Computer >> Máy Tính >  >> Hệ thống >> máy chủ Windows

Cập nhật Thiết đặt Chính sách Nhóm trên Máy tính Miền Windows

Trong bài viết này, chúng tôi sẽ hướng dẫn cách cập nhật cài đặt Chính sách Nhóm (GPO) trên máy tính Windows trong miền Active Directory:cách tự động cập nhật (làm mới) Chính sách Nhóm, cách sử dụng GPUpdate , cách cập nhật chúng từ xa bằng Bảng điều khiển Quản lý Chính sách Nhóm (GPMC.msc ) hoặc Invoke-GPUpdate Lệnh ghép ngắn PowerShell.

Làm cách nào để Thay đổi Khoảng thời gian Làm mới Chính sách Nhóm?

Trước khi các cài đặt mới bạn đã đặt trong Chính sách Nhóm (GPO) cục bộ hoặc miền được áp dụng cho các máy khách Windows, dịch vụ Máy khách Chính sách Nhóm phải đọc các chính sách và thực hiện các thay đổi đối với cài đặt Windows. Quá trình này được gọi là Cập nhật chính sách nhóm . Cài đặt GPO được cập nhật khi máy tính khởi động, người dùng đăng nhập và tự động làm mới trong nền sau mỗi 90 phút + thời gian bù thời gian ngẫu nhiên từ 0–30 phút (có nghĩa là cài đặt chính sách chắc chắn sẽ được áp dụng trên máy khách trong 90– 120 phút sau khi bạn cập nhật tệp GPO trên bộ điều khiển miền).

Theo mặc định, bộ điều khiển miền cập nhật cài đặt GPO thường xuyên hơn:5 phút một lần.

Bạn có thể thay đổi khoảng thời gian cập nhật GPO bằng cách sử dụng Đặt khoảng thời gian làm mới Chính sách Nhóm cho máy tính tùy chọn nằm trong phần Cấu hình Máy tính -> Mẫu Quản trị -> Hệ thống -> Chính sách Nhóm của GPO.

Bật chính sách và đặt thời gian (tính bằng phút) cho các tùy chọn sau:

  • Cài đặt này cho phép bạn tùy chỉnh tần suất Chính sách Nhóm được áp dụng cho máy tính (0 đến 44640 phút) tần suất máy khách nên làm mới cài đặt GPO trong nền. Nếu bạn đặt 0 ở đây, các chính sách sẽ được cập nhật sau mỗi 7 giây (không đáng để làm điều đó);
  • Đây là thời gian ngẫu nhiên được thêm vào khoảng thời gian làm mới để ngăn tất cả khách hàng yêu cầu Chính sách Nhóm cùng một lúc (0 đến 1440 phút) là giá trị tối đa của khoảng thời gian ngẫu nhiên được thêm vào như một phần bù vào thông số trước đó (được sử dụng để giảm số lượng cuộc gọi khách hàng đồng thời đến DC để tải xuống tệp GPO).

Cập nhật Thiết đặt Chính sách Nhóm trên Máy tính Miền Windows

Lưu ý rằng cập nhật GPO thường xuyên dẫn đến tăng lưu lượng truy cập vào bộ điều khiển miền và dẫn đến tải mạng cao hơn.

Sử dụng lệnh GPUpdate.exe để buộc làm mới cài đặt GPO

Tất cả quản trị viên đều biết gpupdate.exe lệnh cho phép cập nhật cài đặt Chính sách Nhóm trên máy tính. Để làm điều đó, hầu hết sử dụng gpupdate /force ra lệnh mà không do dự. Lệnh buộc máy tính của bạn đọc tất cả GPO từ bộ điều khiển miền và đăng ký lại tất cả cài đặt. Điều này có nghĩa là khi lực lượng được sử dụng, máy khách kết nối với bộ điều khiển miền để truy xuất tệp cho TẤT CẢ các chính sách nhắm mục tiêu nó. Điều này có thể dẫn đến tải cao hơn trên mạng và bộ điều khiển miền của bạn.

Một gpudate đơn giản lệnh không có bất kỳ tham số nào chỉ áp dụng cài đặt GPO mới và đã thay đổi.

Nếu thành công, thông báo sau sẽ xuất hiện:

Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

Cập nhật Thiết đặt Chính sách Nhóm trên Máy tính Miền Windows

Nếu một số chính sách hoặc cài đặt chưa được áp dụng, hãy sử dụng lệnh gpresult để chẩn đoán sự cố và làm theo hướng dẫn trong bài viết Các sự cố thường gặp khiến chính sách nhóm không được áp dụng

Bạn chỉ có thể cập nhật cài đặt GPO của người dùng:

gpupdate /target:user

hoặc chỉ cài đặt chính sách của máy tính:

gpupdate /target:computer /force

Nếu một số chính sách không thể được cập nhật trong nền, gpupdate có thể đăng xuất người dùng hiện tại:

gpupdate /target:user /logoff

Hoặc khởi động lại máy tính (nếu các thay đổi GPO chỉ có thể được áp dụng khi Windows khởi động):

gpupdate /Boot

Cách buộc cập nhật GPO từ xa từ Bảng điều khiển quản lý chính sách nhóm (GPMC)?

