Gruppenrichtlinie ist ein beliebter Active Directory-Dienst, den viele Organisationen heute nutzen. Wenn Ihre Organisation Gruppenrichtlinien verwendet, sind Sie wahrscheinlich mit dem Befehl gpupdate vertraut; genauer gesagt, dem Befehl gpupdate /force.
Wissen Sie, was gpupdate macht? Benötigen Sie jemals den Force-Parameter? Und wenn ja, wann macht es Sinn?
In diesem Artikel erfahren Sie, was gpupdate macht, wie es funktioniert und wie Sie am besten von seinen Optionen profitieren können.
Was ist GPUpdate?
Gpupdate ist ein Befehlszeilen-Dienstprogramm von Microsoft, das mit allen Versionen des Windows-Betriebssystems geliefert wird. Es handelt sich um ein Dienstprogramm, das die Anwendung von Gruppenrichtlinienobjekten (GPOs) auf zugewiesenen Active Directory-Computern steuert.
Typischerweise überprüft ein Computer, dem ein Administrator eine GPO zugewiesen hat, automatisch bei einem Domänencontroller und wendet die in der GPO definierten Einstellungen an. Es ist kein Eingreifen erforderlich; der Vorgang erfolgt automatisch.
Es gibt Zeiten außerhalb des regulären automatischen Zeitplans, in denen ein Administrator den Computer zwingen muss, nach neuen oder geänderten GPOs zu suchen. Dies ist die Situation, in der gpupdate nützlich ist.
Der Befehl „gpupdate“ überprüft kurz gesagt bei einem Domänencontroller, ob neue oder aktualisierte Gruppenrichtlinien (GPOs) einem Computer zugewiesen wurden, und versucht sofort, sie anzuwenden.
Voraussetzungen
Wenn Sie eines der in diesem Tutorial bereitgestellten Beispiele ausführen möchten, sind die Voraussetzungen dieses Artikels gering.
- A Windows computer joined to an Active Directory domain
- Mindestens eine GPO, die dem Computer zugewiesen ist, an dem Sie arbeiten
Wie Gpupdate funktioniert
Wenn Sie vor einem Domänencomputer sitzen, öffnen Sie die Windows-Eingabeaufforderung oder PowerShell und führen Sie gpupdate aus, eine Reihe von Aufgaben wird gestartet.
- Gpupdate startet den Dienst „Gruppenrichtlinien-Client“. Dieser Dienst ist dafür verantwortlich, neue Gruppenrichtlinieneinstellungen zu entdecken und anzuwenden.
2. Der Dienst „Gruppenrichtlinien-Client“ greift dann auf den Anmelde-DC des Computers zu und überprüft, ob neue GPOs oder Updates für vorhandene GPOs verfügbar sind.
3. Wenn der Dienst „Gruppenrichtlinien-Client“ neue GPOs findet oder solche, die Sie lokal mit gpedit.msc geändert haben, verarbeitet der Prozess alle clientseitigen Erweiterungen (CSEs) zuerst mit den Computereinstellungen, gefolgt von den Benutzereinstellungen.
Der Dienst „Gruppenrichtlinien-Client“ protokolliert Ereignisse unter Anwendungs- und Dienstprotokoll\Microsoft\Windows\Gruppenrichtlinie\Betrieblich.
Verwandt: Wie Gruppenrichtlinien funktionieren (im Detail)
4. Sobald fertig, wartet der Group Policy Client-Dienst bis zum nächsten Auffrischungsintervall, das standardmäßig 90 Minuten plus einem zufälligen Offset von bis zu 30 Minuten beträgt.
Einige Gruppenrichtlinieneinstellungen erfordern, dass sich der Benutzer abmeldet oder den Computer neu startet, um wirksam zu werden. Wenn eine dieser Einstellungen Teil der Richtlinie war, wird gpupdate auffordern, sich abzumelden oder den Computer neu zu starten.
Der berüchtigte /force-Schalter erklärt
Jetzt kennen Sie die Grundlagen dessen, was passiert, wenn Sie gpupdate ausführen. Bisher scheint alles zu funktionieren, oder? In einem typischen Szenario funktioniert das Ausführen von gpupdate und das Zulassen des Durchlaufs seines Prozesses einwandfrei. Aber es gibt Gelegenheiten, bei denen Sie einige Dinge erzwingen müssen.
