(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Erzwingen eines Remoteupdates von Gruppenrichtlinien (GPUpdate)

Letzte Aktualisierung: Juli 2012

Betrifft: Windows Server 2012

Die Gruppenrichtlinie ist eine komplizierte Struktur, die das Anwenden von Richtlinieneinstellungen zur Remotekonfiguration eines Computers und seiner Benutzerfreundlichkeit innerhalb einer Domäne ermöglicht. Wenn die Einstellungen des Richtlinienergebnissatzes (Resultant Set Of Policy, RSOP) Ihren Erwartungen nicht entsprechen, sollten Sie zunächst prüfen, ob der Computer und der Benutzer über die für sie bestimmten aktuellen RSOP-Einstellungen verfügen. In früheren Versionen von Windows mussten die Benutzer zu diesem Zweck GPUpdate.exe auf ihrem Computer ausführen.

Mit der Einführung von Windows Server® 2012 und Windows® 8 können Sie jetzt Gruppenrichtlinieneinstellungen für alle Computer in einer Organisationseinheit remote von einem zentralen Ort aus mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) aktualisieren. Alternativ können Sie das Invoke-GPUpdate-Cmdlet für das Update der Gruppenrichtlinie eines Satzes Computer verwenden, der nicht auf die Organisationseinheit beschränkt ist, beispielsweise wenn die Computer sich in den Standardcomputercontainern befinden.

Beim Remoteupdate der Gruppenrichtlinie werden alle Gruppenrichtlinieneinstellungen aktualisiert, einschließlich der für eine Gruppe von Remotecomputern festgelegten Sicherheitseinstellungen. Dazu wird eine Funktionalität verwendet, die dem Kontextmenü einer Organisationseinheit in der Gruppenrichtlinien-Verwaltungskonsole (GPMC) hinzugefügt wurde. Wenn Sie eine Organisationseinheit für das Remoteupdate der Gruppenrichtlinieneinstellungen auf allen Computern dieser Organisationseinheit auswählen, laufen folgende Vorgänge ab:

  1. Eine Active Directory-Abfrage gibt eine Liste aller Computer der Organisationseinheit zurück.

  2. Für jeden Computer der ausgewählten Organisationseinheit ruft ein WMI-Aufruf die Liste der angemeldeten Benutzer ab.

  3. Eine remote geplante Aufgabe wird erstellt, um Gpupdate.exe /force für jeden angemeldeten Benutzer und einmal für das Update der Gruppenrichtlinie des Computers auszuführen. Die geplante Aufgabe wird zur Ausführung mit einer zufälligen Verzögerung von bis zu 10 Minuten geplant, um die Last des Netzwerkdatenverkehrs zu verringern. Diese zufällige Verzögerung kann bei Verwendung der GPMC nicht konfiguriert werden. Hingegen können Sie die zufällige Verzögerung für die geplante Aufgabe konfigurieren oder festlegen, dass die geplante Aufgabe bei Verwendung des Invoke-GPUpdate-Cmdlets unverzüglich ausgeführt wird.

In diesem Dokument wird eine Methode zum Erzwingen eines Remoteupdates der Gruppenrichtlinie mithilfe der GPMC auf allen Computern einer Organisationseinheit oder allen OEs innerhalb der ausgewählten OE beschrieben. Im Anschluss an das GPMC-Verfahren wird eine entsprechende Windows PowerShell-Methode vorgestellt.

Inhalt dieses Dokuments

noteHinweis
Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.

Das Erzwingen eines Remoteupdates der Gruppenrichtlinie ist nur mit der GPMC auf Computern möglich, die der Domäne angehören. Auf den Computer muss Folgendes ausgeführt werden:

  • Windows Server 2012

  • Windows 8 mit Remoteserver-Verwaltungstools für Windows 8.

Sie können ein Remoteupdate der Gruppenrichtlinie für jeden Computer planen, auf dem Folgendes ausgeführt wird:

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

  • Windows 8

  • Windows 7

  • Windows Vista

Um ein Gruppenrichtlinienupdate mit der GPMC oder dem Cmdlet "Invoke-GPUpdate" auf Computern, die der Domäne angehören, erfolgreich zu planen, müssen Sie Firewallregeln für den eingehenden Netzwerkdatenverkehr an Ports festlegen, die für das Remoteupdate verwendet werden.

Um ein Gruppenrichtlinienupdate mit der GPMC oder dem Cmdlet Invoke-GPUpdate über die Firewall für Computer zu planen, die der Domäne angehören, müssen Sie Firewallregeln festlegen, die den eingehenden Netzwerkdatenverkehr an den Ports in der folgenden Tabelle zulassen.

