如何使用 GPUpdate/force 强制更新组策略

想象一下，您接到负责防火墙和代理服务器的安全专家打来的电话。他告诉您，他为访问互联网的用户添加了一个额外的代理服务器。您添加一个影响所有用户的新 GPO，以便他们可以通过 Internet Explorer 使用新的代理服务器。通常，应用新的 GPO 需要 90 到 120 分钟，但您需要立即应用新设置，并且无法告诉用户注销并重新登录以应用它们。在此类情况下，您可能希望在后台策略处理启动之前绕过正常等待时间。您可以使用命令提示符、组策略管理控制台 (GPMC) 或 PowerShell 来执行此操作。

什么是 GPU 更新

组策略是 Active Directory 的一项重要功能，它使管理员能够对用户和计算机应用各种设置。及时应用组策略对象 (GPO) 的更改和新的 GPO 对于安全性和生产力至关重要。

因此，只要域成员计算机重新启动或用户登录到该计算机，组策略就会自动刷新。它还会按照定义的后台刷新间隔自动更新（默认情况下，每 90 分钟一次，随机偏移最多 30 分钟）。

然而，有时管理员需要立即将 GPO 设置应用到客户端系统，例如当他们创建新策略或对现有策略进行重要更改时。此外，有时他们不仅希望应用更改，还希望重新应用通常未更改的 GPO，以便恢复在本地计算机上所做的不需要的更改。

本文档将引导您了解强制组策略刷新的方法。

GPUpdate 与 GPUpdate /force 命令

gpupdate /force 命令是更新组策略最常用的命令之一。 /force 开关使管理员能够重新应用所有策略设置。然而，重要的是要考虑到使用 /force 开关会给域控制器 (DC) 带来巨大的负载，特别是当环境中存在大量组策略对象 (GPO) 时。

如果您有大量租户或大量 GPO，最好运行不带 /force 开关的 gpupdate 来实施新的策略设置。此方法只会接收更改或新的组策略，从而减少客户端和域控制器上的工作负载。

如何强制更新组策略

要强制更新组策略，您可以使用以下任一选项：

• gpupdate /force 命令
• 组策略管理控制台 (GPMC)
• 电源外壳

先决条件：在应用 GPO 之前配置防火墙

在使用任何这些选项强制重新应用 GPO 之前，请确保防火墙允许适用端口（默认情况下为 TCP 端口 135）上的入站网络流量，如 Microsoft 文档中所述。

使用命令提示符强制更新组策略

gpupdate 是用于 Active Directory 计算机上的组策略更新的 Microsoft Command shell 命令。它包含在所有 Window 操作系统版本中。

/force 参数

运行不带参数的 gpupdate 命令仅应用更改的策略设置和新的 GPO。但有时您还需要重新应用所有未更改的 GPO，例如恢复本地管理员（或已破坏其帐户的对手）所做的不需要的修改。

在这种情况下，您需要使用 /force 参数，如下所示：

gpupdate /force

使用此参数更新组策略设置时需要记住两个关键注意事项：

• 您必须亲自跑到每台用户计算机并手动运行 gpupdate /force 命令。 （要远程更新计算机，请使用 PowerShell，如下所述。）
• 使用 /force 开关可能会给 DC 和客户端带来巨大的负载，尤其是当环境中存在大量 GPO 时。在这些情况下，最好运行不带 /force 参数的 gpupdate。

附加参数

当用户登录到计算机时运行gpupdate会立即为Windows提供新的GPO设置（当然，假设域控制器具有复制的GPO信息）。

如果用户未登录，在 Windows XP 及更高版本中，默认情况下，仅在下次登录时处理 GPO 设置。但如果您使用正确的开关，gpupdate 可以确定新更改的项目是否需要注销或重新启动才能激活：

• /Logoff - 使用此开关将确定策略更改是否需要用户注销。如果没有，则立即应用新设置；如果是这样，用户将自动注销，并在他们重新登录时应用组策略设置。
• /boot - 同样，如果启用快速启动，则需要重新启动才能应用具有软件分发设置的 GPO。使用 /boot 开关运行 gpupdate 将确定策略是否包含需要重新启动的内容，并自动重新启动计算机。如果更新的 GPO 不需要重新启动，则会应用 GPO 设置，并且用户保持登录状态。

/Logoff 和 /boot 开关都是可选的。

其他有用的开关选项可与 /force 结合使用

• /Logoff - 组策略设置更新后注销用户。
• /Sync - 将前台（启动/登录）处理更改为同步。
• /Target - 指示是否仅更新用户或仅计算机的策略设置。默认情况下，用户和计算机策略设置都会更新。
• /Boot - 应用组策略设置后重新启动计算机。

使用组策略管理控制台 (GPMC) 强制更新组策略

强制更新 Windows 组策略的第二种方法是使用组策略管理控制台。虽然 gpupdate 命令更新所有 OU 的所有策略，但 GPMC 为您提供了将更新限制到特定 OU 的选项。采取以下步骤：

1. 打开 GPMC（组策略管理控制台）
2. 将 GPO 链接到 OU。
3. 右键单击所需的 OU，然后选择“组策略更新”选项。
4. 在出现的“强制组策略更新”对话框中，单击“是”确认操作。

使用 Powershell 在计算机上强制远程更新组策略

要远程更新组策略，您需要使用Powershell。从 Windows Server 2012 开始，您可以使用 cmdlet Invoke-GPUpdate。强制在 Windows 客户端计算机上进行组策略远程更新。您需要安装 PowerShell 和组策略管理控制台。该 cmdlet 不产生任何输出。

