- Remove From My Forums
Применение Групповой политики без перезагрузки
-
Вопрос
-
Добрый день,
Есть необходимость применить групповую политику без перезагрузки конечной машины.
Подскажите пожалуйста как это сделать
Ответы
-
-
Предложено в качестве ответа
16 июля 2013 г. 18:47
-
Помечено в качестве ответа
Иван ПродановMicrosoft contingent staff
1 августа 2013 г. 6:24
-
Предложено в качестве ответа
-
Есть необходимость применить групповую политику без перезагрузки конечной машины.
Ряд политик применяется только при старте (например Folder Redirection или установка ПО через политики): то, что может быть применено без рестарта — его и не потребует.
п.с. gpupdate /force совершенно непричём в данном случае, но если вы использовали ключ /force и в политиках существует хотя бы одна, которая применяется при запуске — попросит перезапуск…
-
Предложено в качестве ответа
Дмитрий Трясов
16 июля 2013 г. 18:47 -
Помечено в качестве ответа
Иван ПродановMicrosoft contingent staff
1 августа 2013 г. 6:24
-
Предложено в качестве ответа
В этой статье мы рассмотрим особенности обновления параметров групповых политик на компьютерах домена Active Directory: автоматическое обновление политик, команду
GPUpdate
, удаленное обновление через консоль Group Policy Management Console (
GPMC.msc
) и командлет PowerShell
Invoke-GPUpdate
.
Содержание:
- Интервал обновления параметров групповых политик
- GPUpdate.exe – команда обновления параметров групповых политики
- Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
- Invoke-GPUpdate – обновление GPO из Powershell
Интервал обновления параметров групповых политик
Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).
Контроллеры домена по умолчанию обновляют настройки GPO намного чаще — раз в 5 минут.
Вы можете изменить интервал обновления настрое GPO с помощью параметра Set Group Policy refresh interval for computers, который находится в секции GPO Computer Configuration -> Administrative Templates -> System -> Group Policy.
Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:
- This setting allow you to customize how often Group Policy is applied to computer (от 0 до 44640 минут) – как часто клиент должен обновлять настройка GPO (если указать тут 0 – политики начнут обновляться каждые 7 секунд – не стоит этого делать);
- This is a random time added to the refresh interval to prevent all clients from requesting Group Policy at the same time (от 0 до 1440 минут) – максимальное значение случайного интервал времени, которые добавляется в виде смещения к предыдущему параметру (используется для уменьшения количества одновременных обращений к DC за файлами GPO от клиентов).
Имейте в виду, что частое обновление GPO приводит к увеличению трафика к контроллерам домена и повышенной нагрузке на сеть.
GPUpdate.exe – команда обновления параметров групповых политики
Всем администраторов знакома команда gpupdate.exe, которая позволяет обновить параметры групповых политик на компьютере. Большинство не задумываясь используют для обновления GPO команду
gpupdate /force
. Эта команда заставляет компьютер принудительно перечитать все политики с контроллера домена и заново применить все параметры. Т.е. при использовании ключа force клиент обращается к контроллеру домена и заново получает файлы ВСЕХ нацеленных на него политик. Это вызывает повышенную нагрузку на сеть и контроллер домена.
Простая команда
gpudate
применяет только новые/измененные параметры GPO.
Если все OK, должны появится следующие строки:
Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
Можно отдельно обновить параметры GPO из пользовательской секции:
gpupdate /target:user
или только политики компьютера:
gpupdate /target:computer /force
Если некоторые политики нельзя обновить в фоновом режиме, gpudate может выполнить logoff текущего пользователя:
gpupdate /target:user /logoff
Или выполнить перезагрузку компьютера (если изменения в GPO могут применится только во время загрузки Windows):
gpupdate /Boot
Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
В консоли GPMC.msc (Group Policy Management Console), начиная с Windows Server 2012, появилась возможность удаленного обновления настроек групповых политик на компьютерах домена.
В Windows 10 для использования этой консоли придется установить компонент RSAT:
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Теперь после изменения настроек или создания и прилинковки новой GPO, вам достаточно щелкнуть правой клавишей по нужному Organizational Unit (OU) в консоли GPMC и выбрать в контекстном меню пункт Group Policy Update. В новом окне появится количество компьютеров, на которых будет выполнено обновление GPO. Подтвердите принудительное обновление политик, нажав Yes.
Затем GPO по очереди обновяться на каждом компьютере в OU и вы получите результат со статусом обновления политик на компьютерах (Succeeded/Failed).
