**Tradução para Português:**
O Group Policy é um serviço popular do Active Directory amplamente utilizado por muitas organizações atualmente. Se a sua organização utiliza o Group Policy, é provável que você esteja familiarizado com o comando gpupdate, mais especificamente, o comando gpupdate /force.
Você sabe o que o gpupdate faz? Você já precisou usar o parâmetro force? E se sim, em que situações isso faz sentido?
Neste artigo, você aprenderá o que o gpupdate faz, como funciona e como pode aproveitar ao máximo suas opções.
O que é o GPUpdate?
O Gpupdate é um utilitário de linha de comando da Microsoft que está presente em todas as versões do sistema operacional Windows. É um utilitário que controla a aplicação de objetos de diretiva de grupo (GPOs) em computadores designados no Active Directory.
Normalmente, quando um administrador atribui um GPO a um computador ou usuário, esse computador verifica automaticamente com um controlador de domínio e aplica as configurações definidas no GPO. Não há intervenção necessária; o processo é automático.
Existem momentos fora do agendamento automático regular em que um administrador precisa forçar o computador a verificar novos GPOs ou GPOs alterados. É nesse cenário que o gpupdate se torna útil.
O comando gpupdate, em poucas palavras, verifica com um controlador de domínio se existem novas ou atualizadas GPOs atribuídas a um computador e tenta aplicá-las imediatamente.
Pré-requisitos
Se você deseja executar qualquer um dos exemplos fornecidos neste tutorial, os pré-requisitos deste artigo são simples.
- A Windows computer joined to an Active Directory domain
- Pelo menos uma GPO atribuída ao computador em que você está trabalhando
Como o Gpupdate funciona
Quando você está na frente de um computador associado a um domínio, abra o prompt de comando do Windows ou o PowerShell e execute gpupdate, uma série de tarefas serão iniciadas.
- O Gpupdate inicia o serviço Cliente de Política de Grupo. Este serviço é responsável por descobrir e aplicar novas configurações de Política de Grupo.
2. O serviço Cliente de Política de Grupo então entra em contato com o DC de logon do computador e verifica se há novas GPOs ou atualizações para as GPOs existentes disponíveis.
3. Se o serviço Cliente de Política de Grupo encontrar novas GPOs ou alguma que você tenha alterado localmente com gpedit.msc, o processo processa todas as extensões do lado do cliente (CSEs) começando pelas configurações do computador seguidas pelas configurações do usuário.
O serviço Cliente de Política de Grupo registra eventos em Logs de Aplicativos e Serviços\Microsoft\Windows\GroupPolicy\Operacional.
Relacionado: Como Funciona a Política de Grupo (Em Detalhes)
4. Uma vez terminado, o serviço de Cliente de Política de Grupo então aguarda até o próximo intervalo de atualização, que é, por padrão, 90 minutos mais um deslocamento aleatório de até 30 minutos.
Algumas configurações de política de grupo exigem que o usuário faça logoff ou reinicie o computador para entrar em vigor. Se uma dessas configurações fosse parte da política, gpupdate pedirá para fazer logoff ou reiniciar o computador.
O Infame Comando /force Explicado
Você agora conhece o básico do que acontece quando você executa gpupdate. Até agora, parece que tudo funciona, certo? Em um cenário típico, executar gpupdate e permitir que ele siga seu processo funciona bem. Mas há ocasiões em que você precisa forçar algumas coisas.
Um dos parâmetros mais utilizados do gpupdate é o comando /force. Esse comando é um que de alguma forma foi gravado na mente de todo profissional de TI como um switch necessário a ser usado. Contrariamente à crença popular, você na verdade não precisa dele, a menos que em certas circunstâncias.
Por padrão, gpupdate é inteligente; ele compara todas as configurações atuais com quaisquer novas configurações e aplica apenas elas. Mas, você também pode forçar o gpupdate a reaplicar todas as configurações usando o comando /force. Por que você precisaria fazer isso?
Às vezes, as configurações se desviam de seus valores esperados. Por exemplo, se um usuário desabilita um recurso do Windows controlado por uma política existente, executar gpupdate /force forçará o serviço Cliente de Política de Grupo a reavaliar o valor e retorná-lo ao valor esperado. Ou talvez, você queira adicionar um usuário de volta a um grupo restrito do qual foi removido.
O serviço Cliente de Política de Grupo reaplica algumas configurações regularmente, como configurações de segurança (o intervalo padrão é de 16 horas).
A maior razão para não usar a opção /force é ao lidar com configurações que só podem ser aplicadas no logon ou inicialização. Quando isso acontece, o Windows solicitará que você faça logoff ou reinicie toda vez que executar gpupdate /force, mesmo que as novas configurações não exijam tal ação.
