TechNet
Exportieren (0) Drucken
Alle erweitern
Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Erzwingen eines Remoteupdates von Gruppenrichtlinien (GPUpdate)

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Die Gruppenrichtlinie ist eine komplizierte Infrastruktur, mit der Sie Richtlinieneinstellungen zur Remotekonfiguration eines Computers und seiner Benutzerfreundlichkeit innerhalb einer Domäne anwenden können. Wenn die Einstellungen des Richtlinienergebnissatzes (Resultant Set Of Policy, RSOP) Ihren Erwartungen nicht entsprechen, sollten Sie zunächst prüfen, ob der Computer oder Benutzer die aktuellen Richtlinieneinstellungen erhalten hat. In früheren Versionen von Windows musste der Benutzer zu diesem Zweck GPUpdate.exe auf seinem Computer ausführen.

Mit Windows Server 2012 und Windows 8 können Sie Gruppenrichtlinieneinstellungen für alle Computer in einer Organisationseinheit (OE) remote von einem zentralen Ort aus mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) aktualisieren. Alternativ können Sie mit dem Invoke-GPUpdate-Windows PowerShell-Cmdlet die Gruppenrichtlinie für eine Gruppe von Computern aktualisieren, einschließlich derer außerhalb der OE-Struktur – wenn die Computer sich beispielsweise in den Standardcomputercontainern befinden.

Beim Remoteupdate der Gruppenrichtlinie werden alle Gruppenrichtlinieneinstellungen aktualisiert, einschließlich der für eine Gruppe von Remotecomputern festgelegten Sicherheitseinstellungen. Dazu wird eine Funktionalität verwendet, die dem Kontextmenü einer Organisationseinheit in der Gruppenrichtlinien-Verwaltungskonsole (GPMC) hinzugefügt wurde. Wenn Sie eine Organisationseinheit für das Remoteupdate der Gruppenrichtlinieneinstellungen auf allen Computern dieser Organisationseinheit auswählen, laufen folgende Vorgänge ab:

  1. Eine Active Directory-Abfrage gibt eine Liste aller Computer der Organisationseinheit zurück.

  2. Für jeden Computer der ausgewählten Organisationseinheit ruft ein WMI-Aufruf die Liste der angemeldeten Benutzer ab.

  3. Eine remote geplante Aufgabe wird erstellt, um GPUpdate.exe /force für jeden registrierten Benutzer und einmal zur Aktualisierung der Gruppenrichtlinie des Computers auszuführen. Die Aufgabe wird zur Ausführung mit einer zufälligen Verzögerung von bis zu 10 Minuten geplant, um die Last des Netzwerkdatenverkehrs zu verringern. Diese zufällige Verzögerung kann nicht konfiguriert werden, wenn Sie die GPMC verwenden. Hingegen können Sie die zufällige Verzögerung für die geplante Aufgabe konfigurieren oder festlegen, dass die geplante Aufgabe bei Verwendung des Invoke-GPUpdate-Cmdlets unverzüglich ausgeführt wird.

In diesem Dokument wird eine Methode zum Erzwingen einer Remoteaktualisierung der Gruppenrichtlinie mithilfe der GPMC auf allen Computern in einer OE und allen OEs innerhalb der ausgewählten OE beschrieben. Eine entsprechende Windows PowerShell-Methode wird auch für jede Prozedur gezeigt.

Inhalt dieses Dokuments

System_CAPS_noteHinweis

Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.

Das Erzwingen eines Remoteupdates der Gruppenrichtlinie ist nur mit der GPMC auf Computern möglich, die der Domäne angehören. Auf den Computern muss Folgendes ausgeführt werden:

  • Windows Server 2012 oder Windows Server 2012 R2

  • Windows 8 oder Windows 8.1 mit Remoteserver-Verwaltungstools für Windows 8

Sie können eine Remoteaktualisierung der Gruppenrichtlinie für jeden Computer planen, auf dem Folgendes ausgeführt wird:

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

  • Windows 8.1

  • Windows 8

  • Windows 7

  • Windows Vista

Um eine Aktualisierung der Gruppenrichtlinie mit der GPMC oder dem Invoke-GPUpdate-Cmdlet für Computer zu planen, die der Domäne angehören, müssen Sie Firewallregeln festlegen, die den eingehenden Netzwerkdatenverkehr an den in der folgenden Tabelle aufgelisteten Ports zulassen.

