Group Policy remote aktualisieren

    Auf einem Windows-Rechner sind die Client-side Extensions zuständig, um das Active Directory auf veränderte Gruppenrichtlinien zu prüfen und sie dann lokal durchzusetzen. Dieser Vorgang erfolgt nach dem Pull-Prinzip in vorgegebenen Intervallen (Standard: 90 Minuten). Möchte man einen Refresh ohne Verzug anstoßen, dann kann man dies lokal auf den Zielrechnern mittels gpupdate tun. Seit Windows 8 und Server 2012 bietet sich darüber hinaus die Möglichkeit, Gruppenrichtlinien remote zu aktualisieren.

    Der lokale Aufruf von gpupdate eignet sich primär dazu, auf einzelnen Rechnern zu testen, wie sich die Änderungen an einem GPO auswirken. Wer jedoch eine modifizierte Gruppenrichtlinie auf vielen Rechnern sofort umsetzen möchte, musste bisher auf Scripts oder Tools von Drittherstellern ausweichen, beispielsweise auf Remote GPO Refresh.

    Refresh-Befehl in der Gruppenrichtlinienverwaltung

    Die Gruppenrichtlinienverwaltung von Windows Server 2012 bzw. in RSAT für Windows 8 enthält nun eine Option zur Remote-Aktualisierung von GPOs auf allen Computern eines AD-Containers. Zu diesem Zweck öffnet man in der Baumstruktur das Kontextmenü einer OU und führt dort den Befehl Gruppenrichtlinienupdate aus.

    Die Gruppenrichtlinienverwaltung unter Windows Server 8 bietet die Option für den GPO-Refresh auf entfernten PCs.

    Er bewirkt, dass in der Aufgabenplanung aller Rechner in dieser Organisationseinheit eine Task für den Refresh der Gruppenrichtlinie eingerichtet wird. Die Aufgaben werden nach Zufallsprinzip über einen Zeitraum von 10 Minuten verteilt, um ein gleichzeitiges Update vieler Clients zu vermeiden.

    Firewall-Konfiguration für WMI und RPC

    Die Planung einer zeitgesteuerten Task auf einem entfernten Rechner erfolgt über WMI und Remote Procedure Calls (RPCs), so dass sichergestellt sein muss, dass die Firewall auf den Zielrechnern ein solches Management zulässt. Sonst muss mit der berüchtigten Fehlermeldung "Der RPC-Server ist nicht verfügbar" gerechnet werden.

    Powershell-Cmdlet Invoke-GPUpdate als Alternative

    Wie bei fast allen Administrationsaufgaben unter Windows 8 und Server 2012 gibt es als Alternative zu den GUI-Tools stets eine Powershell-Option. Für den GPO-Refresh bringt die neue Version des Betriebssystems das Cmdlet Invoke-GPUpdate mit. Wie in den meisten Fällen bietet die PowerShell nicht nur mehr Möglichkeiten, den Vorgang durch zusätzliche Schalter genauer zu steuern, sondern ist insgesamt flexibler.

    Dazu gehört, dass sich Invoke-GPUpdate nicht wie der neue Befehl in der Gruppenrichtlinienverwaltung bloß auf bestimmte AD-Container anwenden lässt. Vielmehr kann ihm eine mehr oder weniger beliebige Liste von Computern übergeben werden, die zuvor über diverse Filter und Kriterien aufbereitet wurde.

    Keine Kommentare