Trong bài viết này, chúng tôi sẽ hướng dẫn cách cập nhật cài đặt Chính sách Nhóm (GPO) trên máy tính Windows trong miền Active Directory:cách tự động cập nhật (làm mới) Chính sách Nhóm, cách sử dụng GPUpdate , cách cập nhật chúng từ xa bằng Bảng điều khiển Quản lý Chính sách Nhóm (GPMC.msc ) hoặc Invoke-GPUpdate Lệnh ghép ngắn PowerShell.
Làm cách nào để Thay đổi Khoảng thời gian Làm mới Chính sách Nhóm?
Trước khi các cài đặt mới bạn đã đặt trong Chính sách Nhóm (GPO) cục bộ hoặc miền được áp dụng cho các máy khách Windows, dịch vụ Máy khách Chính sách Nhóm phải đọc các chính sách và thực hiện các thay đổi đối với cài đặt Windows. Quá trình này được gọi là Cập nhật chính sách nhóm . Cài đặt GPO được cập nhật khi máy tính khởi động, người dùng đăng nhập và tự động làm mới trong nền sau mỗi 90 phút + thời gian bù thời gian ngẫu nhiên từ 0–30 phút (có nghĩa là cài đặt chính sách chắc chắn sẽ được áp dụng trên máy khách trong 90– 120 phút sau khi bạn cập nhật tệp GPO trên bộ điều khiển miền).
Theo mặc định, bộ điều khiển miền cập nhật cài đặt GPO thường xuyên hơn:5 phút một lần.Bạn có thể thay đổi khoảng thời gian cập nhật GPO bằng cách sử dụng Đặt khoảng thời gian làm mới Chính sách Nhóm cho máy tính tùy chọn nằm trong phần Cấu hình Máy tính -> Mẫu Quản trị -> Hệ thống -> Chính sách Nhóm của GPO.
Bật chính sách và đặt thời gian (tính bằng phút) cho các tùy chọn sau:
- Cài đặt này cho phép bạn tùy chỉnh tần suất Chính sách Nhóm được áp dụng cho máy tính (0 đến 44640 phút) tần suất máy khách nên làm mới cài đặt GPO trong nền. Nếu bạn đặt 0 ở đây, các chính sách sẽ được cập nhật sau mỗi 7 giây (không đáng để làm điều đó);
- Đây là thời gian ngẫu nhiên được thêm vào khoảng thời gian làm mới để ngăn tất cả khách hàng yêu cầu Chính sách Nhóm cùng một lúc (0 đến 1440 phút) là giá trị tối đa của khoảng thời gian ngẫu nhiên được thêm vào như một phần bù vào thông số trước đó (được sử dụng để giảm số lượng cuộc gọi khách hàng đồng thời đến DC để tải xuống tệp GPO).
Sử dụng lệnh GPUpdate.exe để buộc làm mới cài đặt GPO
Tất cả quản trị viên đều biết gpupdate.exe lệnh cho phép cập nhật cài đặt Chính sách Nhóm trên máy tính. Để làm điều đó, hầu hết sử dụng gpupdate /force ra lệnh mà không do dự. Lệnh buộc máy tính của bạn đọc tất cả GPO từ bộ điều khiển miền và đăng ký lại tất cả cài đặt. Điều này có nghĩa là khi lực lượng được sử dụng, máy khách kết nối với bộ điều khiển miền để truy xuất tệp cho TẤT CẢ các chính sách nhắm mục tiêu nó. Điều này có thể dẫn đến tải cao hơn trên mạng và bộ điều khiển miền của bạn.
Một gpudate đơn giản lệnh không có bất kỳ tham số nào chỉ áp dụng cài đặt GPO mới và đã thay đổi.
Nếu thành công, thông báo sau sẽ xuất hiện:
Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
Bạn chỉ có thể cập nhật cài đặt GPO của người dùng:
gpupdate /target:user
hoặc chỉ cài đặt chính sách của máy tính:
gpupdate /target:computer /force
Nếu một số chính sách không thể được cập nhật trong nền, gpupdate có thể đăng xuất người dùng hiện tại:
gpupdate /target:user /logoff
Hoặc khởi động lại máy tính (nếu các thay đổi GPO chỉ có thể được áp dụng khi Windows khởi động):
gpupdate /Boot
Cách buộc cập nhật GPO từ xa từ Bảng điều khiển quản lý chính sách nhóm (GPMC)?