Einer der am weitesten verbreiteten Parameter von gpupdate ist der /force-Schalter. Dieser Schalter ist einer, der irgendwie in den Kopf jedes IT-Profis als notwendig eingraviert wurde. Entgegen der landläufigen Meinung benötigen Sie ihn tatsächlich nicht, es sei denn unter bestimmten Umständen.
Standardmäßig ist gpupdate intelligent; es vergleicht alle aktuellen Einstellungen mit neuen Einstellungen und wendet sie nur an. Aber Sie können gpupdate auch zwingen, alle Einstellungen erneut anzuwenden, indem Sie den /force-Schalter verwenden. Warum sollten Sie das tun?
Manchmal weichen Einstellungen von ihren erwarteten Werten ab. Wenn beispielsweise ein Benutzer eine von einer vorhandenen Richtlinie gesteuerte Windows-Funktion deaktiviert, wird durch Ausführen von `gpupdate /force` der Dienst „Gruppenrichtlinien-Client“ angewiesen, den Wert neu zu bewerten und auf den erwarteten Wert zurückzusetzen. Oder vielleicht möchten Sie einen Benutzer wieder zu einer eingeschränkten Gruppe hinzufügen, aus der er entfernt wurde.
Der Dienst „Gruppenrichtlinien-Client“ wendet einige Einstellungen regelmäßig an, z. B. Sicherheitseinstellungen (Standardintervall beträgt 16 Stunden).
Der größte Grund, die Option `/force` nicht zu verwenden, ist, wenn es um Einstellungen geht, die nur beim Anmelden oder beim Start angewendet werden können. Wenn dies der Fall ist, fordert Windows Sie jedes Mal zum Abmelden oder Neustarten auf, wenn Sie `gpupdate /force` ausführen, auch wenn neue Einstellungen keine solche Aktion erfordern.
Genauere Untersuchung der Parameter von Gpupdate
Jetzt, da Sie ein grundlegendes Verständnis dafür haben, wie gupdate funktioniert, und wissen, wann und wie Sie die Option `/force` verwenden sollen, konzentrieren wir uns nun auf alle anderen Funktionalitäten, die gpupdate bietet.
Hilfe erhalten
Wie erwartet, kann der Befehl gpupdate Informationen zu jedem Parameter und zu deren Funktionen bereitstellen. Obwohl er nicht sehr detailliert ist, ist das `/?` nützlich, wenn Sie schnell eine Auffrischung darüber benötigen, wie Sie eine bestimmte Aufgabe ausführen können.
Ausrichtung auf Computer- oder Benutzereinstellungen
Standardmäßig teilt gpupdate dem Dienst „Gruppenrichtlinien-Client“ mit, sowohl Computer- als auch Benutzereinstellungen zu verarbeiten. Wenn Sie nur eines dieser Sets aktualisieren müssen, können Sie den Parameter `/target` verwenden.
Sie haben zwei Optionen bei der Verwendung des /target-Parameters; Sie können Computer- oder Benutzereinstellungen mit /target:computer oder /target:user anvisieren.
Sie sollten den
/target-Parameter nur unter bestimmten Umständen verwenden, indem Sie zuerst die Benutzereinstellungen anvisieren und dann die Computereinstellungen. Warum? Manchmal gibt es überlappende Benutzer- und Computereinstellungen in einer Richtlinie. In solchen Fällen überschreiben die Benutzereinstellungen die Computereinstellungen, was zu unerwartetem Verhalten führen kann.
Erstellen einer Timeout
Gpupdate läuft normalerweise recht schnell, aber Probleme mit einem nicht reagierenden DC oder dem Gruppenrichtlinien-Client-Dienst können den Vorgang verzögern. Wenn Sie gpupdate in einem Skript ausführen, das nach dem Ausführen von gpupdate weitere Aufgaben ausführen muss, sollten Sie möglicherweise ein Timeout erstellen.
