הבנת פקודת GPUpdate [בעומק]

מדריכים

המדיניות הקבוצתית היא שירות פופולרי ב- Active Directory שמספר רב של ארגונים משתמשים בו היום. אם הארגונים שלך משתמשים במדיניות קבוצתית, סיכויים שאתה מכיר את הפקודה gpupdate; בדיוק, הפקודה gpupdate /force.

קשור: מהו Group Policy וכיצד הוא פועל? (בפירוט)

האם אתה יודע מה gpupdate עושה? האם אתה מצטרך להשתמש בפרמטר כוח? ואם כן, מתי זה יוצר סנס?

במאמר הזה, אתה הולך ללמוד מה gpupdate עושה, כיצד זה עובד, וכיצד אתה יכול להנות ביותר מהאפשרויות שלו.

מהו GPUpdate?

GPupdate הוא יועתק של פקודה ממובנת במיקרוסופט המגיע עם כל הגרסאות של מערכת ההפעלה Windows. זו יועתק ששולטת ביישום כללי מדיניות קבוצתית (GPOs) במחשבים משוייכים ב-Active Directory.

בדרך כלל, כאשר מנהל משוייך GPO למחשב או למשתמש, המחשב הזה בודק באופן אוטומטי עם בקר מערכת הדומיין ומיישם את ההגדרות שהוגדרו ב-GPO. אין צורך בהתערעור; התהליך הוא אוטומטי.

ישנם רקעי מחוץ לסדר האוטומטי הרגיל כאשר מנהל צריך לכפות את המחשב לבדוק עבור GPOs חדשות או משתנות. זהו התרחיש שבו gpupdate מתברר מועיל.

הפקודה gpupdate, בקצרה, בודקת עם שולחן בקרה בדומיין לכל GPO חדש או מעודכן המשוייך למחשב ומנסה ליישם אותם מיד.

דרישות מוקדמות

אם ברצונך להריץ את אחד מהדוגמאות שניתנו במדריך זה, דרישות המערכת בכתבה זו קלות.

  • A Windows computer joined to an Active Directory domain
  • לפחות GPO אחד מוקצה למחשב שעליו אתה עובד

איך פקודת Gpupdate עובדת

כאשר אתה יושב מול מחשב המצורף לדומיין, פתח את פקודת השורה של Windows או PowerShell והפעל את gpupdate, סדרת משימות תתחיל.

Gpupdate in action
  1. השירות של לקוח מדיניות קבוצה מתחיל את עצמו. שירות זה אחראי לגלישה ויישום של הגדרות מדיניות קבוצה חדשות.

2. השירות של לקוח מדיניות קבוצה מתקשר אז עם שולחן הבקרה לכניסה של המחשב ובודק אם ישנם GPO חדשים או עדכונים ל-GPO הקיימים.

3. אם שירות לקוח מדיניות קבוצה מוצא GPO חדשים או כל שהוחלט לשנות באופן מקומי עם gpedit.msc, התהליך מעבד את כל השידורי צד לקוח (CSEs) החל מהגדרות המחשב ובסיומו הגדרות המשתמש.

שירות לקוח מדיניות קבוצה מישהו אירועים בתוך הרישום של היישום והשירותים\Microsoft\Windows\GroupPolicy\Operational.

Gpupdate applies computer settings before the user settings.

קשור: איך פועלת מדיניות קבוצתית (בפירוט)

4. לאחר שהסתיים, שירות לקוח מדיניות הקבוצה ממתין עד למועד הרענון הבא, שהוא, כברירת מחדל, 90 דקות ועד להפרש אקראי של עד 30 דקות.

חלק מהגדרות מדיניות קבוצתית דורשות מהמשתמש להתנתק או להפעיל מחדש את המחשב כדי שיכנסו לתוקף. אם אחת מהגדרות אלו הייתה חלק מהמדיניות, gpupdate יבקש להתנתק או להפעיל מחדש את המחשב.

