GPUpdate Force: Gruppenrichtlinien aktualisieren (Tutorial mit Anwendungsbeispielen)
Möchten wir in einer Microsoft-basierten Umgebung (Server und Clients) die Gruppenrichtlinien aktualisieren, bietet sich der gpupdate /force Befehl an. Zwar würden die neuen Gruppenrichtlinien auch ohne den gpupdate-Befehl aktualisiert werden, in vielen Fällen möchten wir diesen Vorgang aber beschleunigen und die Aktualisierung der GPOs mit sofortiger Wirkung erzwingen.
Standardgemäß kann es bis zu 90-Minuten andauern, bis die soeben auf dem Microsoft Server (Domänen-Controller) aktivierte Gruppenrichtlinie selbständig auf angemeldeten Clients aktualisiert worden ist. In diesem Beitrag möchte ich euch den Umgang mit dem Aktualisierungsbefehl mit Beispielen zeigen.
Was sind Gruppenrichtlinien?
Gruppenrichtlinien-Objekte, abgekürzt GPOs (Group Policy Objects), sind ein fester Bestandteil von Microsoft Active Directory. Auf dem Domänen-Controller (DC) erhalten Administratoren die Möglichkeit, Konfiguration und Einstellungen für Benutzer, Gruppen und Computer vorzunehmen. Die Gruppenrichtlinien vereinfachen die Administration und Verwaltung von Client-basierten Einstellungen erheblich.
Wofür werden die GPOs angewendet?
GPOs können unter anderem dazu verwendet werden, Sicherheitseinstellungen auf Client-Systemen zu konfigurieren und Softwareinstallationen aus der Ferne zu verwalten. Sobald wir eine Änderung an den Gruppenrichtlinien am Microsoft Server vornehmen, dauert es ohne eine Ab- und Anmeldung des Benutzers bis zu zwei Stunden, bis die neuen Richtlinien aktualisiert worden sind. Manchmal oder bei größeren Änderungen an den Gruppenrichtlinien kann eine manuelle Aktualisierung sehr nützlich sein und zu einem Zeitersparnis führen.
Das trifft insbesondere dann zu, wenn wir gerade einen neuen Drucker bereitgestellt haben oder Änderungen am Netzwerk durchgeführt worden sind. Arbeitet das Unternehmen z.B. mit Netzlaufwerken für die Dateiablage und die IP-Adresse vom Netzlaufwerk hat sich verändert, muss die neue Konfiguration mit sofortiger Wirkung übernommen werden, damit die Produktivität im Unternehmen nicht eingeschränkt wird. Für solche Fälle können wir auf den gpupdate /force Befehl zurückgreifen, damit die Gruppenrichtlinien sofort aktualisiert werden und die Benutzer unbeschwert weiterarbeiten können.
Inhaltsverzeichnis: Anleitung für die Aktualisierung von Gruppenrichtlinien-Objekte (Microsoft Server)
Eine Aktualisierung der GPOs mit dem GPUpdate Force Befehl über die PowerShell erzwingen
Um Gruppenrichtlinien zu aktualisieren, verwenden wir das Windows-Terminal oder die Windows-PowerShell. Führe jetzt die folgenden Schritte auf dem Computer aus. Screenshots unterstützen dich bei der Aktualisierung.
Schritt 1: Zunächst öffnen wir die PowerShell/Windows-Terminal mit der Tastenkombination [WINDOWS-Taste + X]. Wähle eine der beiden Konsolen im Menü aus.
Schritt 2: Gebe jetzt den Befehl für die Aktualisierung der Gruppenrichtlinien-Objekte ein:
gpupdate /force
Sobald der Befehl „gpupdate /force“ abgesendet wurde, werden die Gruppenrichtlinien aktualisiert. Dieser Vorgang kann einige Sekunden andauern. Die Konsole gibt uns ein Feedback über die erfolgreiche Übernahme des Updates.
Hinweis: Auch ein Neustart der Clients kann das Update der GPOs beschleunigen. Windows-Administratoren haben zwar die Möglichkeit, die Systeme im Unternehmen ohne Zustimmung des angemeldeten Benutzers neu zu starten, arbeiten diese in diesem Moment in einem Programm, wären die Mitarbeiter wahrscheinlich ziemlich verärgert über die Maßnahme, da ein Datenverlust droht. Verwenden wir also besser die Methode mit gpupdate /force über die PowerShell, um Gruppenrichtlinien zu aktualisieren.
Nützliches Wissen: Warum verwenden wir bei der GPO-Aktualisierung den Schalter „/force“?
