Actualización de la configuración de directiva de grupo en equipos de dominio de Windows

En este artículo, mostraremos cómo actualizar la configuración de la Política de grupo (GPO) en computadoras con Windows en un dominio de Active Directory: cómo actualizar (actualizar) las Políticas de grupo automáticamente, cómo usar el GPUpdate comando, cómo actualizarlos de forma remota utilizando la Consola de administración de directivas de grupo (GPMC.msc) o el Invoke-GPUpdate Cmdlet de PowerShell.

¿Cómo cambiar el intervalo de actualización de la directiva de grupo?

Antes de que la nueva configuración que ha establecido en una directiva de grupo (GPO) local o de dominio se aplique a los clientes de Windows, el servicio de cliente de directiva de grupo debe leer las políticas y realizar cambios en la configuración de Windows. El proceso se llama un Actualización de directiva de grupo. La configuración de GPO se actualiza cuando la computadora arranca, el usuario inicia sesión y se actualiza automáticamente en segundo plano cada 90 minutos + un intervalo de tiempo aleatorio de 0 a 30 minutos (significa que la configuración de la política definitivamente se aplicará a los clientes en 90– 120 minutos después de haber actualizado los archivos GPO en el controlador de dominio).

De forma predeterminada, los controladores de dominio actualizan la configuración de GPO con más frecuencia: cada 5 minutos.

Puede cambiar el intervalo de actualización de GPO usando el Establecer el intervalo de actualización de la política de grupo para las computadoras opción ubicada en Configuración del equipo -> Plantillas administrativas -> Sistema -> sección Política de grupo del GPO.

Habilite la política y configure el tiempo (en minutos) para las siguientes opciones:

  • Esta configuración le permite personalizar la frecuencia con la que se aplica la política de grupo a las computadoras. (0 a 44640 minutos) con qué frecuencia el cliente debe actualizar la configuración de GPO en segundo plano. Si establece 0 aquí, las políticas se actualizarán cada 7 segundos (no vale la pena hacerlo);
  • Este es un tiempo aleatorio agregado al intervalo de actualización para evitar que todos los clientes soliciten la directiva de grupo al mismo tiempo. (0 a 1440 minutos) es un valor máximo de un intervalo de tiempo aleatorio agregado como compensación al parámetro anterior (usado para reducir la cantidad de llamadas simultáneas del cliente al DC para descargar archivos GPO).

Establecer el intervalo de actualización de la directiva de grupo para equipos: parámetro GPO

Tenga en cuenta que la actualización frecuente de GPO da como resultado el crecimiento del tráfico a los controladores de dominio y conduce a una mayor carga de la red.

Uso del comando GPUpdate.exe para forzar la actualización de la configuración de GPO

Todos los administradores conocen la gpupdate.exe comando que permite actualizar la configuración de la política de grupo en una computadora. Para hacerlo, la mayoría utiliza el gpupdate /force comando sin dudarlo. El comando obliga a su computadora a leer todos los GPO del controlador de dominio y volver a aplicar todos ajustes. Esto significa que cuando el fuerza se utiliza la clave, el cliente se conecta al controlador de dominio para recuperar los archivos para TODAS las políticas dirigidas a él. Puede resultar en una mayor carga en su red y controlador de dominio.

Un simple gpudate El comando sin ningún parámetro solo aplica configuraciones de GPO nuevas y modificadas.

Si ha tenido éxito, aparece el siguiente mensaje:

Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

gpupdate force /command (forzar actualización de configuración de GPO)

Puede actualizar solo la configuración de GPO del usuario:

gpupdate /target:user

o solo la configuración de la política de la computadora:

gpupdate /target:computer /force

Si algunas políticas no se pueden actualizar en segundo plano, gpupdate puede cerrar la sesión del usuario actual:

gpupdate /target:user /logoff

O reinicie una computadora (si los cambios de GPO solo se pueden aplicar cuando se inicia Windows):

gpupdate /Boot

¿Cómo forzar una actualización remota de GPO desde la Consola de administración de directivas de grupo (GPMC)?

En Windows Server 2012 y versiones posteriores, puede actualizar la configuración de la directiva de grupo en los equipos del dominio de forma remota mediante el GPMC.msc (Consola de administración de directivas de grupo).

En Windows 10, deberá instalar el RSAT para usar la consola GPMC:

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

Luego, después de cambiar cualquier configuración, o crear y vincular un nuevo GPO, basta con hacer clic con el botón derecho en la Unidad organizativa (OU) que desee en GPMC y seleccionar Actualización de directiva de grupo en el menú contextual. En una nueva ventana, verá la cantidad de computadoras en las que se actualizará el GPO. Confirme la actualización forzada de las políticas haciendo clic en .

actualizar los parámetros de GPO de forma remota a través de la consola GPMC

Luego, el GPO se actualizará de forma remota en cada computadora en la unidad organizativa una por una, y obtendrá el resultado con el estado de actualización de la política de grupo en las computadoras (Correcto/Error).

Esta función crea una tarea en el Programador de tareas con el GPUpdate.exe /force comando para cada usuario conectado en la computadora remota. La tarea se ejecuta en un período de tiempo aleatorio (hasta 10 minutos) para reducir la carga de la red.

Para que la función de actualización remota de GPO de GPMC funcione en un cliente, se deben cumplir las siguientes condiciones:

Si una computadora está apagada o un firewall bloquea el acceso a ella, el ‘The remote procedure call was canceled. Error Code 8007071a‘ aparece junto al nombre de la computadora.

En realidad, la característica funciona igual que si hubiera actualizado la configuración de GPO manualmente usando el GPUpdate /force comando en cada computadora.

Forzar una actualización de directiva de grupo de equipos remotos con GPMC

Invoke-GPUpdate: Forzar la actualización de la política de grupo remoto a través de PowerShell

También puede llamar a la actualización remota de GPO en computadoras usando el Invocar-GPUpdate Cmdlet de PowerShell (que forma parte del módulo de administración de directivas de grupo de RSAT). Por ejemplo, para actualizar de forma remota la configuración de la política de usuario en una computadora específica, puede usar el siguiente comando:

Invoke-GPUpdate -Computer "frparsrv12" -Target "User"

Si ejecuta el Invocar-GPUpdate cmdlet sin ningún parámetro, actualizará la configuración de GPO en la computadora actual (como gpudate.exe).

Junto con el cmdlet Get-ADComputer, puede actualizar GPO en todas las computadoras en una unidad organizativa específica:

Get-ADComputer –filter * -Searchbase "OU=Computes,OU=Mun,OU=DE,dc=woshub,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}

o en todas las computadoras que cumplan con el requisito específico (por ejemplo, en todos los hosts de Windows Server en un dominio):

Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows Server*' }| foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}

Puede establecer un desplazamiento aleatorio para actualizar GPO usando RandomDelayInMinutes. Por lo tanto, puede reducir la carga de la red si actualiza la configuración de la directiva de grupo en varias computadoras simultáneamente. Para aplicar la configuración de directiva de grupo inmediatamente, el RandomDelayInMinutes 0 se utiliza el parámetro.

El comando Invoke-GPUpdate devuelve el siguiente error para equipos no disponibles:

Invoke-GPUpdate: Computer "frparsrv12" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.

Invoke-GPUpdate (GroupPolicy) cmdlet de PowerShell

Si ejecuta el Invoke-GPUpdate cmdlet de forma remota o actualizar GPO desde GPMC, una ventana de consola con el gpupdate El comando puede aparecer en el escritorio de un usuario por un corto tiempo.

Artículos Interesantes