ההסבר על המתג המפורסם /force

עכשיו אתה יודע את היסודות של מה קורה כשאתה מריץ gpupdate. עד כה, נראה שהכול פועל, נכון? בסצנה טיפוסית, הרצת gpupdate והתירות לו לעבור דרך התהליך שלו עובדת בסדר גמור. אבל יש מקרים שבהם אתה צריך לכפות דברים להתקדם.

אחד מהפרמטרים הנפוצים ביותר של gpupdate הוא המתג /force. זהו מתג שמשום מה הוטבע בזיכרון של כל מקצוען IT כמתג נחוץ לשימוש. בניגוד לאמונה הפופולרית, אינך זקוק לו אלא תחת נסיבות מסוימות.

כברירת מחדל, gpupdate חכם; הוא משווה את כל ההגדרות הנוכחיות עם כל הגדרה חדשה ויושם רק אותן. אבל, אתה יכול גם לכפות על gupdate ליישם מחדש את כל ההגדרות באמצעות המתג /force. למה יכול להיות שתצטרך לעשות זאת?

לעיתים, הגדרות מתעדפות מערכתית מהערכים הצפויים שלהן. לדוגמה, אם משתמש מבטל תכונת Windows שמונהלת על ידי מדיניות קיימת, הפעלת gpupdate /force תכפה על שירות לקוח מדיניות קבוצה להערך מחדש ולהחזיר אותו לערך הצפוי. או, אולי, ברצונך להוסיף משתמש חזרה לקבוצה מוגבלת ממנה הוסר.

שירות לקוח מדיניות קבוצה מחדש מיישם מחדש חלק מההגדרות באופן קבוע, כגון הגדרות אבטחה (המרווח ברירת המחדל הוא 16 שעות).

הסיבה הגדולה לא להשתמש במתג /force היא כאשר ישנן הגדרות שניתן ליישם רק בעת התחברות או סטארט-אפ. כאשר זה קורה, Windows יפנה אותך להתנתק או לאתחל בכל פעם שתפעיל gpupdate /force, גם אם הגדרות חדשות אינן מחייבות פעולה כזו.

חקירת הפרמטרים של Gpupdate

עכשיו שיש לך הבנה בסיסית על איך gupdate פועלת ואתה יודע מתי ואיך להשתמש במתג /force בוא נתמקד כעת בכל הפונקציות האחרות שgpupdate מספקת.

קבלת עזרה

כצפוי, פקודת ה-gpupdate יכולה לספק מידע על כל פרמטר ומה הם עושים. למרות החוסר בעומק, המתג /? מועיל כאשר נדרש לך לקבל עידוד מהיר על איך לבצע משימה מסוימת.

Gpupdate /? displays all the switches and options available with the command.

יעד עדכון הגדרות מחשב או משתמש

במצב ברירת המחדל, gpupdate מודיע לשירות לקוח מדיניות קבוצה לעבד גם את הגדרות המחשב וגם את הגדרות המשתמש. אם אתה רק רוצה לרענן אחת מהקבוצות הללו, אתה יכול להשתמש בפרמטר /target.

יש לך שני אפשרויות בעת השימוש בפרמטר /target; ניתן למקד על הגדרות המחשב או המשתמש באמצעות /target:computer או /target:user.

עליך להשתמש בפרמטר /target רק בנסיבות מסוימות, ובדיוק למקד על הגדרות המשתמש תחילה, ואז על הגדרות המחשב. למה? לפעמים ישנה התנגדות בין הגדרות המשתמש והמחשב. כאשר זה קורה, הגדרות המשתמש דורסות את הגדרות המחשב, מה שיכול להוביל להתנהגות בלתי צפויה.

יצירת פסק זמן

בדרך כלל, פעולת gpupdate רצה די מהר, אך בעיות עם שרת רישום אילך או שירות לקוח קבוצת מדיניות לא פועלת יכולות לעכב את התהליך. אם אתה מריץ gpupdate בתסריט שדורש משימות נוספות לאחר הרצת gpupdate, ייתכן ותרצה ליצור פסק זמן.

