Как пользоваться командой gpupdate?
Команда gpupdate является заменой команды secedit /refreshpolicy, которая использовалась в операционной системе Windows 2000 для ручного запуска процесса обновления объектов групповой политики.
Хотя все политики обновляются автоматически, использование этой команды позволяет выполнить немедленное обновление объекта групповой политики. Часто это оказывается необходимо после внесения изменений в объект групповой политики.
Таким образом, можно убедиться в правильности изменений в объекте групповой политики. В отличие от команды secedit /refreshpolicy команда gpupdate по умолчанию выполняет обновление параметров политики пользователя и политики компьютера. При использовании утилиты secedit приходилось запускать две отдельные команды.
Команда gpupdate имеет следующий синтаксис:
Параметры команды gpupdate рассматриваются в следующей таблице.
Параметры команды gpupdate
Заставляет команду выполнять обновление только параметров компьютера или только параметров пользователя в объекте групповой политики. По умолчанию обновляются параметры компьютера и пользователя
Игнорирует все оптимизации обработки объектов групповой политики, например, обнаружение медленных связей, и повторно применяет все параметры
Позволяет указать количество секунд, за которое должна завершиться обработка политики. По умолчанию используется значение 600 (10 минут). Значение 0 означает отсутствие ожидания, а значение -1 означает неограниченное ожидание
Завершает сеанс работы пользователя после применения параметров объекта групповой политики. Завершение сеанса работы пользователя требуется для обновления многих параметров политики, например, параметров рабочего стола, поэтому процесс завершения сеанса стоит автоматизировать
Перезагружает систему после обновления политики. Некоторые параметры компьютера, например, установка программного обеспечения, применяются только в процессе запуска операционной системы, поэтому для применения этих параметров требуется перезагрузка
Приводит к синхронному применению параметров объекта групповой политики к компьютерам в процессе загрузки и к пользователям в процессе регистрации. Такое поведение по умолчанию принято в операционной системе Windows 2000. Это приводит к применению всех политик в процессе регистрации. В операционных системах Windows XP и Windows Server 2003 политики, принятые по умолчанию, применяются асинхронно. При этом некоторые пользователи будут регистрироваться на основании кэшированных данных и не получат обновленные параметры групповой политики
Предположим, что в параметры политики пользователя были внесены изменения.
Для проверки изменений можно запустить команду gpupdate /target:user /logoff. Эта команда выполняет обновление пользовательской части объекта групповой политики и автоматически завершает сеанс работы пользователя после окончания обновления. Как только пользователь зарегистрируется в системе повторно, он заметит внесенные изменения.
Вы можете задать вопрос по статье специалисту.
🇸🇭 Использование GPUpdate для обновления параметров групповой политики
После изменения любого параметра групповой политики с помощью локального редактора объекта групповой политики (gpedit.msc) или редактора политики домена (gpmc.msc) новый параметр политики не сразу применяется к пользователю / компьютеру.
Вы можете подождать автоматического обновления объекта групповой политики (до 90 минут) или вы можете обновить и применить политики вручную с помощью команды GPUpdate.
Команда GPUpdate используется для принудительного обновления параметров политики компьютера и / или группы пользователей.
Заметка. Команда secedit/refreshpolicy использовалась в Windows 2000 для ручного обновления групповых политик. В следующих версиях Windows она была заменена утилитой GPUpdate.
Полный синтаксис инструментов gpupdate выглядит следующим образом:
Когда вы запускаете команду gpupdate без параметров, применяются только новые и измененные параметры политики пользователя и компьютера.
Computer Policy update has completed successfully.
User Policy update has completed successfully.
Обновлять политики пользователей или компьютеров можно только с помощью параметра /target. Например,
Для принудительного обновления параметров групповой политики вы можете использовать команду GPUpdate /force.
В чем разница между GPUpdate и GPUpdate / force?
Команда gpupdate применяет только измененные политики, а команда GPUpdate / force повторно применяет все клиентские политики – как новые, так и старые (независимо от того, были ли они изменены).
В большинстве случаев вам нужно использовать gpupdate для обновления политик на компьютере.
В больших доменах Active Directory частое использование параметра / force при обновлении объектов групповой политики создает большую нагрузку на контроллеры домена (поскольку компьютеры повторно запрашивают все политики, нацеленные на них или пользователей).
