Group Policy es un servicio popular de Active Directory que muchas organizaciones utilizan hoy en día. Si tu organización utiliza Group Policy, es probable que estés familiarizado con el comando gpupdate; más específicamente, el comando gpupdate /force.
¿Sabes qué hace gpupdate? ¿Alguna vez necesitas utilizar el parámetro force? Y si es así, ¿cuándo tiene sentido?
En este artículo, aprenderás qué hace gpupdate, cómo funciona y cómo puedes aprovechar al máximo sus opciones.
¿Qué es GPUpdate?
Gpupdate es una utilidad de línea de comandos de Microsoft que viene con todas las versiones del sistema operativo Windows. Es una utilidad que controla la aplicación de objetos de directiva de grupo (GPOs) en los equipos asignados de Active Directory.
Típicamente, cuando un administrador asigna un GPO a un equipo o usuario, ese equipo verifica automáticamente con un controlador de dominio y aplica las configuraciones definidas en el GPO. No se necesita intervención; el proceso es automático.
Hay momentos fuera del horario automático regular en los que un administrador necesita forzar al equipo a buscar GPOs nuevos o modificados. En este escenario es donde gpupdate resulta útil.
El comando gpupdate, en pocas palabras, verifica con un controlador de dominio si hay nuevas o actualizadas GPO asignadas a una computadora e intenta aplicarlas de inmediato.
Prerrequisitos
Si desea ejecutar alguno de los ejemplos proporcionados en este tutorial, los prerrequisitos de este artículo son mínimos.
- A Windows computer joined to an Active Directory domain
- Al menos una GPO asignada a la computadora en la que esté trabajando
Cómo funciona Gpupdate
Cuando está frente a una computadora unida a un dominio, abra el símbolo del sistema de Windows o PowerShell y ejecute el comando gpupdate, se iniciarán una serie de tareas.
- Gpupdate inicia el servicio Cliente de directiva de grupo. Este servicio es responsable de descubrir y aplicar nuevas configuraciones de directiva de grupo.
2. Luego, el servicio Cliente de directiva de grupo se comunica con el controlador de inicio de sesión de la computadora y verifica si hay nuevas GPO o actualizaciones de GPO existentes disponibles.
3. Si el servicio Cliente de directiva de grupo encuentra nuevas GPO o aquellas que ha cambiado localmente con gpedit.msc, el proceso procesa todas las extensiones del lado del cliente (CSEs) comenzando con la configuración de la computadora y luego con la configuración de usuario.
El servicio Cliente de directiva de grupo registra eventos en el registro de aplicaciones y servicios\Microsoft\Windows\GroupPolicy\Operational.
Relacionado: Cómo funciona la Directiva de grupo (en detalle)
4. Una vez terminado, el servicio de Cliente de Directiva de grupo espera hasta el siguiente intervalo de actualización, que por defecto es de 90 minutos más un desplazamiento aleatorio de hasta 30 minutos.
Algunas configuraciones de la Directiva de grupo requieren que el usuario cierre sesión o reinicie el equipo para que surtan efecto. Si una de estas configuraciones forma parte de la Directiva, gpupdate pedirá cerrar sesión o reiniciar el equipo.
El famoso interruptor /force explicado
Ahora conoces los conceptos básicos de lo que sucede cuando ejecutas gpupdate. Hasta ahora, parece que todo funciona bien, ¿verdad? En un escenario típico, ejecutar gpupdate y permitir que siga su proceso funciona perfectamente. Pero hay ocasiones en las que necesitas forzar algunas cosas.
Uno de los parámetros más utilizados de gpupdate es el interruptor /force. Este interruptor de alguna manera ha sido grabado en la mente de todos los profesionales de TI como un interruptor necesario. Contrariamente a la creencia popular, en realidad no lo necesitas a menos que sea en ciertas circunstancias.
De forma predeterminada, gpupdate es inteligente; compara todas las configuraciones actuales con las nuevas y las aplica solo. Pero también puedes forzar a gpupdate a volver a aplicar todas las configuraciones utilizando el interruptor /force. ¿Por qué necesitarías hacer eso?
A veces, los ajustes se desvían de sus valores esperados. Por ejemplo, si un usuario desactiva una característica de Windows controlada por una política existente, al ejecutar gpupdate /force se obligará al servicio Cliente de directivas de grupo a volver a evaluar el valor y devolverlo al valor esperado. O tal vez quieras volver a agregar a un usuario a un grupo restringido del que fue eliminado.
El servicio Cliente de directivas de grupo vuelve a aplicar algunos ajustes regularmente, como los ajustes de seguridad (el intervalo predeterminado es de 16 horas).
La mayor razón para no utilizar el interruptor /force es cuando se trata de ajustes que solo se pueden aplicar al iniciar sesión o al iniciar el sistema. Cuando esto sucede, Windows te pedirá que cierres la sesión o reinicies cada vez que ejecutes gpupdate /force, incluso si los nuevos ajustes no requieren dicha acción.