 

Serverport Arten von Netzwerkdatenverkehr

Dynamische TCP RPC-Ports, Planung (Aufgabenplanungsdienst)

Remoteverwaltung geplanter Aufgaben (RPC)

TCP-Port 135, RPCSS (Remoteprozeduraufruf-Service)

Remoteverwaltung geplanter Aufgaben (RPC-EPMAP)

TCP alle Ports, Winmgmt (Windows-Verwaltungsinstrumentationsdienst)

Windows-Verwaltungsinstrumentation (WMI-in)

In Windows Server 2012 fügt die Gruppenrichtlinie ein neues Starter-Gruppenrichtlinienobjekt (Group Policy Object, GPO) mit dem Namen Gruppenrichtlinien-Remoteaktualisierung – Firewallports hinzu. Dieses Starter-GPO enthält Gruppenrichtlinieneinstellungen für die Konfiguration der Firewallregeln aus der vorangehenden Tabelle, damit eingehender Netzwerkdatenverkehr an den Ports zugelassen wird und das Remoteupdate der Gruppenrichtlinie ausgeführt werden kann. Eine bewährte Vorgehensweise besteht darin, ein neues GPO von diesem Starter-GPO zu erstellen und das GPO mit Ihrer Domäne zu verknüpfen. Es sollte gegenüber dem Standarddomänen-GPO eine höhere Priorität haben, damit alle Computer in der Domäne für das Remoteupdate der Gruppenrichtlinie konfiguriert werden.

Führen Sie diesen Schritt mit Windows PowerShell aus.

  1. Suchen Sie in der GPMC-Konsolenstruktur nach der Domäne, deren Computer Sie für das Remoteupdate der Gruppenrichtlinie aktivieren möchten.

  2. Klicken Sie mit der rechten Maustaste auf die ausgewählte Domäne, und klicken Sie dann auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen…

  3. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den Namen des neuen Gruppenrichtlinienobjekts in das Feld Name ein.

  4. Wählen Sie das Starter-GPO Gruppenrichtlinien-Remoteaktualisierung – Firewallports aus der Liste Quell-Starter-Gruppenrichtlinienobjekt aus, um ein neues Gruppenrichtlinienobjekt zu erstellen.

  5. Klicken Sie auf OK.

  6. Klicken Sie im Ergebnisbereich auf die Registerkarte Verknüpfte Gruppenrichtlinienobjekte.

  7. Wählen Sie das gerade von Ihnen erstellte GPO aus. Klicken Sie auf den Nach-oben-Pfeil, bis das von Ihnen erstellte GPO in der Verknüpfungsreihenfolge über der Standarddomänenrichtlinie steht. Das neue GPO hat jetzt einen niedrigeren Wert für die Verknüpfungsreihenfolge als die Standarddomänenrichtlinie.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Mit dem New-GPO-Cmdlet und dem –StarterGpoName-Parameter können Sie ein neues GPO erstellen. Anschließend können Sie die Ausgabe des New-GPO-Cmdlets in das New-GPLink-Cmdlet überführen.

Um beispielsweise ein neues GPO mit dem Namen Configure firewall rules for remote gpupdate zu erstellen, indem Sie das Starter-GPO Gruppenrichtlinien-Remoteaktualisierung – Firewallports verwenden und das GPO Configure firewall rules for remote gpupdate mit der Domäne "Contoso.com" verknüpfen, geben Sie Folgendes ein:

New-GPO –Name "Configure firewall rules for remote gpupdate" –StarterGpoName "Group Policy Remote Update Firewall Ports" | New-GPLink –target "dc=Contoso,dc=com" –LinkEnabled yes

Weitere Informationen über das New-GPO-Cmdlet und das New-GPLink-Cmdlet finden Sie unter:

Die Ausführung von gpupdate.exe auf mehreren Computern können Sie entweder von der GPMC aus oder mit einer Windows PowerShell-Sitzung unter Verwendung des neuen Invoke-GPUpdate-Cmdlets planen. Die hier vorgestellte Vorgehensweise beschreibt beide Methoden des Erzwingens eines Remoteupdates der Gruppenrichtlinie.

Führen Sie diesen Schritt mit Windows PowerShell aus.

  1. Suchen Sie in der Konsolenstruktur der GPMC die OE, in der die Gruppenrichtlinien auf allen Computern aktualisiert werden sollen.

    noteHinweis
    Die Gruppenrichtlinien werden auch für alle Computer aktualisiert, die sich in den OEs innerhalb der ausgewählten OE befinden.

  2. Klicken Sie mit der rechten Maustaste auf die ausgewählte OE, und klicken Sie anschließend auf Gruppenrichtlinienupdate…

  3. Klicken Sie im Dialogfeld Gruppenrichtlinienupdate erzwingen auf Ja. Diese Vorgehensweise entspricht der Ausführung von Gpupdate.exe /force von der Befehlszeile aus.