Как мы уже говорили ранее, групповые политики обновляются автоматически каждые 90 минут или во время запуска компьютера.
Поэтому в большинстве случаев не следует использовать команду gpupdate / force (особенно в различных сценариях) из-за высокой нагрузки на клиентские компьютеры и контроллеры домена.
Вы можете добавить задержку (до 600 секунд) перед обновлением политик с помощью параметра / wait:
Поскольку некоторые пользовательские политики не могут быть обновлены в фоновом режиме, а только при входе пользователя в систему (установка программ, перенаправление папок и т. д.), вы можете выйти из системы для текущего пользователя с помощью команды:
Некоторые параметры политики компьютера могут применяться только при запуске, поэтому вы можете запустить перезагрузку компьютера с помощью параметра /Boot:
Параметр /Sync указывает, что следующее приложение политики должно выполняться синхронно.
Активное применение политики происходит, когда компьютер перезагружается или когда пользователь входит в систему.
Командлет Invoke-GPUpdate был добавлен в PowerShell 3.0, который можно использовать для обновления политик на удаленных компьютерах.
Например, следующая команда запустит обновление удаленной групповой политики на компьютере ПК1:
Вы можете принудительно обновить политику на всех компьютерах в указанном подразделении Active Directory, используя команды:
Обновление групповой политики в Windows
Компьютеры будут обновлять групповую политику в фоновом режиме каждые 90 минут, кроме того, групповая политика обновляется при запуске компьютера. Иногда вы вносите изменения или создаете новые объекты групповой политики, и вам нужно, чтобы изменения вступили в силу немедленно.
- Существует 3 способа обновить групповую политику:
Способ 1 Обновление групповой политики с помощью команды gpupdate /force
Шаг 1: Запустите окно командной строки
Windows 7
Windows 10
Щелкните правой кнопкой мыши кнопку «Пуск» Нажмите на командную строку(Admin), чтобы открыть окно CMD.
Шаг 2: Запустите команду gpupdate /force 
Использование команды PsExec для обновления групповой политики удаленных компьютеров PsExec
Теперь, если у вас есть куча компьютеров, которые нуждаются в обновлении, было бы сложно войти в каждый из них и запустить эту команду. Для её запуска на удаленном компьютере вы можете использовать команду PsExec из набора инструментов Sysinternals. Вот пример использования PsExec для удаленного обновления групповой политики
Просто замените Computername на фактическое имя хоста компьютера
Чтобы выполнить GPUpdate.exe на группе компьютеров, указанных в текстовом файле, используйте команду PSExec.exe:
PSExec.exe @Computers.TXT GPUpdate.exe /force
Шаг 3: Перезагрузите компьютер
В окне командной строки введите gpupdate /force и нажмите клавишу Enter на клавиатуре. Строка «Обновление политики …» должна появиться в окне командной строки ниже, где вы только что набрали.
После завершения обновления вам будет предложено либо выйти из системы, либо перезагрузить компьютер. Нажмите N,чтобы отклонить эти запросы, а затем перезагрузите компьютер вручную. Иногда вам не будет предложено перезагрузить компьютер или выйти из системы после обновления. Тем не менее, вам все равно следует перезагрузить компьютер, если ИТ-специалист не примет иного решения.
Способ 2. Использование консоли управления групповой политикой
В Windows Server 2012 и более поздних версиях теперь можно принудительно обновить групповую политику на удаленных компьютерах из консоли управления групповой политикой. Этот метод очень прост и позволяет запускать обновление для одного подразделения или всех подразделений.
Шаг 1. Откройте консоль управления групповыми политиками.
Шаг 2: Щелкните правой кнопкой мыши, чтобы обновить
Вы можете обновить отдельное подразделение или родительское подразделение, и оно обновит все подчиненные подразделения.
Я собираюсь обновить свой родительский OU «ADPRO Computers», в этом OU есть несколько подразделений, разбитых на отделы. Это запустит обновление групповой политики на всех компьютерах.
Способ 3: использование Powershell Invoke-GPUpdate
Вам потребуется установленный Powershell, а также консоль управления групповыми политиками (GPMC).
Единственным недостатком использования этой команды является то, что клиенты получат всплывающее окно CMD, как показано ниже. Отображается только около 3 секунд, затем закрывается.