Trong Windows Server 2012 và mới hơn, bạn có thể cập nhật cài đặt Chính sách Nhóm trên máy tính miền từ xa bằng cách sử dụng GPMC.msc (Bảng điều khiển quản lý chính sách nhóm).
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Sau đó, sau khi thay đổi bất kỳ cài đặt nào hoặc tạo và liên kết GPO mới, chỉ cần nhấp chuột phải vào Đơn vị tổ chức (OU) bạn muốn trong GPMC và chọn Cập nhật chính sách nhóm trong menu ngữ cảnh. Trong một cửa sổ mới, bạn sẽ thấy số lượng máy tính mà GPO sẽ được cập nhật. Xác nhận việc bắt buộc cập nhật các chính sách bằng cách nhấp vào Có .
Sau đó, GPO sẽ được cập nhật từ xa trên từng máy tính trong đơn vị tổ chức một và bạn sẽ nhận được kết quả với trạng thái cập nhật chính sách nhóm trên các máy tính (Thành công / Không thành công).
Tính năng này tạo một tác vụ trong Bộ lập lịch tác vụ với GPUpdate.exe /force lệnh cho mỗi người dùng đã đăng nhập trên máy tính từ xa. Tác vụ chạy trong một khoảng thời gian ngẫu nhiên (tối đa 10 phút) để giảm tải mạng.
- Cổng TCP 135 phải được mở trong quy tắc Tường lửa của Bộ bảo vệ Windows;
- Các dịch vụ Bộ lập lịch tác vụ và Công cụ quản lý Windows phải được bật.
Nếu một máy tính bị tắt hoặc tường lửa chặn quyền truy cập vào nó, thì lệnh gọi thủ tục từ xa ‘The remote procedure call was canceled. Error Code 8007071a 'Xuất hiện bên cạnh tên của máy tính.
Trên thực tế, tính năng này hoạt động giống như khi bạn cập nhật cài đặt GPO theo cách thủ công bằng cách sử dụng GPUpdate /force lệnh trên mỗi máy tính.
Invoke-GPUpdate:Buộc cập nhật chính sách nhóm từ xa qua PowerShell
Bạn cũng có thể gọi bản cập nhật GPO từ xa trên máy tính bằng Ngày mời-GPU Lệnh ghép ngắn PowerShell (là một phần của RSAT). Ví dụ:để cập nhật từ xa cài đặt chính sách người dùng trên một máy tính cụ thể, bạn có thể sử dụng lệnh sau:
Invoke-GPUpdate -Computer "frparsrv12" -Target "User"
Nếu bạn chạy Ngày mời-GPU cmdlet không có bất kỳ tham số nào, nó sẽ cập nhật cài đặt GPO trên máy tính hiện tại (như gpudate.exe).
Cùng với lệnh ghép ngắn Get-ADComputer, bạn có thể cập nhật GPO trên tất cả các máy tính trong một đơn vị tổ chức cụ thể:
Get-ADComputer –filter * -Searchbase "OU=Computes,OU=Mun,OU=DE,dc=woshub,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}
hoặc trên tất cả các máy tính đáp ứng yêu cầu cụ thể (ví dụ:trên tất cả các máy chủ Windows Server trong một miền):
Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows Server*' }| foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}
RandomDelayInMinutes 0 tham số được sử dụng. Lệnh Invoke-GPUpdate trả về lỗi sau cho các máy tính không khả dụng: Invoke-GPUpdate: Computer "frparsrv12" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.
Nếu bạn chạy Invoke-GPUpdate lệnh ghép ngắn từ xa hoặc cập nhật GPO từ GPMC, một cửa sổ bảng điều khiển với gpupdate đang chạy lệnh có thể xuất hiện trên màn hình của người dùng trong một thời gian ngắn.