Sie können gpupdate zwingen, die Kontrolle über das Befehlsfenster nach einer bestimmten Zeit zurückzugeben und die Richtlinienverarbeitung im Hintergrund zu forcieren, indem Sie den /wait-Parameter verwenden. Die verfügbaren Werte für den /wait-Parameter sind unten aufgeführt.
| Wait Value | Result |
| 0 | Immediately returns control to console |
| -1 | Waits indefinitely for gpupdate to finish |
| 1+ | Waits the number of seconds provided |
| 600 | Default value |
Erzwingen einer automatischen Abmeldung
Einige Einstellungen erfordern, dass der Benutzer sich ab- und wieder anmeldet, wenn eine Hintergrundverarbeitung nicht möglich ist. Standardmäßig wird gpupdate Sie benachrichtigen, wenn dies der Fall ist. Wenn Sie jedoch möchten, dass sich der Benutzer sofort abmeldet, sobald gpupdate abgeschlossen ist, verwenden Sie den Schalter /logoff.
Der /logoff-Schalter funktioniert möglicherweise nicht immer
Auf beiden Windows 10 und Windows Server 2019 getestet, können Sie manchmal auf ein unbekanntes Problem stoßen, bei dem der /logoff-Parameter nicht funktioniert.
Beispielsweise hat der unten stehende Client eine Richtlinie zugewiesen, um die Desktop-Umleitung für den angemeldeten Benutzer zu aktivieren. Die Einstellungen für die Ordnerumleitung können nur beim Anmelden verarbeitet werden und nicht während der Hintergrundaktualisierung von Richtlinien.
Ohne Verwendung des /logoff-Schalters sieht ein normaler Benutzer die unten stehende Warnung, sich abzumelden, wenn eine neue Einstellung dies erfordert, wie erwartet. Aber unabhängig davon, ob Sie den /logoff-Schalter verwenden oder nicht, werden Sie trotzdem aufgefordert, und Windows wird sich nicht abmelden.
Um sicherzustellen, dass Sie in diesem Szenario abgemeldet werden, müssen Sie auch den /force-Schalter verwenden.
Zwingen eines automatischen Neustarts
Ähnlich wie der /logoff-Schalter startet der /boot-Schalter den Computer automatisch neu, wenn Windows keine Computereinstellungen im Hintergrund verarbeiten kann. Der /boot-Schalter wird häufig für softwarebezogene Installationen auf Computern verwendet.
Zwingen der synchronen Verarbeitung
Der Dienst „Gruppenrichtlinienclient“ wendet Richtlinien parallel (asynchron) oder nacheinander (synchron) an. Windows verarbeitet Richtlinien synchron nur bei der Anmeldung des Benutzers und beim Start des Computers, sonst asynchron.
Während der synchronen Verarbeitung ruft der Gruppenrichtlinienclient alle seine CSEs auf, auch wenn keine Einstellungen geändert wurden. Die synchrone Verarbeitung ist notwendig, da einige Einstellungen von anderen abhängig sind.
Sie können den Schalter /sync entweder mit /target: Benutzer oder /target: Computer kombinieren. Sie können den /sync-Schalter nur verwenden, während das Befehlsfenster als Administrator ausgeführt wird. Andernfalls erhalten Sie die Fehlermeldung Zugriff verweigert.
Verwandt: Wie man PowerShell als Administrator ausführt
Die asynchrone Verarbeitung ist eine Möglichkeit, das Anmeldeerlebnis von Domänenbenutzern zu optimieren. Vor Windows XP erfolgte die Richtlinienverarbeitung synchron, mit dem einzigen Nachteil, dass einige Einstellungen zwei Anmeldungen oder zwei Neustarts erforderten, bevor sie angewendet wurden. Der Standardmodus seit Windows XP ist jetzt asynchron.
Zusammenfassung
Wenn Sie diesem Artikel gefolgt sind, sollten Sie nun eine klare Vorstellung davon haben, was gpupdate tut und wie Sie seine Schalter verwenden können, um sein Verhalten zu ändern. Wenn Sie daran interessiert sind, gpupdate im größeren Maßstab zu verwenden oder zu automatisieren, sollten Sie seinen PowerShell-Gegenpart Invoke-GPUpdate überprüfen.