  4. Im Fenster Ergebnisse der Gruppenrichtlinien-Remoteaktualisierung wird lediglich der Status der Planung eines Gruppenrichtlinienupdates für jeden Computer in der ausgewählten OE oder einer OE innerhalb der ausgewählten OE angezeigt. Diese Ansicht zeigt nicht an, ob das Gruppenrichtlinienupdate auf den einzelnen Computern erfolgreich war oder fehlgeschlagen ist.

  5. Verwenden Sie den Richtlinienergebnissatz, um den Erfolg der geplanten Gruppenrichtlinienaktualisierung zu ermitteln: Ermitteln des Richtlinienergebnissatzes.

    noteHinweis
    Berücksichtigen Sie die Verzögerung des Starts eines Gruppenrichtlinienupdates um bis zu 10 Minuten, wenn Sie die Ergebnisse des Updates für jeden Computer prüfen.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Mit dem Invoke-GPUpdate-Cmdlet können Sie ein Remoteupdate der Gruppenrichtlinie für einen bestimmten Computer planen und dabei alle Optionen des Befehlszeilenhilfsprogramms gpupdate.exe verwenden. Diese Methode bietet gegenüber der Planung des Updates über die GPMC mehr Flexibilität bei der Festlegung der Gruppe von Computern, auf die das Update angewendet werden soll. Darüber hinaus haben Sie die Möglichkeit, mit dem –RandomDelayInMinutes-Parameter festzulegen, wie lange gewartet wird, bevor ein Gruppenrichtlinienupdate durchgeführt wird. Wenn der Parameter auf 0 (null) gesetzt ist, startet die geplante Aufgabe des Gruppenrichtlinienupdates unverzüglich. Weitere Informationen zum Invoke-GPUpdate-Cmdlet finden Sie unter Invoke-GPUpdate.

Sie können die geänderten Gruppenrichtlinieneinstellungen für den Computer, an dem Sie angemeldet sind, durch Ausführen des Invoke-GPUpdate-Cmdlets aktualisieren, ohne irgendwelche Parameter einzuschließen. Beispiel:

Invoke-GPUpdate

Für den Container Computer können Sie mit der GPMC-Funktion Gruppenrichtlinienupdate… kein Gruppenrichtlinienupdate planen. Der Container Computer ist ein Standardverzeichnis für Computerkonten. Er ist nicht als OE implementiert, die von der GPMC verwaltetet werden kann. Durch Kombinieren der Verwendung des Active Directory-Cmdlets Get-ADComputer mit dem Invoke-GPUpdate-Cmdlet können Sie ein Remoteupdate für alle Computer im Container Computer planen. Weitere Informationen zu den verfügbaren Active Directory-Cmdlets für Windows Server 2012 finden Sie unter AD DS-Verwaltungs-Cmdlets in Windows PowerShell.

Rufen Sie zunächst die Liste der Computer im Container Computer mit dem Get-ADComputer-Cmdlet ab. Geben Sie danach die Namen der zurückgegebenen Computer dem Invoke-GPUpdate-Cmdlet an.

Um beispielsweise ein Update aller Gruppenrichtlinieneinstellungen für alle Computer im Container Computer der Domäne "Contoso.com" zu erzwingen, geben Sie Folgendes ein:

Get-ADComputer –filter * -Searchbase "cn=computers, dc=Contoso,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}

Sie können ein Gruppenrichtlinienupdate aller Gruppenrichtlinieneinstellungen für alle Computer in einer einzelnen OE erzwingen, indem Sie das Get-ADComputer-Cmdlet mit dem Invoke-GPUpdate-Cmdlet kombinieren. Um beispielsweise ein Update aller Gruppenrichtlinieneinstellungen für alle Computer in der OE Accounting der Domäne "Contoso.com" zu erzwingen, geben Sie Folgendes ein:

Get-ADComputer –filter * -Searchbase "ou=Accounting, dc=Contoso,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}

Sie können ein sofortiges Gruppenrichtlinienupdate aller Gruppenrichtlinieneinstellungen für alle Computer in einer einzelnen OE erzwingen, indem Sie das Get-ADComputer-Cmdlet mit dem Invoke-GPUpdate-Cmdlet kombinieren und –-RandomDelayInMinutes auf 0 festlegen. Um beispielsweise ein Update aller Gruppenrichtlinieneinstellungen für alle Computer in der OE Accounting der Domäne "Contoso.com" zu erzwingen, geben Sie Folgendes ein:

Get-ADComputer –filter * -Searchbase "ou=Accounting, dc=Contoso,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name –force –-RandomDelayInMinutes 0}

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.