Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

Windowsドメインコンピューターでのグループポリシー設定の更新

この記事では、Active Directoryドメイン内のWindowsコンピューターでグループポリシー(GPO)設定を更新する方法、グループポリシーを自動的に更新(更新)する方法、GPUpdateを使用する方法を示します。 コマンド、グループポリシー管理コンソール(GPMC.msc)を使用してそれらをリモートで更新する方法 )またはInvoke-GPUpdate PowerShellコマンドレット。

グループポリシーの更新間隔を変更するにはどうすればよいですか?

ローカルまたはドメインで設定した新しい設定がWindowsクライアントに適用される前に、グループポリシークライアントサービスはポリシーを読み取り、Windows設定を変更する必要があります。このプロセスは、グループポリシーの更新と呼ばれます。 。 GPO設定は、コンピューターの起動時に更新され、ユーザーがログオンし、バックグラウンドで90分ごとに自動的に更新されます+ 0〜30分のランダムな時間オフセット(つまり、ポリシー設定は90〜30分でクライアントに確実に適用されます)ドメインコントローラーでGPOファイルを更新してから120分後)

既定では、ドメインコントローラーはGPO設定をより頻繁に更新します(5分ごと)。

コンピューターのグループポリシーの更新間隔を設定するを使用して、GPOの更新間隔を変更できます。 [コンピューターの構成]->[管理用テンプレート]->[システム]->[GPOのグループポリシー]セクションにあるオプション。

ポリシーを有効にし、次のオプションの時間(分単位)を設定します。

  • この設定により、グループポリシーがコンピューターに適用される頻度をカスタマイズできます (0〜44640分)クライアントがバックグラウンドでGPO設定を更新する頻度。ここで0を設定すると、ポリシーは7秒ごとに更新されます(実行する価値はありません)。
  • これは、すべてのクライアントが同時にグループポリシーを要求できないようにするために、更新間隔に追加されるランダムな時間です。 (0〜1440分)は、前のパラメーターへのオフセットとして追加されたランダムな時間間隔の最大値です(GPOファイルをダウンロードするためのDCへの同時クライアント呼び出しの数を減らすために使用されます)。

Windowsドメインコンピューターでのグループポリシー設定の更新

GPOを頻繁に更新すると、ドメインコントローラーへのトラフィックが増加し、ネットワーク負荷が高くなることに注意してください。

GPUpdate.exeコマンドを使用してGPO設定を強制的に更新する

すべての管理者はgpupdate.exeを知っています コンピューターのグループポリシー設定を更新できるコマンド。これを行うには、ほとんどの場合、gpupdate /forceを使用します ためらうことなくコマンド。このコマンドにより、コンピューターはドメインコントローラーからすべてのGPOを読み取り、すべてを再適用します。 設定。これは、 キーが使用される場合、クライアントはドメインコントローラーに接続して、それを対象とするすべてのポリシーのファイルを取得します。ネットワークとドメインコントローラーの負荷が高くなる可能性があります。

単純なgpudate パラメータを指定しないコマンドは、新規および変更されたGPO設定のみを適用します。

成功すると、次のメッセージが表示されます。

Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

Windowsドメインコンピューターでのグループポリシー設定の更新

一部のポリシーまたは設定が適用されていない場合は、gpresultコマンドを使用して問題を診断し、グループポリシーが適用されない原因となる一般的な問題の記事の指示に従ってください。

ユーザーのGPO設定のみを更新できます:

gpupdate /target:user

または、コンピュータのポリシー設定のみ:

gpupdate /target:computer /force

一部のポリシーをバックグラウンドで更新できない場合、gpupdateは現在のユーザーをログオフできます:

gpupdate /target:user /logoff

または、コンピューターを再起動します(GPOの変更がWindowsの起動時にのみ適用できる場合):

gpupdate /Boot

グループポリシー管理コンソール(GPMC)からリモートGPO更新を強制する方法

Windows Server 2012以降では、GPMC.mscを使用して、ドメインコンピューターのグループポリシー設定をリモートで更新できます。 (グループポリシー管理コンソール)。

Windows 10では、GPMCコンソールを使用するためにRSATをインストールする必要があります。

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

次に、設定を変更するか、新しいGPOを作成してリンクした後、GPMCで目的の組織単位(OU)を右クリックし、[グループポリシーの更新]を選択するだけで十分です。 コンテキストメニューで。新しいウィンドウに、GPOが更新されるコンピューターの数が表示されます。 はいをクリックして、ポリシーの強制更新を確認します 。

