „win8update“ nicht. Dies liegt daran, dass Firewallregeln entfernt werden, wenn der Zielcomputer im Remote Scheduled Tasks Management ausgeschaltet wird.
Ein weiterer Vorteil der Verwendung des PowerShell-Cmdlets besteht darin, dass Sie mehr Optionen für die Auswahl der zu aktualisierenden Computer haben. Der folgende Befehl wählt beispielsweise alle Computer im Active Directory-Container „test“ aus, die mit „win7“ beginnen.
|_+_|Hier wurde auch die Option „Erzwingen“ integriert, um sicherzustellen, dass die Gruppenrichtlinieneinstellungen auch dann neu installiert werden, wenn der Client erkennt, dass keine neuen GPO-Versionen verfügbar sind. Wenn wir also sagen „Aktualisierung einer Gruppenrichtlinie erzwingen“, meinen wir zwei verschiedene Dinge.
Wir erzwingen ein unverzügliches Update, wenn wir das Force-Argument nicht verwenden. Wenn wir den Force-Parameter verwenden, erzwingen wir eine Aktualisierung, auch wenn nichts zu aktualisieren ist. Wenn Sie also glauben, dass beim letzten GPO-Update ein Fehler aufgetreten ist, können Sie den Force-Parameter verwenden.
Verwenden Sie die Eingabeaufforderung, um eine Gruppenrichtlinie zu erzwingen
Die erste Alternative besteht darin, einen einfachen Befehl auszugeben, der den Client anweist, den typischen Hintergrundverarbeitungszeitraum zu umgehen und alle neuen oder geänderten Gruppenrichtlinienobjekte auf dem Server sofort zu aktualisieren. Zunächst müssen Sie jedoch zu jedem Benutzercomputer gehen und den Befehl gpupdate manuell ausführen, wodurch das Gruppenrichtlinienobjekt und alle anderen neuen oder geänderten Gruppenrichtlinienobjekte aktualisiert werden.
Wenn der Befehl gpupdate ohne Parameter aufgerufen wird, aktualisiert er sowohl den Benutzer- als auch den Computerteil der Gruppenrichtlinienobjekte. Verwenden Sie die folgende Syntax, um nur eine Hälfte zu aktualisieren:
|_+_|Während ein Benutzer an einem PC angemeldet ist, übermittelt Windows durch Ausführen von gpupdate sofort die neuen GPO-Einstellungen (vorausgesetzt natürlich, dass der Domänencontroller über die replizierten GPO-Informationen verfügt).
Schnellstart, Softwareverteilung und Ordnerumleitung sind in Windows XP und höher standardmäßig aktiviert, sodass Änderungen erst bei der nächsten Anmeldung übernommen werden. Darüber hinaus kann gpupdate herausfinden, ob neu aktualisierte Objekte eine Abmeldung oder einen Neustart erfordern, um aktiv zu sein, wenn Sie die richtigen Schalter verwenden:
Die Verwendung des Schalters /Logoff mit gpupdate bestimmt, ob eine Richtlinienänderung in Active Directory eine Abmeldung des Benutzers erfordert. Wenn nicht, werden die neuen Einstellungen sofort wirksam; Ist dies nicht der Fall, wird der Benutzer abgemeldet und die Gruppenrichtlinienanpassungen werden wirksam, wenn er sich erneut anmeldet.
Wenn Fast Boot aktiviert ist, erfordert die Anwendung von Gruppenrichtlinienobjekten mit Softwareverteilungseinstellungen ebenfalls einen Neustart. Wenn Sie gpupdate mit dem Schalter /boot ausführen, wird erkannt, ob eine Richtlinie einen Neustart erfordert, und der Computer wird automatisch neu gestartet. Die GPO-Änderungen werden implementiert und der Benutzer bleibt angemeldet, wenn das geänderte GPO keinen Neustart erfordert.