Trong Windows Server 2012 và mới hơn, bạn có thể cập nhật cài đặt Chính sách Nhóm trên máy tính miền từ xa bằng cách sử dụng GPMC.msc (Bảng điều khiển quản lý chính sách nhóm).

Trong Windows 10, bạn sẽ phải cài đặt RSAT để sử dụng bảng điều khiển GPMC:

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

Sau đó, sau khi thay đổi bất kỳ cài đặt nào hoặc tạo và liên kết GPO mới, chỉ cần nhấp chuột phải vào Đơn vị tổ chức (OU) bạn muốn trong GPMC và chọn Cập nhật chính sách nhóm trong menu ngữ cảnh. Trong một cửa sổ mới, bạn sẽ thấy số lượng máy tính mà GPO sẽ được cập nhật. Xác nhận việc bắt buộc cập nhật các chính sách bằng cách nhấp vào .

Cập nhật Thiết đặt Chính sách Nhóm trên Máy tính Miền Windows

Sau đó, GPO sẽ được cập nhật từ xa trên từng máy tính trong đơn vị tổ chức một và bạn sẽ nhận được kết quả với trạng thái cập nhật chính sách nhóm trên các máy tính (Thành công / Không thành công).

Tính năng này tạo một tác vụ trong Bộ lập lịch tác vụ với GPUpdate.exe /force lệnh cho mỗi người dùng đã đăng nhập trên máy tính từ xa. Tác vụ chạy trong một khoảng thời gian ngẫu nhiên (tối đa 10 phút) để giảm tải mạng.

Để tính năng cập nhật GPO từ xa của GPMC hoạt động trên máy khách, các điều kiện sau phải được đáp ứng:

  • Cổng TCP 135 phải được mở trong quy tắc Tường lửa của Bộ bảo vệ Windows;
  • Các dịch vụ Bộ lập lịch tác vụ và Công cụ quản lý Windows phải được bật.

Nếu một máy tính bị tắt hoặc tường lửa chặn quyền truy cập vào nó, thì lệnh gọi thủ tục từ xa ‘The remote procedure call was canceled. Error Code 8007071a 'Xuất hiện bên cạnh tên của máy tính.

Trên thực tế, tính năng này hoạt động giống như khi bạn cập nhật cài đặt GPO theo cách thủ công bằng cách sử dụng GPUpdate /force lệnh trên mỗi máy tính.

Cập nhật Thiết đặt Chính sách Nhóm trên Máy tính Miền Windows

Invoke-GPUpdate:Buộc cập nhật chính sách nhóm từ xa qua PowerShell

Bạn cũng có thể gọi bản cập nhật GPO từ xa trên máy tính bằng Ngày mời-GPU Lệnh ghép ngắn PowerShell (là một phần của RSAT). Ví dụ:để cập nhật từ xa cài đặt chính sách người dùng trên một máy tính cụ thể, bạn có thể sử dụng lệnh sau:

Invoke-GPUpdate -Computer "frparsrv12" -Target "User"

Nếu bạn chạy Ngày mời-GPU cmdlet không có bất kỳ tham số nào, nó sẽ cập nhật cài đặt GPO trên máy tính hiện tại (như gpudate.exe).

Cùng với lệnh ghép ngắn Get-ADComputer, bạn có thể cập nhật GPO trên tất cả các máy tính trong một đơn vị tổ chức cụ thể:

Get-ADComputer –filter * -Searchbase "OU=Computes,OU=Mun,OU=DE,dc=woshub,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}

hoặc trên tất cả các máy tính đáp ứng yêu cầu cụ thể (ví dụ:trên tất cả các máy chủ Windows Server trong một miền):

Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows Server*' }| foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}

Bạn có thể đặt độ lệch ngẫu nhiên để cập nhật GPO bằng cách sử dụng RandomDelayInMinutes . Do đó, bạn có thể giảm tải mạng nếu cập nhật cài đặt Chính sách Nhóm trên nhiều máy tính đồng thời. Để áp dụng cài đặt Chính sách Nhóm ngay lập tức, hãy RandomDelayInMinutes 0 tham số được sử dụng. Lệnh Invoke-GPUpdate trả về lỗi sau cho các máy tính không khả dụng:

Invoke-GPUpdate: Computer "frparsrv12" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.

Cập nhật Thiết đặt Chính sách Nhóm trên Máy tính Miền Windows

Nếu bạn chạy Invoke-GPUpdate lệnh ghép ngắn từ xa hoặc cập nhật GPO từ GPMC, một cửa sổ bảng điều khiển với gpupdate đang chạy lệnh có thể xuất hiện trên màn hình của người dùng trong một thời gian ngắn.