Windowsドメインコンピューターでのグループポリシー設定の更新

次に、GPOはOU内の各コンピューターで1つずつリモートで更新され、コンピューターのグループポリシーの更新ステータス(成功/失敗)を含む結果が得られます。

この機能は、GPUpdate.exe /forceを使用してタスクスケジューラにタスクを作成します リモートコンピューターにログオンしているユーザーごとにコマンドを実行します。タスクはランダムな時間(最大10分)で実行され、ネットワークの負荷を軽減します。

GPMCリモートGPO更新機能をクライアントで機能させるには、次の条件を満たす必要があります。

  • TCPポート135は、WindowsDefenderファイアウォールルールで開いている必要があります。
  • WindowsManagementInstrumentationおよびタスクスケジューラサービスを有効にする必要があります。

コンピューターの電源がオフになっているか、ファイアウォールがコンピューターへのアクセスをブロックしている場合、「The remote procedure call was canceled. Error Code 8007071a ’メッセージがコンピュータの名前の横に表示されます。

実際、この機能は、GPUpdate /forceを使用してGPO設定を手動で更新した場合と同じように機能します。 各コンピューターでコマンドを実行します。

Windowsドメインコンピューターでのグループポリシー設定の更新

Invoke-GPUpdate:PowerShellを介してリモートグループポリシーの更新を強制する

Invoke-GPUpdate を使用して、コンピューター上のリモートGPO更新を呼び出すこともできます。 PowerShellコマンドレット(RSATの一部)。たとえば、特定のコンピューターのユーザーポリシー設定をリモートで更新するには、次のコマンドを使用できます。

Invoke-GPUpdate -Computer "frparsrv12" -Target "User"

Invoke-GPUpdateを実行する場合 パラメータを指定しないコマンドレットを使用すると、現在のコンピューター(gpudate.exeなど)のGPO設定が更新されます。

Get-ADComputerコマンドレットを使用すると、特定のOU内のすべてのコンピューターのGPOを更新できます。

Get-ADComputer –filter * -Searchbase "OU=Computes,OU=Mun,OU=DE,dc=woshub,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}

または、特定の要件を満たすすべてのコンピューター(たとえば、ドメイン内のすべてのWindows Serverホスト):

Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows Server*' }| foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}

RandomDelayInMinutes を使用して、ランダムオフセットを設定してGPOを更新できます。 。したがって、複数のコンピューターでグループポリシー設定を同時に更新すると、ネットワークの負荷を軽減できます。グループポリシー設定をすぐに適用するには、RandomDelayInMinutes 0 パラメータが使用されます。 Invoke-GPUpdateコマンドは、使用できないコンピューターに対して次のエラーを返します。

Invoke-GPUpdate: Computer "frparsrv12" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.

Windowsドメインコンピューターでのグループポリシー設定の更新

Invoke-GPUpdateを実行した場合 リモートでコマンドレットを実行するか、GPMCからGPOを更新します。これは、gpupdateが実行されているコンソールウィンドウです。 コマンドがユーザーのデスクトップに短時間表示される場合があります。


  1. Windows10でローカルグループポリシー設定をデフォルトにリセットする方法

    Windows 10では、システム全体でカスタマイズと構成が可能です。通常のユーザーの場合、必要になる可能性のあるすべての変更は、設定アプリから簡単に行うことができます。このアプリはますます一般的になり、Microsoftがほとんどすべての一般的な構成をアプリに統合するにつれてますます使用されています。それ以外に、コントロールパネルは電源オプションなどの特定の変更にも使用されます。これら2つは主に一般的な構成に使用されますが、これらのアプリでは簡単に実行できない変更が必要な場合があります。 この目的のために、ローカルグループポリシーエディターが存在します。これは基本的に、ユーザーがシステム

  2. Windows 10 - グループ ポリシー エディタがない?ポリシー プラス!

    Windows で特定の管理機能を有効化、制限、または制御したい場合、微調整を実装する方法は複数あります。しかし、最終的には、すべてレジストリの変更に行き着きます。これらは、レジストリ エディター (regedit.exe) を使用して手動で作成することも、グループ ポリシーを使用して作成することもできます。後者は、システム機能を形成してから複数のノードに複製し、管理を簡素化できる一連の管理用テンプレートです。内部のレジストリで変更が行われることはありますが、グループ ポリシーは人間が判読できるフレンドリーな UI エディターを介してユーザーに公開され、手動のレジストリ作業よりも安全です。唯一