Politica de grup - este o infrastructură complexă care vă permite să aplicați setările de politică pentru a configura computerul la distanță și interacțiunea utilizator într-un domeniu. În cazul în care politica rezultată nu este cum era de așteptat, vă recomandăm să vă asigurați că politica de utilizator de computer și setările sunt setate expirat. În versiunile anterioare ale utilizatorului Windows în acest scop, a fost necesar pentru a rula pe calculatorul Gpupdate.exe.
Cu ajutorul caracteristicii care se adaugă la meniul contextual pentru unitățile din Management Console Group Policy, la distanță de actualizare Politica de grup vă permite să actualizați toate setările sale, inclusiv setările de securitate, care sunt stabilite pentru un grup de calculatoare de la distanță. La selectarea unităților pentru actualizări de la distanță a setărilor de politică de grup pe tot calculatorul aferente efectuează următoarele operații.
Solicitare Active Directory returnează o listă cu toate computerele care aparțin sucursalei.
Instrumente de WMI primește lista de utilizatori semnat-in pe fiecare dintre calculatoarele aparținând unității selectate.
Se creează o sarcină programată la distanță care ruleaza Gpupdate.exe / vigoare pentru fiecare utilizator conectat la, și un timp pentru a actualiza computerul Group Policy. Pentru a reduce sarcina pe rețea, sarcina este pornit cu o întârziere aleatoare între 0 și 10 minute. Când utilizați Politica de Management Console Group, intarziere aleatorie nu poate fi reglat, dar folosind Invoke-gpupdate cmdlet pentru a configura o întârziere aleatoare sau executarea imediată a sarcinii programată.
Acest document descrie modul de a forța la distanță Grupul de actualizare Politica de pe toate computerele și unitățile de toate unitățile cuprinse în cadrul unităților selectate cu Management Console Group Policy. Această procedură oferă, de asemenea, o metodă pentru Windows PowerShell echivalent.
Programa o actualizare la distanță forțată a politicii de grup poate fi numai prin intermediul Management Console Group Policy cu computerele asociate domeniului de funcționare:
Windows 8 sau Windows 8.1 cu Remote Server Administration Tools pentru Windows 8.
Programa o actualizare la distanță Politica de grup este posibilă pentru orice calculator care rulează:
Pentru a programa o actualizare de politică de grup pe computerele asociate la domeniu utilizând Group Policy Management Console sau utilizând Invoke-gpupdate. ar trebui să li se permită în regulile de trafic de intrare firewall de pe porturile care sunt listate în tabelul de mai jos.
Tipul de trafic de rețea
Porturile dinamice RPC TCP, programul
sarcini de control de la distanță desemnate (RPC)
TCP port 135, RPCSS
(Serviciu de apel de la distanță procedură)
Management de la distanță a sarcinilor atribuite (RPC-EPMAP)
toate porturile TCP, winmgmt
(Serviciu de instrumentație pentru Windows Management)
Windows Management Instrumentation (WMI - traficul de intrare)
Creați un GPO bazat pe start obiect „porturi firewall-ului pentru Remote Group Policy Update“ și stabilirea legăturii sale la domeniul
În Politica de Management Console Group, selectați domeniul pe toate computerele pe care doriți să le permiteți la distanță de actualizare Politica de grup.
Faceți clic pe domeniul, faceți clic dreapta selectat și selectați din meniul de comenzi rapide, selectați Creați un GPO în acest domeniu, și conectați-l.
În caseta de dialog Nou, denumiți GPO, introduceți noul nume GPO.
Selectați din lista de surse GPO Starter GPO portul inițial firewall-ul de la distanță pentru actualizare Group Policy. pe baza cărora se va crea un nou GPO, și apoi faceți clic pe OK.
Faceți clic pe GPO asemanatoare din rezultatele politicii.
Comenzile Windows PowerShell sunt echivalente
Următoarele cmdlet Windows PowerShell efectuează aceeași funcție ca și procedura anterioară. Introduceți fiecare cmdlet pe o singură linie, în ciuda faptului că aici, acestea pot fi afișate împărțită în mai multe rânduri din cauza restricțiilor de formatare.
Utilizați Nou-GPO cu parametrul -StarterGpoName. și apoi se transferă datele de ieșire la cmdletul New-GPLink.
