Getty Images/iStockphoto
Windows: Updates mit gpupdate bereitstellen und erzwingen
Gruppenrichtlinien sind beim Troubleshooting ein hilfreiches Werkzeug. Außerdem löst die Aktualisierung der Gruppenrichtlinieneinstellungen eines Systems mit gpupdate viele Probleme.
Bei der Fehlerbehebung und beim Testen von Windows-Desktops müssen Administratoren möglicherweise den Befehl gpupdate verwenden, um nach den neuesten Updates für Gruppenrichtlinieneinstellungen zu suchen.
Manchmal können Probleme durch neu bereitgestellte Gruppenrichtliniensteuerelemente entstehen, und diese können den Fahrplan zur Lösung von Windows-Leistungsproblemen liefern. In anderen Fällen kann es vorkommen, dass einem System diese spezifischen verwalteten Einstellungen fehlen und die Anwendung dieser Einstellungen Probleme mit dem System beheben kann.
Wie funktionieren Gruppenrichtlinieneinstellungen?
Gruppenrichtlinien speichern verwandte Einstellungen in Konfigurationsdateien, den so genannten Gruppenrichtlinienobjekten (GPOs). Administratoren wenden GPOs auf Active-Directory-Standorte, die gesamte Domäne oder Organisationseinheiten (OUs) an, die im Wesentlichen Benutzergruppen mit gemeinsamen Verwaltungsanforderungen sind.
Zum Beispiel könnte die IT-Abteilung eine neue Vertriebssoftware einführen wollen. Die Administratoren könnten ein GPO erstellen, das das System anweist, die Software zu installieren, und das GPO dann auf die OU der Vertriebsabteilung anwenden. Nur Computerkonten, die in der OU der Vertriebsabteilung gespeichert sind, erhalten die Anwendung. Ein weiteres Beispiel: Administratoren können Sicherheitseinstellungen konfigurieren, zum Beispiel eine Warnmeldung im Anmeldebanner, und diese mit dem AD-Domänenobjekt verknüpfen. Die Einstellungen würden für alle Systeme in der gesamten Domäne gelten.
Domänencontroller (DCs) speichern GPOs im Ordner sysvol. Client-Systeme laden die GPOs herunter und wenden sie an, wenn sie sich am DC authentifizieren. Sie melden sich auch regelmäßig beim DC an, um zu erfahren, ob es neue Versionen der GPOs gibt, die angewendet werden sollen.
Dieser Prozess ist in der Regel transparent und zuverlässig. Es kann jedoch etwas schief gehen, und Administratoren müssen sich mit der Fehlerbehebung bei Gruppenrichtlinien auf Desktop-Systemen befassen. Die Interaktion mehrerer GPOs, die auf den Ebenen Site, Domain und OU angewendet werden, erschwert die Fehlersuche.
Während der Befehl gpresult die aktuellen GPO-Einstellungen anzeigt, prüft der Befehl gpupdate auf neue GPO-Einstellungen.
Gruppenrichtlinieneinstellungen werden auf verschiedene Arten aktualisiert, darunter die folgenden:
- beim Starten des Computers: Das System wendet die Computer-GPO-Einstellungen beim Booten während der Systemauthentifizierung.
- Benutzeranmeldung: Das System wendet Benutzer-GPO-Einstellungen während der Benutzerauthentifizierung an.
- Aktualisierungsintervall für Gruppenrichtlinien: Das System meldet sich alle 90 Minuten mit einem zufälligen Offset zwischen null und 30 Minuten bei DC für Gruppenrichtlinienänderungen an.
- Gruppenrichtlinien-Verwaltungskonsole: Klicken Sie mit der rechten Maustaste auf eine OU und wählen Sie Gruppenrichtlinien-Update aus dem Kontextmenü, um die Richtlinien für alle OU-Mitglieder zu aktualisieren (Abbildung 1).
- Befehl gpresult: Wenn Sie diesen Befehl manuell eingeben, meldet sich das System beim DC für Gruppenrichtlinienänderungen an. Verwenden Sie den Schalter /force, um die Richtlinien erneut anzuwenden.