Aprofundando nas Parâmetros do Gpupdate
Agora que você tem uma compreensão básica de como o gpupdate funciona e sabe quando e como usar a opção /force, vamos nos concentrar em todas as outras funcionalidades que o gpupdate oferece.
Obtendo Ajuda
Como esperado, o comando gpupdate pode fornecer informações sobre cada parâmetro e o que eles fazem. Embora falte profundidade, o /? é útil se você precisar rapidamente de um lembrete sobre como realizar uma tarefa específica.
Direcionando Configurações de Computador ou Usuário
Por padrão, o gpupdate instrui o serviço Cliente de Política de Grupo a processar configurações de computador e usuário. Se você só precisa atualizar um desses conjuntos, pode usar o parâmetro /target.
Você tem duas opções ao usar o parâmetro /target; você pode direcionar as configurações do computador ou do usuário com /target:computer ou /target:user.
Você deve usar o parâmetro
/targetapenas em circunstâncias específicas, direcionando especificamente as configurações do usuário primeiro, seguidas pelas configurações do computador. Por quê? Às vezes, uma política terá configurações sobrepostas para usuário e computador. Quando isso acontece, as configurações do usuário substituem as configurações do computador, o que pode resultar em comportamento inesperado.
Criando um Tempo Limite
O gpupdate geralmente é executado rapidamente, mas problemas com um DC não responsivo ou o serviço de cliente de Política de Grupo podem atrasar o processo. Se você estiver executando o gpupdate em um script que requer tarefas adicionais após a execução do gpupdate, pode ser útil criar um tempo limite.
Você pode forçar o gpupdate a retornar o controle para a janela de comando após um certo período de tempo e enviar o processamento da política para o plano de fundo usando o parâmetro /wait. Os valores disponíveis para o parâmetro /wait estão abaixo.
| Wait Value | Result |
| 0 | Immediately returns control to console |
| -1 | Waits indefinitely for gpupdate to finish |
| 1+ | Waits the number of seconds provided |
| 600 | Default value |
Forçando um Logoff Automático
Algumas configurações exigirão que o usuário faça logoff e entre novamente se o processamento em segundo plano não for possível. Por padrão, o gpupdate solicitará quando terminar, se esse for o caso. No entanto, se você quiser fazer logoff imediatamente assim que o gpupdate terminar, use a opção /logoff.
A opção /logoff pode não funcionar sempre
Testado tanto no Windows 10 quanto no Windows Server 2019, às vezes você pode encontrar um problema desconhecido em que o parâmetro /logoff não funcionará.
Por exemplo, o cliente abaixo tem uma política atribuída para habilitar a redireção de desktop para o usuário conectado. As configurações de redirecionamento de pasta só podem ser processadas no logon e não durante a atualização em segundo plano das políticas.
Sem usar o interruptor /logoff, um usuário regular vê o aviso abaixo para fazer logoff quando uma nova configuração requer isso, como esperado. Mas, independentemente se você usar o interruptor /logoff ou não, você ainda será solicitado, e o Windows não fará logoff.
Para garantir que você seja desconectado neste cenário, você também deve usar o interruptor /force.
Forçando uma reinicialização automática
Semelhante ao interruptor /logoff, o interruptor /boot reinicia automaticamente um computador se o Windows não puder processar nenhuma configuração do computador em segundo plano. O interruptor /boot é comumente usado para instalações de software direcionadas ao computador.
Forçando o Processamento Síncrono
O serviço Cliente de Política de Grupo aplica políticas em paralelo (assincronicamente) ou uma de cada vez (sincronicamente). O Windows processa políticas de forma síncrona apenas no logon do usuário e na inicialização do computador, caso contrário, de forma assíncrona.
Durante o processamento síncrono, o Cliente de Política de Grupo invoca todos os seus CSEs mesmo que não tenha havido alterações de configuração. O processamento síncrono é necessário porque algumas configurações dependem de outras.
Pode combinar o interruptor /sync com /target: user ou /target:computer. Você só pode usar o interruptor /sync enquanto executa a janela de comando como administrador. Caso contrário, você verá as mensagens de erro Access Denied abaixo.
Relacionado: Como Executar o PowerShell como Administrador
O processamento assíncrono é uma maneira de otimizar a experiência de login dos usuários de domínio. Antes do Windows XP, todo o processamento de políticas era síncrono, com a única desvantagem de que algumas configurações exigiam dois logons ou dois reinícios antes de serem aplicadas. O modo padrão desde o Windows XP é agora assíncrono.
Conclusão
Se você acompanhou este artigo, agora deve ter uma ideia clara do que o gpupdate faz e como pode usar seus interruptores para alterar seu comportamento. Se estiver interessado em usar o gpupdate em uma escala maior ou automatizar com ele, certifique-se de verificar seu equivalente no PowerShell, Invoke-GPUpdate.