Данная команда удаленно создает на компьютерах задание планировщика с командой GPUpdate.exe /force для каждого залогиненого пользователя. Задание запускается через случайный промежуток времени (до 10 минут) для уменьшения нагрузки на сеть.
Для работы этого функционала GPMC на клиенте должны быть выполнены следующие условия:
- Открыт порт TCP 135 в Windows Firewall;
- Включены службы Windows Management Instrumentation и Task Scheduler.
Если компьютер выключен, или доступ к нему блокируется файерволом напротив имени такого компьютера появится надпись “The remote procedure call was cancelled”.
По сути этот функционал дает тот же эффект, если бы вы вручную обновили настройки политик на каждом компьютере командой
GPUpdate /force
.
Invoke-GPUpdate – обновление GPO из Powershell
Также вы можете вызвать удаленное обновление групповых политик на компьютерах с помощью PowerShell комнадлета Invoke-GPUpdate (входит в RSAT). Например, чтобы удаленно обновить пользовательские политики на определенном компьютере, можно использовать команду:
Invoke-GPUpdate -Computer "corpComputer0200" -Target "User"
При запуске командлета Invoke-GPUpdate без параметров, он обновляет настройки GPO на текущем компьютере (аналог gpudate.exe).
В сочетании с командлетом Get-ADComputer вы можете обновить групповые политики на всех компьютерах в определенном OU:
Get-ADComputer –filter * -Searchbase "ou=Computes,OU=SPB,dc=winitpro,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}
или на всех компьютерах, которые попадают под определенный критерий (например, на всех Windows Server в домене):
Вы можете задать случайную задержку обновления GPO с помощью параметра RandomDelayInMinutes. Таким образом вы можете уменьшить нагрузку на сеть, если одновременно обновляете политики на множестве компьютеров. Для немедленного применения политик используется параметр RandomDelayInMinutes 0.
Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows Server*' }| foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}
Для недоступных компьютеров команда вернет ошибку:
Invoke-GPUpdate: Computer "spb-srv01" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.
При удаленном выполнении командлета Invoke-GPUpdate или обновления GPO через консоль GPMC на мониторе пользователя может на короткое время появиться окно консоли с запущенной командой
gpupdate
.
Применение политик без перезагрузки компьютера
10.10.2020
В данной статье рассмотрены действия, с помощью которых можно применить измененные политики без перезагрузки компьютера.
Огромное число политик требуют перезагрузки компьютера — иначе изменения не вступят в силу. Когда редактируешь политики, не хочется каждый раз перезагружать компьютер, слишком часто приходится делать это, а все это — потеря времени.
На завершение работы требуется примерно секунд 20-30 и еще минуту, полторы — на загрузку системы и вход в нее (а на медленных компьютерах и того больше). Согласитесь, глупо ждать 2–3 минуты, чтобы проверить работу политики.
Как применить политики без перезагрузки компьютера
Чтобы применить политики без перезагрузки компьютера, запустите командную строку от имени администратора и выполните следующую команду:
gpupdate/force
В окне командной строки вы увидите сообщения:
- Выполняется обновление политики.
- Обновление политики для компьютера успешно завершено.
- Обновление политики пользователя завершено успешно.
После этого можете протестировать политики без перезагрузки компьютера.
С помощью рассмотренных выше действий, можно применить измененные политики без перезагрузки компьютера.
Во всех популярных редакциях Windows 10 выше Home имеется встроенный инструмент администрирования gpedit.msc или локальные групповые политики. Данный инструмент включает в себя широкий спектр политик (настроек) и предназначается для принудительного изменения базовой конфигурации операционной системы и учетных записей. Реализован он в виде консоли управления MMC с достаточно удобным и интуитивно понятным графическим интерфейсом.
После изменения ряда политик компьютер необходимо перезагрузить или выждать от 30 до 90 минут, чтобы новые настройки смогли вступить в силу, но вы можете заставить их работать сразу, сэкономив время и избавив себя от необходимости перезапускать систему.
Давайте же посмотрим, как это можно сделать.
Всё довольно просто, если вы хотите обновить все политики сразу, откройте от имени администратора PowerShell или командную строку и выполните команду gpupdate /force.
Эта команда «перезапустит» политики и компьютера, и пользователей.
