Group Policy è un servizio popolare di Active Directory che molte organizzazioni utilizzano oggi. Se la tua organizzazione utilizza Group Policy, è probabile che tu sia familiare con il comando gpupdate; più specificamente, il comando gpupdate /force.
Sai cosa fa gpupdate? Hai mai bisogno di utilizzare il parametro force? E se sì, quando ha senso farlo?
In questo articolo, imparerai cosa fa gpupdate, come funziona e come puoi sfruttare al meglio le sue opzioni.
Cos’è GPUpdate?
Gpupdate è un’utilità a riga di comando di Microsoft che viene fornita con tutte le versioni del sistema operativo Windows. È un’utilità che controlla l’applicazione degli oggetti di group policy (GPO) sui computer di Active Directory assegnati.
Tipicamente, quando un amministratore assegna un GPO a un computer o a un utente, quel computer controlla automaticamente con un controller di dominio e applica le impostazioni definite nel GPO. Non è necessario alcun intervento; il processo è automatico.
Ci sono momenti al di fuori dell’orario automatico regolare in cui un amministratore ha bisogno di forzare il computer a verificare nuovi o modificati GPO. In questo scenario, entra in gioco gpupdate.
Il comando gpupdate, in breve, verifica con un controller di dominio la presenza di nuove o aggiornate GPO assegnate a un computer e cerca immediatamente di applicarle.
Prerequisiti
Se desideri eseguire alcuni degli esempi forniti in questo tutorial, i prerequisiti di questo articolo sono leggeri.
- A Windows computer joined to an Active Directory domain
- Almeno una GPO assegnata al computer su cui stai lavorando
Come Funziona Gpupdate
Quando sei seduto di fronte a un computer associato a un dominio, apri il prompt dei comandi di Windows o PowerShell e esegui il comando gpupdate, una serie di operazioni verranno avviate.
- Gpupdate avvia il servizio Client delle Policy di Gruppo. Questo servizio è responsabile della scoperta e dell’applicazione delle nuove impostazioni delle Policy di Gruppo.
2. Il servizio Client delle Policy di Gruppo si connette quindi al DC di accesso del computer e verifica se sono disponibili nuove GPO o aggiornamenti alle GPO esistenti.
3. Se il servizio Client delle Policy di Gruppo trova nuove GPO o eventuali modifiche apportate localmente con gpedit.msc, il processo elabora tutte le estensioni lato client (CSE) a partire dalle impostazioni del computer seguite dalle impostazioni dell’utente.
Il servizio Client delle Policy di Gruppo registra eventi in Registro applicazioni e servizi\Microsoft\Windows\GroupPolicy\Operational.
Correlato: Come Funziona la Policy di Gruppo (In Dettaglio)
4. Una volta completato, il servizio Client Policy di Gruppo attende fino al prossimo intervallo di aggiornamento, che di default è di 90 minuti più un offset casuale fino a 30 minuti.
Alcune impostazioni della policy di gruppo richiedono all’utente di effettuare il log off o riavviare il computer per entrare in vigore. Se una di queste impostazioni fa parte della policy, gpupdate chiederà di effettuare il log off o riavviare il computer.
Il Famoso Interruttore /force Spiegato
Ora conosci i fondamentali di ciò che succede quando esegui gpupdate. Finora sembra che tutto funzioni, giusto? In uno scenario tipico, eseguire gpupdate e permettergli di svolgere il suo processo funziona bene. Ma ci sono occasioni in cui è necessario forzare alcune cose.
Uno dei parametri più utilizzati di gpupdate è l’interruttore /force. Questo interruttore è qualcosa che in qualche modo è stato impresso nella mente di ogni professionista IT come un interruttore necessario da usare. Contrariamente a quanto si pensa, in realtà non è necessario a meno che non ci siano determinate circostanze.
Di default, gpupdate è intelligente; confronta tutte le impostazioni attuali con eventuali nuove impostazioni e le applica solo. Ma, puoi anche forzare gupdate a riapplicare tutte le impostazioni utilizzando l’interruttore /force. Perché dovresti farlo?
A volte, le impostazioni si discostano dai loro valori previsti. Ad esempio, se un utente disabilita una funzione di Windows controllata da una policy esistente, eseguire gpupdate /force costringerà il servizio Client di Gestione criteri di gruppo a rivalutare il valore e a riportarlo al valore previsto. Oppure, forse, vuoi aggiungere un utente nuovamente a un gruppo limitato da cui è stato rimosso.
Il servizio Client di Gestione criteri di gruppo riapplica regolarmente alcune impostazioni, come le impostazioni di sicurezza (l’intervallo predefinito è di 16 ore).
La più grande ragione per non utilizzare lo switch /force è quando si tratta di impostazioni che possono essere applicate solo al logon o all’avvio. Quando ciò accade, Windows ti chiederà di disconnetterti o riavviare ogni volta che esegui gpupdate /force, anche se le nuove impostazioni non richiedono tale azione.