Serverport

Arten von Netzwerkdatenverkehr

Dynamische TCP RPC-Ports, Planung

(Aufgabenplanungsdienst)

Remoteverwaltung geplanter Aufgaben (RPC)

TCP Port 135, RPCSS

(Remoteprozeduraufruf-Dienst)

Remoteverwaltung geplanter Aufgaben (RPC-EPMAP)

TCP alle Ports, Winmgmt

(Windows-Verwaltungsinstrumentationsdienst)

Windows-Verwaltungsinstrumentation (WMI-in)

In Windows Server 2012 fügte die Gruppenrichtlinie ein Starter-GPO (Group Policy Object, GPO) mit dem Namen Group Policy Remote Update Firewall Ports (Gruppenrichtlinien-Remoteupdate – Firewallports) hinzu. Dieses Starter-Gruppenrichtlinienobjekt enthält Richtlinieneinstellungen zum Konfigurieren der in der oben dargestellten Tabelle angegebenen Firewallregeln. Es ist eine bewährte Methode zum Erstellen eines neuen GPO aus diesem Starter-GPO. Verknüpfen Sie das GPO mit einer höheren Priorität als das Standarddomänen-GPO mit Ihrer Domäne, und konfigurieren Sie damit alle Computer in der Domäne, um eine Remoteaktualisierung der Gruppenrichtlinie zu ermöglichen.

So erstellen Sie ein GPO vom Starter-GPO der Firewallports für das Remoteupdate der Gruppenrichtlinie und verknüpfen es mit der Domäne

  1. Suchen Sie in der GPMC-Konsolenstruktur nach der Domäne, für die Sie alle Computer konfigurieren möchten, um eine Remoteaktualisierung der Gruppenrichtlinie zu ermöglichen.

  2. Klicken Sie mit der rechten Maustaste auf die ausgewählte Domäne, und klicken Sie dann auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen…

  3. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den Namen des neuen Gruppenrichtlinienobjekts in das Feld Name ein.

  4. Wählen Sie aus der Liste Quell-Starter-Gruppenrichtlinienobjekt das Starter-GPO Group Policy Remote Update Firewall Ports aus, mit dem Sie ein neues Gruppenrichtlinienobjekt erstellen möchten, und klicken Sie auf OK.

  5. Klicken Sie im Ergebnisbereich auf die Registerkarte Verknüpfte Gruppenrichtlinienobjekte.

  6. Wählen Sie das GPO aus, das Sie gerade erstellt haben, und klicken Sie auf den Aufwärts-Pfeil, bis das GPO über der Standarddomänenrichtlinie steht. Das neue GPO hat jetzt einen niedrigeren Wert für die Verknüpfungsreihenfolge als die Standarddomänenrichtlinie.

PowerShell-LogoGleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Verwenden Sie das New-GPO-Cmdlet mit dem –StarterGpoName-Parameter, und leiten Sie die Ausgabe an das New-GPLink-Cmdlet.

Verwenden Sie z. B. das folgende Skript, um ein neues GPO namens Configure firewall rules for remote gpupdate (Konfigurieren von Firewallregeln für das Remote-Gruppenrichtlinienupdate) mit dem Starter-GPO Group Policy Remote Update Firewall Ports zu erstellen, und verknüpfen Sie das neue GPO mit der Domäne "Contoso.com":

New-GPO –Name "Configure firewall rules for remote gpupdate" –StarterGpoName "Group Policy Remote Update Firewall Ports" | New-GPLink –target "dc=Contoso,dc=com" –LinkEnabled yes

Weitere Informationen über das New-GPO-Cmdlet und das New-GPLink-Cmdlet finden Sie unter:

Die Ausführung von gpupdate.exe auf mehreren Computern können Sie von der GPMC aus oder mit einer Windows PowerShell-Sitzung unter Verwendung des Invoke-GPUpdate-Cmdlets planen.

So planen Sie die Ausführung einer Gruppenrichtlinienaktualisierung auf allen Computern in einer Organisationseinheit mit der GPMC

  1. Suchen Sie in der Konsolenstruktur der GPMC die OE, in der die Gruppenrichtlinie auf allen Computern aktualisiert werden soll.

    System_CAPS_noteHinweis

    Die Gruppenrichtlinie wird auch für alle Computer aktualisiert, die sich in den OEs befinden, die in der ausgewählten OE enthalten sind.

  2. Klicken Sie mit der rechten Maustaste auf die ausgewählte OE, und klicken Sie anschließend auf Gruppenrichtlinienupdate…

  3. Klicken Sie im Dialogfeld Gruppenrichtlinienupdate erzwingen auf Ja. Diese Vorgehensweise entspricht der Ausführung von GPUpdate.exe /force von der Befehlszeile aus.