А теперь представим, что вы хотите обновить лишь определенную категорию политик, скажем, только именные политики пользователя. И тут ничего сложного, просто к команде gpupdate добавляется соответствующий ключ. А чтобы всё было ясно, приводим примеры:
• gpupdate /target:computer — Обновляет только измененные политики компьютера.
• gpupdate /target:user — Обновляет только измененные пользовательские политики.
Если же вы хотите обновить все политики только пользователя или только компьютера, добавьте в конец каждой команды через пробел ключ /force.
К слову, всем тем, кто пользуется редактором локальных групповых политик не помешает ознакомиться и с другими полезными ключами утилиты gpupdate.exe.
К примеру, есть политики, обновление которых в фоновом режиме невозможно, и в этом случае добавленный в конец команды ключ /boot позволит вам выполнить перезагрузку прямо из командной строки.
Загрузка…
Содержание
- «Редактор локальной групповой политики» в Виндовс 10
- Способ 1: Окно «Выполнить»
- Способ 2: «Командная строка»
- Способ 3: Поиск
- Способ 4: «Проводник»
- Способ 5: «Консоль управления»
- Создание ярлыка для быстрого запуска
- Вопросы и ответы
«Редактор локальной групповой политики» позволяет настраивать параметры работы компьютера и пользовательских учетных записей, используемых в среде операционной системы. Windows 10, как и предшествующие ей версии, тоже содержит данную оснастку, и в нашей сегодняшней статье речь пойдет о том, как ее запустить.
Прежде чем мы перейдем к рассмотрению вариантов запуска «Редактора локальной групповой политики», придется огорчить некоторых пользователей. К сожалению, данная оснастка присутствует только в Windows 10 Pro и Enterprise, а вот в версии Home ее нет, как нет в ней и некоторых других средств управления. Но это уже тема для отдельной статьи, мы же приступим к решению нашей сегодняшней задачи.
Читайте также: Отличия версий Виндовс 10
Способ 1: Окно «Выполнить»
Данный компонент операционной системы предоставляет возможность довольно быстрого запуска практически любой стандартной для Windows программы. В их числе и интересующий нас «Редактор».
- Вызовите окно «Выполнить», воспользовавшись комбинацией клавиш «WIN+R».
- Введите в поисковую строку представленную ниже команду и инициируйте ее запуск, нажав «ENTER» или кнопку «ОК».
gpedit.msc - Открытие «Редактора локальной групповой политики» произойдет мгновенно.
Читайте также: Горячие клавиши в Виндовс 10
Способ 2: «Командная строка»
Предложенная выше команда может быть использована и в консоли – результат будет точно таким же.
- Любым удобным способом запустите «Командную строку», например, нажав «WIN+X» на клавиатуре и выбрав соответствующий пункт в меню доступных действий.
- Введите представленную ниже команду и нажмите «ENTER» для ее выполнения.
gpedit.msc - Запуск «Редактора» не заставит себя ждать.
Читайте также: Запуск «Командной строки» в Windows 10
Способ 3: Поиск
Сфера применения интегрированной в Виндовс 10 функции поиска еще более широкая, чем у рассмотренных выше компонентов ОС. К тому же для ее использования не нужно запоминать никаких команд.
- Нажмите на клавиатуре «WIN+S» для вызова окна поиска или воспользуйтесь его ярлыком на панели задач.
- Начните вводить в строку название искомого компонента – «Изменение групповой политики».
- Как только увидите соответствующий запросу результат выдачи, выполните его запуск одинарным кликом. Несмотря на то, что в данном случае значок и название искомого компонента отличается, будет запущен интересующий нас с вами «Редактор»
Способ 4: «Проводник»
Рассматриваемая в рамках нашей сегодняшней статьи оснастка – это по своей сути обычная программа, а потому у нее есть свое место на диске, папка, в которой содержится исполняемый файл для запуска. Находится он по следующему пути:
C:WindowsSystem32gpedit.msc
Скопируйте представленное выше значение, откройте «Проводник» (например, клавишами «WIN+E») и вставьте его в адресную строку. Нажмите «ENTER» или кнопку перехода, расположенную справа.
Это действие сразу же запустит «Редактор локальной групповой политики». При желании получить доступ к его файлу, вернитесь в обозначенном нами пути на шаг назад, в директорию C:WindowsSystem32 и пролистайте список содержащихся в ней элементов вниз, пока не увидите там тот, что называется gpedit.msc.
Примечание: В адресную строку «Проводника» не обязательно вставлять полный путь к исполняемому файлу, можно указать только его имя (gpedit.msc). После нажатия «ENTER» тоже будет запущен «Редактор».
