A Política de Grupo é um serviço popular do Active Directory que muitas organizações utilizam hoje em dia. Se sua organização utiliza a Política de Grupo, é provável que você esteja familiarizado com o comando gpupdate; mais especificamente, o comando gpupdate /force.
Você sabe o que o gpupdate está fazendo? Você já precisou usar o parâmetro force? E se sim, quando isso faz sentido?
Neste artigo, você vai aprender o que o gpupdate faz, como funciona e como você pode aproveitar ao máximo suas opções.
O que é o GPUpdate?
O Gpupdate é um utilitário de linha de comando da Microsoft que vem com todas as versões do sistema operacional Windows. É um utilitário que controla a aplicação de objetos de política de grupo (GPOs) em computadores do Active Directory atribuídos.
Normalmente, quando um administrador atribui um GPO a um computador ou usuário, esse computador verifica automaticamente com um controlador de domínio e aplica as configurações definidas no GPO. Não há intervenção necessária; o processo é automático.
Há momentos fora do horário automático regular em que um administrador precisa forçar o computador a verificar novos GPOs ou alterados. É aí que o gpupdate se torna útil.
O comando gpupdate, em poucas palavras, verifica com um controlador de domínio se há novas ou atualizadas GPOs atribuídas a um computador e tenta aplicá-las imediatamente.
Pré-requisitos
Se você deseja executar qualquer um dos exemplos fornecidos neste tutorial, os pré-requisitos deste artigo são leves.
- A Windows computer joined to an Active Directory domain
- Pelo menos uma GPO atribuída ao computador em que você está trabalhando
Como o Gpupdate Funciona
Quando você está na frente de um computador associado a um domínio, abra o prompt de comando do Windows ou o PowerShell e execute gpupdate, uma série de tarefas começará.
- O Gpupdate inicia o serviço Cliente de Política de Grupo. Este serviço é responsável por descobrir e aplicar novas configurações de Política de Grupo.
2. O serviço Cliente de Política de Grupo então se comunica com o DC de logon do computador e verifica se há novas GPOs ou atualizações para GPOs existentes disponíveis.
3. Se o serviço Cliente de Política de Grupo encontrar novas GPOs ou alguma que você tenha alterado localmente com gpedit.msc, o processo processa todas as extensões do lado do cliente (CSEs) começando pelas configurações do computador seguidas pelas configurações do usuário.
O serviço Cliente de Política de Grupo registra eventos em Log de Aplicativos e Serviços\Microsoft\Windows\GroupPolicy\Operational.
Relacionado: Como Funciona a Política de Grupo (Em Detalhes)
4. Uma vez concluído, o serviço Cliente de Política de Grupo aguarda até o próximo intervalo de atualização, que, por padrão, é de 90 minutos mais um deslocamento aleatório de até 30 minutos.
Algumas configurações de política de grupo exigem que o usuário faça logoff ou reinicie o computador para que entrem em vigor. Se uma dessas configurações fizer parte da política, o gpupdate solicitará o logoff ou reinício do computador.
O Infame Interruptor /force Explicado
Agora você conhece o básico do que acontece quando você executa gpupdate. Até agora, parece que tudo funciona, certo? Em um cenário típico, executar gpupdate e permitir que ele siga seu processo funciona muito bem. Mas há ocasiões em que você precisa forçar algumas coisas.
Um dos parâmetros mais amplamente utilizados do gpupdate é o interruptor /force. Este interruptor é algo que de alguma forma foi incorporado na mente de todos os profissionais de TI como um interruptor necessário a ser usado. Contrariamente à crença popular, você realmente não precisa dele a menos que em certas circunstâncias.
Por padrão, o gpupdate é inteligente; ele compara todas as configurações atuais com quaisquer novas configurações e aplica apenas elas. Mas, você também pode forçar o gupdate a reaplicar todas as configurações usando o interruptor /force. Por que você precisaria fazer isso?
Às vezes, as configurações se desviam de seus valores esperados. Por exemplo, se um usuário desabilita um recurso do Windows controlado por uma política existente, executar gpupdate /force forçará o serviço Cliente de Política de Grupo a reavaliar o valor e retorná-lo ao valor esperado. Ou, talvez, você queira adicionar um usuário de volta a um grupo restrito do qual ele foi removido.
O serviço Cliente de Política de Grupo reaplica algumas configurações regularmente, como configurações de segurança (o intervalo padrão é de 16 horas).
O maior motivo para não usar a opção /force é ao lidar com configurações que só podem ser aplicadas no logon ou na inicialização. Quando isso acontece, o Windows solicitará que você faça logoff ou reinicie toda vez que executar gpupdate /force, mesmo que as novas configurações não exijam tal ação.