Profundizando en los parámetros de Gpupdate
Ahora que tienes una comprensión básica de cómo funciona gupdate y sabes cuándo y cómo utilizar el interruptor /force, centrémonos en todas las demás funcionalidades que gpupdate ofrece.
Obteniendo ayuda
Como era de esperar, el comando gpupdate puede proporcionar información sobre cada parámetro y lo que hacen. Aunque carece de profundidad, el /? es útil si necesitas rápidamente recordar cómo realizar una tarea en particular.
Apuntando a ajustes de equipo o usuario
De forma predeterminada, gpupdate indica al servicio Cliente de directivas de grupo que procese tanto los ajustes de equipo como los de usuario. Si solo necesitas actualizar uno de estos conjuntos, puedes utilizar el parámetro /target.
Tienes dos opciones al usar el parámetro /target; puedes dirigirte a la configuración del equipo o del usuario con /target:computer o /target:user.
Debes usar el parámetro
/targetsolo en circunstancias específicas, dirigiéndote primero a la configuración del usuario, seguido de la configuración del equipo. ¿Por qué? A veces una directiva tendrá configuraciones superpuestas del usuario y del equipo. Cuando esto sucede, las configuraciones del usuario anulan las configuraciones del equipo, lo que puede provocar un comportamiento inesperado.
Creando un tiempo de espera
Gpupdate generalmente se ejecuta bastante rápido, pero problemas con un DC no receptivo o el servicio del cliente de directiva de grupo pueden retrasar el proceso. Si estás ejecutando gpupdate en un script que requiere realizar más tareas después de ejecutar gpupdate, es posible que desees crear un tiempo de espera.
Puedes forzar a gpupdate a devolver el control a la ventana de comandos después de un cierto período de tiempo y empujar el procesamiento de directivas al segundo plano utilizando el parámetro /wait. Los valores disponibles para el parámetro /wait son los siguientes.
| Wait Value | Result |
| 0 | Immediately returns control to console |
| -1 | Waits indefinitely for gpupdate to finish |
| 1+ | Waits the number of seconds provided |
| 600 | Default value |
Obligar a un cierre de sesión automático
Algunas configuraciones requerirán que el usuario cierre sesión e inicie sesión de nuevo si no es posible el procesamiento en segundo plano. Por defecto, gpupdate te pedirá que cierres sesión una vez que haya terminado si este es el caso. Sin embargo, si deseas cerrar sesión inmediatamente una vez que gpupdate haya terminado, utiliza el interruptor /logoff.
El interruptor /logoff no siempre funcionará
Probado tanto en Windows 10 como en Windows Server 2019, a veces te encontrarás con un problema desconocido donde el parámetro /logoff no funcionará.
Por ejemplo, el cliente a continuación tiene asignada una política para habilitar la redirección del escritorio para el usuario que ha iniciado sesión. La configuración de redirección de carpetas solo se puede procesar al iniciar sesión y no durante la actualización en segundo plano de las políticas.
Sin utilizar el interruptor /logoff, un usuario regular ve la advertencia a continuación para cerrar sesión cuando se requiere un nuevo ajuste, como se esperaba. Pero independientemente de si se utiliza el interruptor /logoff o no, seguirá apareciendo el mensaje y Windows no cerrará la sesión.
Para asegurarse de que se cierre la sesión en este escenario, también debe utilizar el interruptor /force.
Forzar un reinicio automático
Similar al interruptor /logoff, el interruptor /boot reinicia automáticamente una computadora si Windows no puede procesar ninguna configuración de la computadora en segundo plano. El interruptor /boot se utiliza comúnmente para instalaciones de software dirigidas a computadoras.
Forzar el procesamiento síncrono
El servicio Cliente de directiva de grupo aplica políticas en paralelo (asincrónicamente) o una a la vez (sincrónicamente). Windows procesa las políticas de forma sincrónica solo al iniciar sesión del usuario y al iniciar la computadora, de lo contrario, de forma asíncrona.
Durante el procesamiento síncrono, el Cliente de directiva de grupo invoca todos sus CSE incluso si no ha habido cambios en la configuración. El procesamiento síncrono es necesario porque algunas configuraciones dependen de otras.
Puede combinar el interruptor /sync con /target: user o /target:computer. Solo puede usar el interruptor /sync mientras ejecuta la ventana de comandos como administrador. De lo contrario, verá los mensajes de error Acceso denegado a continuación.
Relacionado: Cómo ejecutar PowerShell como administrador
El procesamiento asíncrono es una forma de optimizar la experiencia de inicio de sesión de los usuarios de dominio. Antes de Windows XP, todo el procesamiento de políticas era sincrónico, con la única desventaja de que algunas configuraciones requerían dos inicios de sesión o dos reinicios antes de aplicarse. El modo predeterminado desde Windows XP es ahora asíncrono.
Conclusión
Si siguió este artículo, ahora debería tener una idea clara de lo que hace gpupdate y cómo puede usar sus interruptores para cambiar su comportamiento. Si está interesado en usar gpupdate a mayor escala o automatizarlo, asegúrese de consultar su contraparte en PowerShell, Invoke-GPUpdate.