- Befehl Invoke-GPUpdate: Das lokale System meldet sich beim DC für Gruppenrichtlinienänderungen an. Verwenden Sie den Parameter -Computer <Computername>, um ein entferntes System zu aktualisieren.
Was ist der Befehl gpupdate?
Der Befehl gpupdate veranlasst alle ausgewählten Endpunkte, sich bei dem DC anzumelden, der sie authentifiziert hat, um festzustellen, ob es Änderungen an den bereits angewendeten GPO-Konfigurationen gegeben hat. Das wird fast immer im Rahmen von Tests oder der Fehlerbehebung durchgeführt. Hier sind zwei Beispiele für die Verwendung:
- Testen: Der Administrator hat eine GPO-Änderung vorgenommen und möchte sie sofort auf einer Arbeitsstation anzeigen.
- Troubleshooting: Der Administrator untersucht, warum eine bestimme Gruppenrichtlinieneinstellung auf dem System nicht vorhanden ist, oder er untersucht Leistungsprobleme mit dem System.
Eine Möglichkeit, nach aktualisierten GPOs zu suchen, besteht darin, das System neu zu starten. Diese Methode ist nicht sehr zeitsparend, vor allem, wenn die IT-Abteilung den Vorgang möglicherweise wiederholen muss, bevor eine Konfiguration angezeigt wird. Mit dem Befehl gpupdate können Administratoren die Aktualisierung von Gruppenrichtlinien schneller und einfacher überprüfen. Er gibt den Troubleshootern auch direkte Kontrolle über die erneute Anwendung von Gruppenrichtlinieneinstellungen.
So verwenden Sie gpupdate über die Eingabeaufforderung
Administratoren geben den Befehl gpupdate über die Eingabeaufforderung ein. Um auf die Eingabeaufforderung zuzugreifen, öffnen Sie die Windows-Oberfläche cmd.exe. Dazu müssen Sie die Eingabeaufforderung als Administrator ausführen, cmd in die Suchleiste eingeben oder zum Symbol cmd.exe navigieren.
Sobald die Eingabeaufforderung erscheint, geben Sie einfach gpupdate ein, um die Aktualisierung der Richtline zu starten. Die Ausgabe gibt zwei Meldungen aus:
Computer Policy update has completed successfully. (Deutsch: Die Aktualisierung der Computerrichtlinie wurde erfolgreich abgeschlossen.)
User Policy update has completed successfully. (Deutsch: Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.)
Wie bei anderen Programmen können Administratoren gpupdate /? eingeben, um die zusätzlichen Optionen und Funktionen anzuzeigen, die mit dem Befehl verfügbar sind (Abbildung 2).
Für gpupdate gibt es die folgenden Schalter:
| Schalter | Beschreibung |
/target {computer or user} |
wendet nur die angegebene Einstellungskategorie – Computer oder Benutzer – erneut an |
/wait {seconds} |
Anzahl der Sekunden, die die Verarbeitung im Vordergrund läuft, bevor die Eingabeaufforderung an den Benutzer zurückgegeben wird, während die Verarbeitung noch im Hintergrund läuft |
/logoff |
meldet den Benutzer ab, nachdem die Richtlinien erneut angewendet wurden, um die Anwendung von Einstellungen zu unterstützen, die nur bei der Anmeldung konfiguriert wurden |
/boot |
startet den Computer neu, nachdem die Richtlinien erneut angewendet wurden, um die Anwendung von Einstellungen zu unterstützen, die nur beim Start konfiguriert werden |
/sync |
synchrone nächste Aktualisierung der Richtlinie |
Der Gruppenrichtlinien-Client speichert GPOs während er regelmäßigen Aktualisierungsaktionen automatisch im Cache. Der Befehl gpresult verwendet diesen Cache, um Einstellungen anzuwenden.
Was ist der /force-Schalter für GPOs?