Читайте также: Как открыть «Проводник» в Windows 10
Способ 5: «Консоль управления»
«Редактор локальной групповой политики» в Виндовс 10 может быть запущен и через «Консоль управления». Преимущество данного метода заключается в том, что файлы последней могут быть сохранены в любом удобном месте на ПК (в том числе и на Рабочем столе), а значит, моментально запущены.
- Вызовите поиск Windows и введите запрос mmc (на английском). Нажмите по найденному элементу левой кнопкой мышки для его запуска.
- В открывшемся окне консоли поочередно перейдите по пунктам меню «Файл» — «Добавить или удалить оснастку» или вместо этого воспользуйтесь клавишами «CTRL+M».
- В представленном слева списке доступных оснасток найдите «Редактор объектов» и выделите его одинарным кликом и нажмите по кнопке «Добавить».
- Подтвердите свои намерения нажатием кнопки «Готово» в появившемся диалоговом окне,
а затем кликните «ОК» в окне «Консоли».
- Добавленный вами компонент появится в списке «Выбранные оснастки» и будет готов к использованию.
Теперь вы знаете обо всех возможных вариантах запуска «Редактора локальной групповой политики» в Windows 10, но наша статья на этом не заканчивается.
Создание ярлыка для быстрого запуска
Если вы планируете часто взаимодействовать с системной оснасткой, о которой шла речь в нашей сегодняшней статье, нелишним будет создать его ярлык на Рабочем столе. Это позволит максимально быстро запускать «Редактор», а заодно избавит вас от необходимости запоминания команд, названий и путей. Делается это следующим образом.
- Перейдите на Рабочий стол и кликните правой кнопкой мышки по пустому месту. В контекстном меню выберите поочередно пункты «Создать» — «Ярлык».
- В строке открывшегося окна укажите путь к исполняемому файлу «Редактора локальной групповой политики», который указан ниже, и нажмите «Далее».
C:WindowsSystem32gpedit.msc - Придумайте создаваемому ярлыку имя (лучше указать его оригинальное название) и нажмите по кнопке «Готово».
Сразу же после выполнения этих действий на Рабочем столе появится добавленный вами ярлык «Редактора», запустить который можно двойным кликом.
Читайте также: Создание ярлыка «Мой компьютер» на Рабочем столе Виндовс 10
Заключение
Как видите, «Редактор локальной групповой политики» в Windows 10 Pro и Enterprise может быть запущен по-разному. Какой из рассмотренных нами способов взять на вооружение – решать только вам, мы же на этом закончим.
Еще статьи по данной теме:
Помогла ли Вам статья?
Помимо применения твиков, для ограничения доступа к различным функциям в Windows 10 часто используется такой инструмент администрирования как редактор локальных групповых политик. Изменения, внесенные через редактор локальных политик в параметры системы и приложений затрагивают все учётные записи пользователей, включая администраторскую, что может создавать неудобства для самого администратора компьютера.
Как в Windows 10 применять групповые политики ко всем пользователям, кроме администраторов
А нельзя ли сделать так, чтобы изменяемые через редактор политик настройки применялись только к пользователям, не имеющим администраторских прав? Почему бы и нет, установить такое разграничение вполне возможно. Нажатием Win + R откройте окошко «Выполнить», введите в него команду mmc и нажмите ввод. Откроется консоль управления MMC. В главном меню выберите Файл; Добавить или удалить оснастку.
В левом поле открывшегося окна найдите оснастку «Редактор объектов групповой политики» и нажмите кнопку «Добавить».
Откроется окно мастера выбора объекта групповой политики. Нажмите в нём «Обзор»,
переключитесь в открывшемся диалоговом окошке на вкладку «Пользователи» и выберите группу «Не администраторы». Сохраните настройки нажатием сначала «OK»,
а затем «Готово».
При этом в правом поле окна добавления и удаления оснасток у вас появится новая оснастка «Локальный компьютер/Не администраторы». Почти всё готово. Нажатием «OK»
возвращаемся в главное окно консоли,
выделяем созданную политику, жмём Файл; Сохранить как
и сохраняем файл с расширением MSC в любое удобное расположение.
В следующий раз, когда вам нужно будет настроить какой-нибудь параметр через редактор локальных групповых политик, не ограничивая и не затрагивая при этом администраторов компьютера, запускайте этот файл и изменяете доступные политики как если бы работали в редакторе gpedit.msc.