Esplorare i Parametri di Gpupdate
Ora che hai una comprensione di base di come funziona gupdate e sai quando e come utilizzare lo switch /force, concentriamoci ora su tutte le altre funzionalità che gpupdate fornisce.
Ottieni Aiuto
Come previsto, il comando gpupdate può fornire informazioni su ciascun parametro e cosa fanno. Anche se carente di dettagli, il /? è utile se hai bisogno rapidamente di un ripasso su come eseguire una determinata attività.
Indirizzare Impostazioni del Computer o dell’Utente
Per impostazione predefinita, gpupdate indica al servizio Client di Gestione criteri di gruppo di elaborare sia le impostazioni del computer che quelle dell’utente. Se hai solo bisogno di aggiornare uno di questi insiemi, puoi utilizzare il parametro /target.
Hai due opzioni quando utilizzi il parametro /target: puoi indirizzare le impostazioni del computer o dell’utente con /target:computer o /target:user.
Dovresti utilizzare il parametro
/targetsolo in circostanze specifiche, mirando specificamente alle impostazioni dell’utente prima e poi a quelle del computer. Perché? A volte una policy avrà sovrapposizioni tra le impostazioni dell’utente e del computer. Quando ciò accade, le impostazioni dell’utente annullano le impostazioni del computer, il che può portare a comportamenti inaspettati.
Creazione di un Timeout
Gpupdate di solito si esegue abbastanza rapidamente, ma problemi con un DC non responsivo o con il servizio client Group Policy possono bloccare il processo. Se stai eseguendo gpupdate in uno script che richiede ulteriori attività da eseguire dopo gpupdate, potresti voler creare un timeout.
Puoi forzare gpupdate a restituire il controllo alla finestra di comando dopo un certo periodo di tempo e spingere l’elaborazione delle policy in background utilizzando il parametro /wait. I valori disponibili per il parametro /wait sono di seguito.
| Wait Value | Result |
| 0 | Immediately returns control to console |
| -1 | Waits indefinitely for gpupdate to finish |
| 1+ | Waits the number of seconds provided |
| 600 | Default value |
Forzare un Logoff Automatico
Alcune impostazioni richiederanno all’utente di eseguire il logoff e successivamente il login se l’elaborazione in background non è possibile. Per impostazione predefinita, gpupdate ti chiederà conferma una volta terminato, se questo è il caso. Tuttavia, se desideri eseguire immediatamente il logoff una volta completato gpupdate, utilizza l’opzione /logoff.
Il parametro /logoff potrebbe non funzionare sempre
Testato sia su Windows 10 che su Windows Server 2019, a volte potresti incontrare un problema sconosciuto in cui il parametro /logoff non funzionerà.
Ad esempio, il cliente sottostante ha una policy assegnata per abilitare la ridirezione del desktop per l’utente connesso. Le impostazioni di ridirezione delle cartelle possono essere elaborate solo durante l’accesso e non durante l’aggiornamento in background delle policy.
Senza utilizzare l’interruttore /logoff, un utente normale visualizza l’avviso di effettuare il log off quando viene richiesta una nuova impostazione, come previsto. Ma indipendentemente dall’utilizzo o meno dell’interruttore /logoff, verrà comunque richiesto di effettuare il log off e Windows non si disconnetterà.
Per assicurarsi di essere disconnessi in questo scenario, è necessario utilizzare anche l’interruttore /force.
Forzare un riavvio automatico
Come l’interruttore /logoff, l’interruttore /boot riavvia automaticamente un computer se Windows non può elaborare le impostazioni del computer in background. L’interruttore /boot viene comunemente utilizzato per l’installazione di software mirato al computer.
Forzare l’elaborazione sincrona
Il servizio Client Group Policy applica le policy in parallelo (in modo asincrono) o una alla volta (in modo sincrono). Windows elabora le policy in modo sincrono solo all’avvio dell’utente e all’avvio del computer, altrimenti in modo asincrono.
Durante l’elaborazione sincrona, il client Group Policy richiama tutte le sue CSE anche se non ci sono state modifiche alle impostazioni. L’elaborazione sincrona è necessaria perché alcune impostazioni dipendono da altre.
Puoi combinare lo switch /sync con /target: user o /target:computer. Puoi utilizzare lo switch /sync solo mentre esegui la finestra di comando come amministratore. In caso contrario, vedrai i messaggi di errore Accesso negato di seguito.
Correlato: Come eseguire PowerShell come amministratore
Il trattamento asincrono è un modo per ottimizzare l’esperienza di accesso degli utenti di dominio. Prima di Windows XP, tutto il trattamento delle policy era sincrono, con l’unico svantaggio che alcune impostazioni richiedevano due accessi o due riavvii prima di essere applicate. La modalità predefinita da Windows XP è ora asincrona.
Conclusione
Se hai seguito questo articolo, ora dovresti avere un’idea chiara di cosa fa gpupdate e come puoi utilizzare i suoi switch per modificare il suo comportamento. Se sei interessato a utilizzare gpupdate su larga scala o automatizzarlo, assicurati di controllare il suo corrispettivo in PowerShell, Invoke-GPUpdate.