Windows-Forzare i criteri di gruppo del dominio
KB ID 0001282
Problema
Ho scritto centinaia di post su come fare le cose con i criteri di gruppo. Ogni volta che ne finisco uno, scrivo un paio di paragrafi su quanto tempo aspettare, o come forzare la politica ecc. Così ho finalmente ottenuto intorno a scrivere un post che posso semplicemente fare riferimento!
Quanto tempo prima che vengano applicate le modifiche ai criteri di gruppo?,
Questo è qualcosa che non è cambiato da quando stavo facendo gli esami di Windows 2000: l’intervallo predefinito tra i criteri applicati è di 90 minuti, più o meno una cifra compresa tra 0 e 30 minuti. (Ciò evita che tutti i criteri utente e computer vengano visualizzati e applicati contemporaneamente. Quindi tra 60 minuti e 120 minuti se avete intenzione di aspettare.
Ora è possibile modificare questo intervallo, con le politiche di gruppo;
User Configuration > Administrative Templates > System > Group Policy > Group Policy refresh interval for usersComputer Configuration > Administrative Templates > System > Group Policy > Group Policy refresh interval for users
Come si può vedere, è possibile modificare l’intervallo fino a 64,800 secondi (45 giorni)., Se lo si imposta su “0”, la politica si aggiorna ogni 7 secondi (NON FARLO MAI!) a meno che tu non sia su un banco di prova con un paio di computer! Personalmente non ho mai avuto bisogno di scherzare con queste impostazioni.
Forzare l’aggiornamento dei criteri di gruppo da GPMC
Se si dispone di Windows 2012 server con la console di gestione dei criteri di gruppo installata, è possibile forzare l’aggiornamento dei criteri di gruppo su un’unità operativa in Active Directory.
Fare clic con il pulsante destro del mouse sull’unità operativa e selezionare ‘Aggiornamento criteri di gruppo..'(o dal menu Azione) > Yes.,
Alcuni falliranno, potrebbero non essere accesi o (come alcuni di seguito) potrebbero essere macchine linux.
Forza manualmente un aggiornamento dei criteri di gruppo su un singolo host
Durante il test di nuovi criteri questo comando è tuo amico, ti dà la possibilità di testare il risultato su un client istantaneamente, (non appena la modifica dei criteri è terminata). Aprendo una finestra di comando amministrativo ed eseguendo il seguente comando.,
Nota: Alcune politiche richiedono un log off / log on, o anche un riavvio, si dovrebbe essere detto questo dopo aver eseguito gpupdate.
Forza l’aggiornamento dei criteri di gruppo con PowerShell
È anche possibile ottenere macchine/utenti singoli / multipli per aggiornare i propri criteri utilizzando PowerShell. Per questo lavoro è necessario Server 2012 e almeno Windows 8 client. È inoltre necessario apportare alcune modifiche ai firewall delle macchine., Fortunatamente puoi farlo anche con criteri di gruppo, e Microsoft ha già scritto la politica per te, (è nelle politiche di avviamento).
All’interno della console di gestione criteri di gruppo> Individuare GPO stater> Porte Firewall Aggiornamento remoto criteri di gruppo> Nuovo GPO da Starter GPO> Dare il nuova politica un nome.
Collega questa nuova politica alle unità organizzative dell’utente / computer (come richiesto).,
È ora possibile utilizzare il commandlet ‘Invoke-Gpupdate‘, qui sto applicando l’aggiornamento ai ‘Server’ OU.
Attenzione: questo visualizza l’output sulle macchine interessate e potrebbe avviare alcuni utenti che squillano l’help desk!
Vedi quali criteri di gruppo vengono applicati
Forzarli è una cosa, dimostrare che effettivamente arrivano ai computer di destinazione è un’altra cosa., Per la pace della mente, e la risoluzione dei problemi, aiuta a vedere quali criteri sono filtrati verso il basso per i computer e gli utenti.
Il modo più semplice, è quello di aprire una finestra di comando amministrativo, ed eseguire il seguente comando;
O per vedere le cose un po ‘più’granulare’. Tasto Windows + R > mmc {enter} > Aggiungi/Rimuovi Snap-In > gruppo di Criteri Risultante > Aggiungi > OK.,
Genera dati RSoP > Segui la procedura guidata.
Al termine mostrerà la ‘somma totale’ di tutte le politiche applicate – può anche mostrare eventuali problemi che si stanno verificando. Il prossimo posto migliore per la risoluzione dei criteri di gruppo è il visualizzatore eventi sul computer di destinazione.