  4. Im Fenster Ergebnisse der Gruppenrichtlinien-Remoteaktualisierung wird lediglich der Status der Planung eines Gruppenrichtlinienupdates für jeden Computer in der ausgewählten OE oder einer OE innerhalb der ausgewählten OE angezeigt. Diese Ansicht zeigt nicht an, ob das Gruppenrichtlinienupdate auf den einzelnen Computern erfolgreich war oder fehlgeschlagen ist.

  5. Verwenden Sie den Richtlinienergebnissatz, um den Erfolg der geplanten Gruppenrichtlinienaktualisierung zu ermitteln: Ermitteln des Richtlinienergebnissatzes.

    System_CAPS_noteHinweis

    Planen Sie die Verzögerung des Starts eines Gruppenrichtlinienupdates um bis zu 10 Minuten, wenn Sie die Ergebnisse für jeden Computer überprüfen.

PowerShell-LogoGleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Mit dem Invoke-GPUpdate-Cmdlet können Sie ein Remoteupdate der Gruppenrichtlinie für einen bestimmten Computer planen und dabei alle Optionen des Befehlszeilenhilfsprogramms GPUpdate.exe verwenden. Diese Methode bietet gegenüber der Planung des Updates über die GPMC mehr Flexibilität bei der Festlegung der Gruppe von Computern, auf die das Update angewendet werden soll. Darüber hinaus haben Sie die Möglichkeit, mit dem –RandomDelayInMinutes-Parameter festzulegen, wie lange gewartet wird, bevor ein Gruppenrichtlinienupdate durchgeführt wird. Wenn der Parameter auf 0 (null) gesetzt ist, startet die geplante Aufgabe des Gruppenrichtlinienupdates unverzüglich. Weitere Informationen finden Sie unter Invoke-GPUpdate.

Sie können die geänderten Gruppenrichtlinieneinstellungen für den Computer, bei dem Sie angemeldet sind, durch Ausführen des Invoke-GPUpdate-Cmdlets aktualisieren, ohne jegliche Parameter einzuschließen, z. B.:

Invoke-GPUpdate

Für den Container Computer können Sie mit der GPMC-Funktion Gruppenrichtlinienupdate… kein Gruppenrichtlinienupdate planen. Der Container Computer ist ein Standardverzeichnis für Computerkonten. Er ist nicht als OE implementiert, die von der GPMC verwaltetet werden kann. Doch durch Kombinieren der Verwendung des Windows PowerShell-Cmdlets Get-ADComputer mit dem Invoke-GPUpdate-Cmdlet können Sie ein Remoteupdate für alle Computer im Container Computer planen. Weitere Informationen zu den verfügbaren Windows PowerShell-Cmdlets für Active Directory finden Sie unter AD DS-Verwaltungs-Cmdlets in Windows PowerShell.

Rufen Sie zunächst die Liste der Computer im Container Computers mit dem Get-ADComputer-Cmdlet ab. Geben Sie danach die Namen der zurückgegebenen Computer dem Invoke-GPUpdate-Cmdlet an. Um beispielsweise ein Update aller Gruppenrichtlinieneinstellungen für alle Computer im Container Computers der Domäne "Contoso.com" zu erzwingen, verwenden Sie folgendes Skript:

Get-ADComputer –filter * -Searchbase "cn=computers, dc=Contoso,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}

Sie können ein Gruppenrichtlinienupdate aller Gruppenrichtlinieneinstellungen für alle Computer in einer einzelnen OE erzwingen, indem Sie das Get-ADComputer-Cmdlet mit dem Invoke-GPUpdate-Cmdlet kombinieren. Um beispielsweise ein Update aller Gruppenrichtlinieneinstellungen für alle Computer in der OE Accounting der Domäne "Contoso.com" zu erzwingen, verwenden Sie folgendes Skript:

Get-ADComputer –filter * -Searchbase "ou=Accounting, dc=Contoso,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}

Sie können ein sofortiges Gruppenrichtlinienupdate aller Gruppenrichtlinieneinstellungen für alle Computer in einer einzelnen OE erzwingen, indem Sie das Get-ADComputer-Cmdlet mit dem Invoke-GPUpdate-Cmdlet kombinieren und –-RandomDelayInMinutes auf 0 festlegen. Um beispielsweise ein Update aller Gruppenrichtlinieneinstellungen für alle Computer in der OE Accounting der Domäne "Contoso.com" zu erzwingen, verwenden Sie folgendes Skript:

Get-ADComputer –filter * -Searchbase "ou=Accounting, dc=Contoso,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name –force –-RandomDelayInMinutes 0}
Anzeigen:
© 2016 Microsoft