Aprofundando nos Parâmetros do Gpupdate
Agora que você tem uma compreensão básica de como o gupdate funciona e sabe quando e como usar a opção /force, vamos agora nos concentrar em toda a funcionalidade adicional que o gpupdate fornece.
Obtendo Ajuda
Como esperado, o comando gpupdate pode fornecer informações sobre cada parâmetro e o que eles fazem. Embora carente de profundidade, o /? é útil se você precisar rapidamente relembrar como executar uma tarefa específica.
Alvejando Configurações de Computador ou Usuário
Por padrão, o gpupdate diz ao serviço Cliente de Política de Grupo para processar tanto as configurações de computador quanto de usuário. Se você só precisa atualizar um desses conjuntos, pode usar o parâmetro /target.
Você tem duas opções ao usar o parâmetro /target; você pode direcionar as configurações do computador ou do usuário com /target:computer ou /target:user.
Você só deve usar o parâmetro
/targetem circunstâncias específicas, direcionando especificamente as configurações do usuário primeiro, seguidas pelas configurações do computador. Por quê? Às vezes, uma política terá configurações sobrepostas do usuário e do computador. Quando isso acontece, as configurações do usuário substituem as configurações do computador, o que pode levar a comportamentos inesperados.
Criando um Tempo Limite
O Gpupdate geralmente é executado rapidamente, mas problemas com um controlador de domínio não responsivo ou serviço de cliente de política de grupo podem travar o processo. Se você estiver executando gpupdate em um script que requer outras tarefas para serem executadas após a execução do gpupdate, você pode querer criar um tempo limite.
Você pode forçar o gpupdate a retornar o controle para a janela de comando após um certo período de tempo e empurrar o processamento de política para o plano de fundo usando o parâmetro /wait. Os valores disponíveis para o parâmetro /wait estão abaixo.
| Wait Value | Result |
| 0 | Immediately returns control to console |
| -1 | Waits indefinitely for gpupdate to finish |
| 1+ | Waits the number of seconds provided |
| 600 | Default value |
Forçando um Logoff Automático
Algumas configurações exigirão que o usuário faça logoff e login novamente se o processamento em segundo plano não for possível. Por padrão, o gpupdate irá solicitar que você faça logoff quando terminar, se este for o caso. Se, no entanto, você quiser fazer logoff imediatamente após o término do gpupdate, use o comando /logoff.
O comando /logoff Nem Sempre Funciona
Testado no Windows 10 e no Windows Server 2019, às vezes você encontrará um problema desconhecido onde o parâmetro /logoff não funcionará.
Por exemplo, o cliente abaixo tem uma política atribuída a ele para habilitar a redireção de desktop para o usuário conectado. As configurações de redirecionamento de pasta só podem ser processadas no momento do login e não durante a atualização em segundo plano das políticas.
Sem usar a opção /logoff, um usuário comum vê o aviso abaixo para fazer logout quando uma nova configuração requer isso, como esperado. Mas, independentemente de usar ou não a opção /logoff, você ainda será solicitado, e o Windows não fará logout.
Para garantir que você faça logout nesse cenário, também é necessário usar a opção /force.
Forçando um Reinício Automático
Semelhante à opção /logoff, a opção /boot reinicia automaticamente um computador se o Windows não puder processar quaisquer configurações de computador em segundo plano. A opção /boot é comumente usada para instalações de software direcionadas ao computador.
Forçando o Processamento Síncrono
O serviço Cliente de Política de Grupo aplica políticas em paralelo (assincronamente) ou uma de cada vez (sincronamente). O Windows processa políticas de forma síncrona apenas no login do usuário e na inicialização do computador, caso contrário, de forma assíncrona.
Durante o processamento síncrono, o Cliente de Política de Grupo invoca todos os seus CSEs mesmo se não houver alterações nas configurações. O processamento síncrono é necessário porque algumas configurações dependem de outras.
Você pode combinar a opção /sync com qualquer uma das opções /target: usuário ou /target: computador. Você só pode usar a opção /sync enquanto estiver executando a janela de comando como administrador. Caso contrário, você verá as mensagens de erro Acesso Negado abaixo.
Relacionado: Como Executar o PowerShell como Administrador
O processamento assíncrono é uma maneira de otimizar a experiência de logon dos usuários de domínio. Antes do Windows XP, todo o processamento de políticas era síncrono, com a única desvantagem de que algumas configurações exigiam dois logons ou dois reinícios antes de serem aplicadas. O modo padrão desde o Windows XP é agora assíncrono.
Conclusão
Se você seguiu este artigo, agora deve ter uma ideia clara do que gpupdate faz e como pode usar suas opções para alterar seu comportamento. Se você estiver interessado em usar o gpupdate em uma escala maior ou automatizar com ele, certifique-se de verificar seu equivalente no PowerShell, Invoke-GPUpdate.