Tags: Remote-Verwaltung, Windows 8, Gruppenrichtlinien
Auf einem Windows-Rechner sind die Client-side Extensions zuständig, um das Active Directory auf veränderte Gruppenrichtlinien zu prüfen und sie dann lokal durchzusetzen. Dieser Vorgang erfolgt nach dem Pull-Prinzip in vorgegebenen Intervallen (Standard: 90 Minuten). Möchte man einen Refresh ohne Verzug anstoßen, dann kann man dies lokal auf den Zielrechnern mittels gpupdate tun. Seit Windows 8 und Server 2012 bietet sich darüber hinaus die Möglichkeit, Gruppenrichtlinien remote zu aktualisieren.
Der lokale Aufruf von gpupdate eignet sich primär dazu, auf einzelnen Rechnern zu testen, wie sich die Änderungen an einem GPO auswirken. Wer jedoch eine modifizierte Gruppenrichtlinie auf vielen Rechnern sofort umsetzen möchte, musste bisher auf Scripts oder Tools von Drittherstellern ausweichen, beispielsweise auf Remote GPO Refresh.
Refresh-Befehl in der Gruppenrichtlinienverwaltung
Die Gruppenrichtlinienverwaltung von Windows Server 2012 bzw. in RSAT für Windows 8 enthält nun eine Option zur Remote-Aktualisierung von GPOs auf allen Computern eines AD-Containers. Zu diesem Zweck öffnet man in der Baumstruktur das Kontextmenü einer OU und führt dort den Befehl Gruppenrichtlinienupdate aus.
Er bewirkt, dass in der Aufgabenplanung aller Rechner in dieser Organisationseinheit eine Task für den Refresh der Gruppenrichtlinie eingerichtet wird. Die Aufgaben werden nach Zufallsprinzip über einen Zeitraum von 10 Minuten verteilt, um ein gleichzeitiges Update vieler Clients zu vermeiden.
Firewall-Konfiguration für WMI und RPC
Die Planung einer zeitgesteuerten Task auf einem entfernten Rechner erfolgt über WMI und Remote Procedure Calls (RPCs), so dass sichergestellt sein muss, dass die Firewall auf den Zielrechnern ein solches Management zulässt. Sonst muss mit der berüchtigten Fehlermeldung "Der RPC-Server ist nicht verfügbar" gerechnet werden.
Powershell-Cmdlet Invoke-GPUpdate als Alternative
Wie bei fast allen Administrationsaufgaben unter Windows 8 und Server 2012 gibt es als Alternative zu den GUI-Tools stets eine Powershell-Option. Für den GPO-Refresh bringt die neue Version des Betriebssystems das Cmdlet Invoke-GPUpdate mit:
Invoke-GPUpdate -Computer <ComputerName>
Wie in den meisten Fällen bietet die PowerShell mehrere Möglichkeiten, den Vorgang durch zusätzliche Schalter genauer zu steuern. So kann man wie bei gpupdate nur dir GPOs für Computer oder User aktualisieren:
Invoke-GPUpdate -Computer <ComputerName> -Target "Computer"
Weitere Optionen sind das ebenfalls von gpupdate bekannte Force. Falls für den Refresh ein Ausloggen des aktuellen Benutzer oder ein Neustart erforderlich ist, kann man dies über die Schalter LogOff bzw. Boot erreichen.
Invoke-GPUpdate lässt sich nicht wie der neue Befehl in der Gruppenrichtlinienverwaltung bloß auf bestimmte AD-Container anwenden lässt. Vielmehr kann ihm eine mehr oder weniger beliebige Liste von Computern übergeben werden, die zuvor über diverse Filter und Kriterien aufbereitet wurde.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- PowerShell-Remoting: WinRM über GPOs konfigurieren und Firewall-Ausnahmen einrichten
- Remotedesktop in Windows 7/8.x und Server 2012 (R2) mit GPO aktivieren
- Mobile Collaboration: Good unterstützt Windows Phone 8
- GPOs für Windows 8 und Server 2012 unter Windows 7 verwalten
- Mit Windows 8 einer Domäne beitreten
Weitere Links