使用 Involve-GPUpdate 进行远程组策略更新的示例

使用 Invoke-GPUpdate cmdlet 的另一个优点是“RandomDelayInMinutes”选项允许您调整延迟。如果您想要立即更新组策略，请将其设置为 0，如下所示：

Invoke-GPUpdate –Computer LHE-LT-ADAM -RandomDelayInMinutes 0

在本例中，标识为“LHE-LT-ADAM”的计算机在启动组策略更新后立即重新启动。该 cmdlet 不产生任何输出。使用此参数的唯一缺点是用户将弹出一个 cmd 屏幕。

如果您想在所有计算机上强制更新，请运行以下代码。它将从域中获取所有计算机，将它们放入变量中，然后为每个对象运行命令。

$compgpoupd = Get-ADComputer -Filter *
$compgpoupd | ForEach-Object -Process {Invoke-GPUpdate -Computer $_.name -RandomDelayInMinutes 0 -Force}

使用 RandomDelayInMinutes 参数的唯一缺点是用户将看到一个 cmd 屏幕弹出窗口。

此代码将从域中获取所有计算机，将它们放入变量中并运行每个对象的命令。

应用 GPO 之前配置防火墙

在打开 GPMC 之前，请确保防火墙允许特定端口上的入站网络流量。从Windows Server 2012开始，组策略编辑器中有一个名为“组策略远程更新防火墙端口”的起始GPO，用于验证是否为远程计划任务管理设置了TCP端口135。

要使用 GPO 启用高级安全 Windows 防火墙：

1. 启动组策略管理界面。

2. 在导航窗格中，展开以下内容：森林 (YourForestName) => 域 (YourDomainName) => 组策略对象：(YourDomainName) => 右键单击您要编辑的 GPO，然后选择编辑。

   

3. 从组策略管理编辑器的导航栏中，选择计算机配置 => 策略 => Windows 设置 => 安全设置 => 具有高级安全性的 Windows 防火墙 => Windows 防火墙的高级安全性。

   

GPO后台刷新

所有组策略客户端都会在后台刷新间隔过去时处理 GPO，但它们仅处理那些新的或自客户端上次请求以来已更改的 GPO。

但是，对于安全设置，组策略引擎的工作方式有所不同。它要求仅针对安全策略设置进行特殊的后台刷新。这称为后台安全刷新，对每个版本的 Windows Server 都有效。每 16 小时，每个组策略客户端都会向 Active Directory 询问包含安全设置（而不仅仅是已更改的 GPO）的所有 GPO，并重新应用这些安全设置。这可确保如果客户端上的安全设置发生更改（在组策略引擎的背后），它会在 16 小时内自动恢复到正确的设置。

本地 GPO 的后台刷新过程

如前所述，您可能需要强制刷新组策略的一个关键原因是本地管理员（或对手或已泄露其帐户！）可以更改其计算机上的设置，从而使您使用 GPO 设置的策略无效。这些变化可能会损害生产力甚至安全性。例如，本地管理员可能会覆盖禁止 USB 驱动器的 GPO 设置，从而导致数据被盗和引入恶意软件。

因此，您应该仅在真正需要时才授予本地管理员权限。决不应该向普通用户授予本地管理员权限。

强制重新应用非安全组策略设置

如上所述，定期后台更新仅适用于新的和更改的 GPO。但是，即使 GPO 未更改，您也可以修改常规后台刷新以重新应用某些设置。这是修复与安全无关的漏洞的好方法。

具体来说，您可以选择在每次初始策略处理和后台刷新期间强制重新应用组策略的以下区域：

• 注册表（管理模板）
• 微软边缘维护
• 知识产权安全
• EFS 恢复策略
• 无线政策
• 磁盘配额
• 脚本
• 安全
• 文件夹重定向
• 软件安装
• 有线政策

Netwrix 如何提供帮助

组策略是管理 Windows 基础结构设置的极其强大的方法。但它也很复杂。事实上，经过多年的并购、员工流动、技术变革等等，组策略几乎不可能使用手动方法和本机工具进行有效管理。

Netwrix PolicyPak 简化了组策略管理，使您能够清理和整合 GPO。因此，您的组织将享受更快的登录速度、更高的安全性、更好的正常运行时间和更少的错误配置。

结论

使整个 IT 资产中的组策略设置保持最新对于生产力、安全性、合规性等至关重要。虽然 GPO 更改会在下一个刷新间隔自动应用；您还可以强制刷新以立即应用它们。作为一项额外的安全措施，您可以确保始终重新应用某些组策略设置（即使它们没有更改），以便恢复本地管理员所做的任何不需要的更改。

常问问题

如何更新组策略？

要手动更新组策略，管理员可以使用 gpupdate /force 命令、组策略管理控制台 (GMPC) 或 PowerShell。 /force 开关使管理员能够重新应用所有策略设置

gpupdate /force 的作用是什么？

组策略根据后台刷新计划自动更新。但是，有时更新或新策略需要更快生效，或者组织需要恢复本地管理员所做的不当策略更改。在这些情况下，管理员可以使用带有 /force 参数的 gpupdate 命令立即应用组策略更新。

gpupdate /force 更新组策略需要多长时间？

强制更新组策略所需的时间取决于所应用的策略的数量。更新少量策略可能只需要几分钟，但通常该过程需要 90 分钟的应用时间加上 30 分钟的工作负载分配延迟。