Если вы хотите использовать команду PowerShell для принудительного обновления на всех компьютерах, вы можете использовать эти команды:
Вышеприведенные команды будут извлекать каждый компьютер из домена, помещать их в переменную и запускать команды для каждого объекта в переменной
Команда GPUPDATE: обновление групповых политик Windows
Команда GPUPDATE используется для обновления групповых политик пользователя и/или компьютера в операционных системах Windows.
Синтаксис команды gpupdate выглядит следующим образом:
GPUPDATE [/Target:
Команда имеет следующие параметры:
/Target: — обновление параметров политики только пользователя ( User ) или только компьютера ( Computer ). Если не указано, обновляются параметры обеих политик;
/Force — применение всех параметров политики. Если не указано, применяются только изменившиеся параметры политики;
/Wait:значение — время ожидания (в секундах) завершения обработки политики. По умолчанию — ожидание 600 секунд. Значение ‘0’ — без ожидания. Значение ‘-1’ — ожидание не ограничено. В случае превышения времени ожидания вновь активизируется окно командной строки, но обработка политики продолжается;
/Logoff — выполнение выхода после обновления параметров групповой политики. Требуется для тех клиентских расширений групповой политики, которые не обрабатывают политику в фоновом режиме, а обрабатывают ее только при входе пользователя, таких, например, как установка программ для пользователя или перенаправление папок. Этот параметр не оказывает влияния, если не вызываются расширения, требующие выхода пользователя;
/Boot — выполнение перезагрузки после применения параметров групповой политики. Требуется для тех клиентских расширений групповой политики, которые не обрабатывают политику в фоновом режиме, а обрабатывают ее только при запуске, таких, например, как установка программ для компьютера. Этот параметр не оказывает влияния, если не вызываются расширения, требующие перезапуска системы;
Примеры использования команды gpupdate :
Обновить групповые политики компьютера и пользователя с применением только изменившихся политик:
Выполнить обновление всех групповых политик:
Выполнить обновление групповых политик с перезагрузкой компьютера:
Обновить только групповые политики пользователя:
Способы обновления групповых политик Windows на компьютерах домена
Интервал обновления параметров групповых политик
Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).
Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:
GPUpdate.exe – команда обновления параметров групповых политики
Простая команда gpudate применяет только новые/измененные параметры GPO.
Если все OK, должны появится следующие строки:
Можно отдельно обновить параметры GPO из пользовательской секции:
или только политики компьютера:
gpupdate /target:computer /force
Если некоторые политики нельзя обновить в фоновом режиме, gpudate может выполнить logoff текущего пользователя:
gpupdate /target:user /logoff
Или выполнить перезагрузку компьютера (если изменения в GPO могут применится только во время загрузки Windows):
Принудительно обновление политики из консоли Group Policy Management Console (GPMC)
В консоли GPMC.msc (Group Policy Management Console), начиная с Windows Server 2012, появилась возможность удаленного обновления настроек групповых политик на компьютерах домена.
Теперь после изменения настроек или создания и прилинковки новой GPO, вам достаточно щелкнуть правой клавишей по нужному Organizational Unit (OU) в консоли GPMC и выбрать в контекстном меню пункт Group Policy Update. В новом окне появится количество компьютеров, на которых будет выполнено обновление GPO. Подтвердите принудительное обновление политик, нажав Yes.
Затем GPO по очереди обновяться на каждом компьютере в OU и вы получите результат со статусом обновления политик на компьютерах (Succeeded/Failed).
Данная команда удаленно создает на компьютерах задание планировщика с командой GPUpdate.exe /force для каждого залогиненого пользователя. Задание запускается через случайный промежуток времени (до 10 минут) для уменьшения нагрузки на сеть.
Если компьютер выключен, или доступ к нему блокируется файерволом напротив имени такого компьютера появится надпись “The remote procedure call was cancelled”.
Invoke-GPUpdate – обновление GPO из Powershell
Также вы можете вызвать удаленное обновление групповых политик на компьютерах с помощью PowerShell комнадлета Invoke-GPUpdate (входит в RSAT). Например, чтобы удаленно обновить пользовательские политики на определенном компьютере, можно использовать команду:
При запуске командлета Invoke-GPUpdate без параметров, он обновляет настройки GPO на текущем компьютере (аналог gpudate.exe).
В сочетании с командлетом Get-ADComputer вы можете обновить групповые политики на всех компьютерах в определенном OU:
или на всех компьютерах, которые попадают под определенный критерий (например, на всех Windows Server в домене):