Natürlich könnten wir den Befehl für die sofortige Aktualisierung der Gruppenrichtlinien-Objekte auch ohne den Zusatz gpupdate /force anwenden, also nur gpupdate in die Konsole eingeben. Der Unterschied liegt hierbei jedoch im Detail. Der Schalter (force) teilt unserem System mit, dass wir alle Gruppenrichtlinieneinstellungen erneut anwenden möchten.
Ohne diesen Zusatz würden wir lediglich die Änderungen zwischen der jetzigen und der letzten Aktualisierung beziehen. Bei sehr großen IT-Infrastrukturen und komplexen Umgebungen kann es dann sogar sinnvoll sein, auf den Schalter zu verzichten, um die Belastung zwischen den Client-Systemen und dem Domänencontroller zu minimieren.
Mit diesem Befehl werden alle Gruppenrichtlinien neu bezogen:
gpupdate /force
Mit diesem Befehl werden nur die veränderten bzw. neuen Gruppenrichtlinien aktualisiert:
gpupdate
Gruppenrichtlinien Remote-Aktualisieren: GPO-Updates aus der Ferne verwalten
Häufig lässt es sich nur schwer realisieren, den Befehl für die Gruppenrichtlinien-Aktualisierung auf jedem einzelnen Computer im Unternehmen händisch auszuführen. Es gibt verschiedene Methoden, wie GPOs aus der Ferne (Remote) aktualisiert werden können.
Methode über die PowerShell mit PsExec:
Dafür bietet sich zum Beispiel der PsExec-Befehl an, welcher es uns ermöglicht, ein Programm auf dem Remote-System auszuführen. Diese Methode ist zugleich eine der besten Möglichkeiten, den GPUpdate-Befehl remote auszuführen. Verwende wieder die PowerShell und gebe den folgenden Befehl in die Eingabemöglichkeit ein.
Gruppenrichtlinien remote Aktualisieren:
PsExec \\Clientname gpupdate /force
Hinweis: Ersetze den Clientname mit dem Hostnamen des gewünschten Computers im selben Netzwerk. Die Anwendung sollte in diesem Beispiel ja relativ selbsterklärend sein.
Methode am Domänen-Controller über das GPO-Management:
Die Remote-Aktualisierung kann auch direkt über die Gruppenrichtlinien-Verwaltungskonsole erfolgen. Verwende die Suchfunktion auf deinem Server, auf dem auch die RSAT-Werkzeuge installiert sind. In der Regel ist das der Domänen-Controller.
Schritt 1: Öffne die Verwaltungskonsole „Group Policy Management“. Navigiere mit dem Mauszeiger über die gewünschte Organisationseinheit und führe einen Rechtsklick aus. Wähle im Menü die Schaltfläche „Group Policy Update“ aus.
Schritt 2: Jetzt öffnet sich ein Fenster mit dem Namen „Force Group Policy update“. Es wird die Anzahl der Computer angezeigt, die von dem Policy-Update betroffen sein werden. Klicke auf „Ja“, um das GPO-Update Remote für die selektierte Organisationseinheit durchzuführen.
Gruppenrichtlinien aus der Ferne aktualisieren (GPUpdate Force): Die PowerShell mit dem Invoke-Command verwenden
Eine weitere Möglichkeit, Client-Systeme mit installiertem Microsoft-Windows 10 und Windows 11 Betriebssystemen über neue GPOs zu informieren, bietet uns das Invoke-Command-Cmdlet. Es ermöglicht uns, Befehle auf Remotecomputern auszuführen. In unserem Fall können wir das Cmdlet auch für die sofortige Aktualisierung von Gruppenrichtlinien aus der Ferne verwenden.
Der nächste Befehl setzt voraus, dass die Group Policy Management Console (GPMC) auf dem Server, welcher den Befehl ausführt, installiert ist. Verwende die PowerShell und gebe den folgenden Befehl ein.
GPUpdate Force remote ausführen:
Invoke-GPUpdate -Computer "CLIENT1" -RandomDelayInMinutes 0 - Force
Hinweis: CLIENT1 ist ein Beispielname. Verwende den Hostnamen von dem Computer-System, wo die Gruppenrichtlinien aktualisiert werden sollen. Die Zahl hinter der Anweisung „RandomDelayInMinutes“ befiehlt, den Befehl ohne eine Verzögerung auszuführen.
Der obige Befehl müsste jetzt für jeden Computer wiederholt werden. Möchten wir eine große Anzahl von Computern gleichzeitig ansteuern, um ein GPO-Update auf allen Computern zu erzwingen, können wir den Befehl durch eine Variable und mit einer ForEach-Schleife erweitern.
Remote-GPUpdate Force auf allen Computer gleichzeitig durchführen:
PS C:\> $computers = Get-ADComputer -Filter * PS C:\> $Computer | ForEach-Object -Process {Invoke-GPUpdate -Computer $_.name -RandomDelayInMinutes 0 -Force} 