Der integrierte Gruppenrichtlinien-Client-Dienst und der grundlegende gpupdate-Befehl überprüfen lediglich die Versionsinformationen mit dem DC, um festzustellen, ob sich GPOs geändert haben. Das ist in der Regel ausreichend, aber manchmal rechtfertigt der Fehlerbehebungsprozess eine tatsächliche Neuanwendung der Einstellungen und nicht nur einen Versionsvergleich.
In diesem Fall sollten Sie den /force-Schalter verwenden. Der Schalter veranlasst gpupdate, die GPOs erneut anzuwenden, unabhängig davon, ob sie geändert wurden (Abbildung 3). Der Vorteil dieser Aktion besteht darin, dass die IT-Abteilung sicher sein kann, dass die Gruppenrichtlinien die Einstellungen übernommen haben, und nicht nur davon ausgeht, dass sie auf der Grundlage einer schnellen Versionsprüfung konfiguriert wurden.
Die Ausgabe an der Eingabeaufforderung ist dieselbe wie die des üblichen Befehls gpupdate. Die Ausführung dieses Befehls dauert länger, da er die GPOs verarbeitet. Der einzige wirkliche Nachteil von gpupdate /force ist die Zeit, die benötigt wird, um die Einstellungen zu übernehmen, sowie ein eventuell erforderlicher Neustart in Verbindung mit den Konfigurationen. Einige Einstellungen erfordern einen Neustart – die meisten jedoch nicht – und einige Richtlinieneinstellungen werden nur bei der Anmeldung angewendet.
Verwenden Sie die Option /force beim Troubleshooting von Problemen mit GPO-Anwendungen, unabhängig davon, ob es sich um größere Funktionsaktualisierungen oder kleinere Einstellungsänderungen handelt. Vielleicht ist die Gruppenrichtlinie so eingestellt, dass der Zugriff auf die Anzeige der Systemsteuerungsoberfläche eingeschränkt ist. In diesem Beispiel zum Troubleshooting ist die Oberfläche für den Benutzer immer noch verfügbar, obwohl sie das nicht sein sollte. Der Administrator sollte eine Eingabeaufforderung öffnen und gpupdate /force ausführen. Starten Sie das System neu, wenn Sie dazu aufgefordert werden, melden Sie sich als Benutzer an und suchen Sie in der Systemsteuerung nach der Anzeigeoberfläche.
Denken Sie daran, gpupdate mit gpresult zu kombinieren, um festzustellen, welche GPOs das System verwendet.
Aktualisierung von Gruppenrichtlinien mit PowerShell
PowerShell bietet Befehlszeilenverwaltung und Skripterstellung, um gängige Aufgaben zu automatisieren und zu vereinfachen. Sie verwendet eine Substantiv-Verb-Syntax mit Parametern zur Angabe zusätzlicher Details und Argumente.
Administratoren, die mit der PowerShell-Syntax vertraut sind, sollten das Cmdlet Invoke-GPUpdate -Force verwenden, um das gleiche Ziel wie mit dem herkömmlichen Befehl gpupdate /force zu erreichen.
Um das Cmdlet auszuführen, öffnen Sie die PowerShell-Konsole und das als Administrator. Wählen Sie Windows PowerShell (Administrator) aus oder navigieren Sie zu der ausführbaren Datei. Beachten Sie, dass die Remote Server Administration Tools auf dem System installiert sein müssen, damit das funktioniert.
Die meisten Administratoren verwenden Invoke-GPUpdate zur Aktualisierung von Richtlinien auf Remote-Computern mit dem Parameter -Computer <Computername>.
PS C:\Users\Administrator> invoke-gpupdate -Computer Win11-clientDie Verwendung dieses Cmdlets zum Ansteuern eines entfernten Systems ist einfacher, als zu Fuß dorthin zu gehen, insbesondere für entfernte Büros oder Mitarbeiter, die von zu Hause aus arbeiten.
Das Cmdlet Invoke-GPUpdate enthält viele weitere nützliche Optionen, darunter die Möglichkeit, nach der Anwendung der GPOs automatisch einen Neustart durchzuführen, eine Benutzerabmeldung nach der Anwendung der GPOs zu erzwingen und eine Verzögerung für das Cmdlet festzulegen.