אתה יכול לכפות על gpupdate להחזיר שליטה לחלון הפקודה לאחר תקופת זמן מסוימת ולדחוף את עיבוד המדיניות לרקע באמצעות הפרמטר /wait. הערכים הזמינים לפרמטר /wait נמצאים למטה.

Wait Value Result
0 Immediately returns control to console
-1 Waits indefinitely for gpupdate to finish
1+ Waits the number of seconds provided
600 Default value

כפירוץ להתנתקות אוטומטית

כמה הגדרות דורשות מהמשתמש להתנתק ולהתחבר מחדש אם העיבוד ברקע אינו אפשרי. לפי ברירת מחדל, gpupdate ישאל אותך כאשר הוא סיים אם זהו המקרה. אם אף עם זאת, ברצונך להתנתק מיד לאחר ש-gpupdate סיים, השתמש במתג /logoff.

מתג /logoff לא תמיד יעבוד

נבדק על Windows 10 ו-Windows Server 2019, לפעמים יתקלו בבעיה לא ידועה שבה הפרמטר /logoff לא יעבוד.

לדוג, ללקוח מטה יש מדיניות המוקצת אליו לאפשר הפניה של שולחן העבודה עבור המשתמש המחובר. הגדרות ההפניה לתיקיות יכולות להיות מעובדות רק בעת הכניסה ולא בזמן רענון הרקע של המדיניות.

בלעדי השימוש במתג /logoff, משתמש רגיל יראה את האזהרה למטה להתנתק כאשר הגדרה חדשה דורשת זאת, כפי שצפוי. אך בלתי תלוי אם אתה משתמש במתג /logoff או לא, עדיין יתרקד וחלונות לא יתנתקו.

Warning to log off after gpupdate

כדי להבטיח שתתנתק בתרחיש כזה, עליך גם להשתמש במתג /force.

כחובט ריסון אוטומטי

דומה למתג /logoff, מתג /boot מפעיל באופן אוטומטי את המחשב אם Windows לא יכולה לעבד הגדרות כלשהן של מחשב ברקע. מתג /boot נהוג לשימוש בהתקנות תוכנה שמיועדות למחשבים.

כפי שנזכר לקראת עיבוד סינכרוני

שירות לקוח מדיניות הקבוצה מחיל מדיניות באופן זמני (כסינכרוני) או אחת לכל פעם (כאסינכרוני). Windows עובדת עם מדיניות באופן סינכרוני רק בעת התחברות המשתמש והפעלת המחשב אחרת באופן אסינכרוני.

במהלך העיבוד הסינכרוני, שירות לקוח מדיניות מפעיל את כל אחד מ-CSE שלו גם אם לא היו שינויים בהגדרות. עיבוד סינכרוני הוא נחוץ מכיוון שכמה הגדרות תלויות זו בזו.

שניים מתוך הקודים הבאים יכולים להשתמש במפתח /sync/target: user או /target:computer. יש להפעיל את המזהה /sync רק כמנהל. אחרת, יוצגו הודעות שגיאה כמו Access Denied.

Running gpupdate /sync as a normal user is not allowed.
Running gpupdate /sync as administrator prompts for a restart.

נוגע ל: איך להפעיל את PowerShell כמנהל

עיבוד אסינכרוני הוא דרך לאופטימיזציה של חוויית הכניסה של משתמשי הדומיין. לפני Windows XP, עיבוד כללי היה סינכרוני, והחסרון היחיד היה שקצת מגדרי התקנים דרשו שני התחברויות או איוד בטרם היו פעילים. מצב ברירת המחדל מאז Windows XP הוא אסינכרוני.

מסקנה

אם עקבת אחרי המאמר, עכשיו יש לך רעיון ברור על מה עושה gpupdate וכיצד ניתן להשתמש במפתחות כדי לשנות את ההתנהגותו. אם אתה מעוניין להשתמש ב-gpupdate בקנה מידה גדול או לאוטומטיזציה, יש לבדוק את נכדו ב-PowerShell, Invoke-GPUpdate.

Source:
https://adamtheautomator.com/gpupdate/