De exemplu, pentru a crea un nou reguli GPO numit Configurare firewall pentru gpupdate la distanță (reguli de configurare a firewall-ului de la distanță pentru actualizarea politicii de grup) utilizând începe GPO Politica de grup la distanță Actualizare pentru firewall porturi (porturi de paravan de protecție pentru distanță de actualizare Group Policy) și link-ul domeniul Contoso.com, utilizați următorul script:
Utilizați cmdlet Invoke-gpupdate pentru a programa o Gpupdate.exe la mai multe calculatoare din sesiunea Group Policy Management Console sau Windows PowerShell.
Planificarea pentru actualizări de politică de grup cu privire la toate diviziile de calculatoare cu Management Console Group Policy
În Politica de Management Console Group, localizați unitatea pentru toate computerele pe care doriți să le actualizați politica de grup.
Politica de grup va fi, de asemenea, actualizate pe toate calculatoarele din unitățile incluse în unitatea selectată.
Faceți clic dreapta pe unitatea selectată, apoi faceți clic pe Group Policy Actualizare ...
Faceți clic pe Da în dialogul de actualizare Group Policy Force. Acest lucru este echivalent cu Gpupdate.exe / forța din linia de comandă.
În actualizarea la distanță a politicii de grup afișează rezultatele doar starea politică de grup programate de actualizare pentru fiecare calculator și în toate diviziile din unitatea selectată. Ea nu afișează informații cu privire la succesul real sau eșecul politicii de grup este actualizat pentru fiecare computer.
Utilizați setul rezultanta Politica, determină succesul politicii Grupului programate de reîmprospătare (a se vedea. Definirea Set de politici rezultat).
Atunci când verificarea rezultatelor actualizare în fiecare computer trebuie să programeze o posibilă întârziere, care poate dura până la 10 minute.
Comenzile Windows PowerShell sunt echivalente
Următoarele cmdlet Windows PowerShell efectuează aceeași funcție ca și procedura anterioară. Introduceți fiecare cmdlet pe o singură linie, în ciuda faptului că aici, acestea pot fi afișate împărțită în mai multe rânduri din cauza restricțiilor de formatare.
Invocați-gpupdate cmdlet vă permite să programați la distanță de actualizare Politica de grup pe un anumit computer cu aceleași setări posibile precum și în utilitate, linia de comandă Gpupdate.exe. Acest lucru oferă o mai mare libertate de alegere a unui set de calculatoare pentru a actualiza decât programarea actualizări prin intermediul Management Console Group Policy. De asemenea, este posibil să se configureze timeout-ul înainte de a rula actualizările de politică de grup utilizând parametrul -RandomDelayInMinutes. La valoarea zero a actualizării politicii de grup parametru va fi lansat imediat. Pentru informații suplimentare. A se vedea Invoke-gpupdate.
Pentru a actualiza setările de politică de grup modificate pe computerul pe care sunteți conectat, executați cmdlet Invoke-gpupdate fără nici un parametru, de exemplu:
Nu se poate programa actualiza politica de grup pentru calculatoare container folosind GPMC, Group Policy Update .... Calculatoare container este locația implicită pentru conturile de calculator. Nu este o unitate care poate fi controlată prin utilizarea Management Console Group Policy. Cu toate acestea, prin schimbul de Windows PowerShell Get-ADComputer cmdlet la cmdletul Invoke-gpupdate pot fi programate la distanță actualiza toate calculatoarele din container Calculatoare. Pentru mai multe informații despre cmdleturile disponibile pentru Windows PowerShell pentru Active Directory, vezi. Administrarea cmdlet-urile AD DS în Windows PowerShell.
În primul rând, veți obține o listă de computere din container Calculatoare. utilizând cmdlet-ul Get-ADComputer. Apoi introduceți numele fiecărui computer din lista din cmdlet Invoke-gpupdate. De exemplu, pentru a forța o actualizare a setărilor de politică de grup pe toate computerele din container pentru contoso.com calculatoarele de domeniu utilizează următorul script:
Cu partajarea Get-ADComputer cu cmdlet Invoke-gpupdate poate forța o reîmprospătare a setărilor de politică de grup pe toate calculatoarele dintr-o divizie separata. De exemplu, pentru a forța o actualizare a setărilor de politică de grup pe toate calculatoarele din departamentul de contabilitate (contabilitate) Contoso.com domeniu, utilizați următorul script:
Utilizarea Get-ADComputer cu cmdlet Invoke-gpupdate și stabilirea unei valori de la 0 pentru --RandomDelayInMinutes parametru. Puteți efectua o actualizare imediată a tuturor setărilor de politică de grup pe toate computerele într-o divizie separata. De exemplu, pentru a forța o actualizare a setărilor de politică de grup pe toate calculatoarele din departamentul de contabilitate (contabilitate) Contoso.com domeniu, utilizați următorul script: