Tags: Kommandozeile, Gruppenrichtlinien
Die Gruppenrichtlinien sind für die meisten Administratoren ein unabkömmliches Werkzeug zur zentralen Konfiguration von Clients und Servern. Die auf den DCs hinterlegten Regeln werden nach dem Pull-Prinzip in regelmäßigen Intervallen von Windows-PCs abgerufen. Will man diesen Zeitraum nicht abwarten, dann kann man sie mit gpupdate.exe aktualisieren.
Auf einem Windows-Rechner sind die so genannten Client-side Extensions dafür zuständig, das Active Directory auf Änderungen abzufragen, die den jeweiligen Rechner betreffen, und sie lokal umzusetzen. Dieser Vorgang erfolgt entweder im Vordergrund oder über einen über Prozess, der im Hintergrund läuft. Der Foreground Refresh lädt beim Booten des Systems die unter Computerkonfiguration definierten Regeln. Die benutzerspezifischen Richtlinien aktualisiert er anschließend während des Logons.
Update-Intervall ändern
Danach aktualisiert Windows durch den Hintergrundprozess während einer User-Session die GPOs in einem voreingestellten Intervall von 90 Minuten. Dieser Zeitraum lässt sich über die Einstellung Computerkonfiguration => Administrative Vorlagen => System => Gruppenrichtlinie => Gruppenrichtlinien-Aktivierungsintervall für Computer anpassen. Das Pendant für die Benutzereinstellungen findet sich unter demselben Pfad unterhalb von Benutzerkonfiguration.
Die regelmäßige Aktualisierung von Gruppenrichtlinien im Hintergrund kann nicht alle Einstellungen erneuern, dies ist dem Vordergrundprozess während des Systemstarts bzw. während der Benutzeranmeldung vorbehalten. Davon sind primär die Installation von Software sowie die Ordnerumleitung betroffen. Dieser Sachverhalt wirkt sich entsprechend auf alle Tools aus, die Änderungen der GPOs sofort am Client wirksam werden lassen.
Optionen und Beschränkungen von gpupdate
Zum Lieferumfang von Windows gehört das Kommandozeilenprogramm gpupdate.exe, das den normalen Aktualisierungsprozess, der sonst in Intervallen im Hintergrund läuft, sofort startet. Bei dieser Gelegenheit gibt das Tool Informationen über den Verlauf der Aktion und eventuell auftretende Fehler aus. Wenn keine Änderungen der zentral gespeicherten Richtlinien vorliegen, dann bewirkt dieser Aufruf ohne Parameter keine weiteren Aktivitäten.
gpupdate.exe /force
gpupdate.exe wird häufig mit dem Schalter /force aufgerufen, der bewirkt, dass alle Einstellungen erneut angewandt werden, auch wenn sich im Active Directory nichts verändert hat. Diese Option führt außerdem dazu, dass zusätzlich ein Foreground Refresh ausgelöst wird. Wenn aber Aktionen wie die Installation von Software anstehen, die nur während des Systemstarts oder des Anmeldevorgangs ausgeführt werden können, dann verlangt gpupdate.exe nach einem Reboot bzw. einem erneuten Logon.
/boot und /logoff
Diese beiden Optionen dienen dazu, die Gruppenrichtlinien daraufhin zu untersuchen, ob Änderungen anstehen, die nur während des Boot- oder Anmeldevorgangs umgesetzt werden können. Dabei handelt es sich wieder um die Installation von Software oder um Ordnerumleitungen. Liegt dieser Fall vor, dann leitet gpupdate die benötigte Aktion, also einen Reboot oder die Abmeldung ein.
/Target:{Computer | User}
Mit Hilfe des Schalters lässt sich die Aktualisierung der Einstellungen einschränken, und zwar entweder auf jene der Computer- oder Benutzerkonfiguration. Ohne Angabe dieser Option werden beide Arten von Policies eingelesen.
/sync
Schon seit XP erfolgt die Aktualisierung der Gruppenrichtlinien asynchron, das heißt, dass Windows beispielsweise dem Benutzer bereits den Desktop anzeigt, während parallel die GPOs auf den neuesten Stand gebracht werden. Dies vermeidet im Vergleich zum synchronen Modus, wie er unter Windows 2000 üblich war, unnötige Wartezeiten.
Sollte er jedoch Probleme bei Aktionen verursachen, die während des Vordergrund-Aktualisierung ausgeführt werden müssen, etwa bei der Ordnerumleitung, dann sorgt der Schalter /sync dafür, dass der Refresh beim nächsten Neustart des Rechners synchron erfolgt. Dies ist vor allem für Testzwecke praktisch, weil man dann nicht gleich den asynchronen Modus generell deaktivieren muss (unter Computerkonfiguration => Administrative Vorlagen => System => Anmelden => Beim Neustart des Computer und bei der Anmeldung immer auf das Netzwerk warten).
/wait :{Wert}
Damit kann man den voreingestellten Timeout von 10 Minuten individuell anpassen, die Zeitangaben erfolgen in Sekunden.
Änderungen unter Windows 8
Während gpupdate unter Windows 8 keine neuen Möglichkeiten bietet, besteht ein wesentlicher Fortschritt darin, dass von der Gruppenrichtlinienverwaltung aus die Aktualisierung von GPOs zentral angestoßen werden kann. Damit lässt sich das Update nun remote erzwingen, und zwar nicht nur für einzelne Rechner, sondern für alle in einem AD-Container enthaltenen Maschinen, also etwa unterhalb einer OU.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Eingabeaufforderung: Schriftgröße und QuickEdit über GPO ändern
- Eingabeaufforderung und Batch-Dateien über GPOs deaktivieren
- gpupdate, gpresult, gpfixup: Kommandozeilen-Tools für Gruppenrichtlinien
- Neue Policies: SMB NTLM blockieren, minimale SMB-Version erzwingen
- Microsoft bringt neue Gruppenrichtlinie für optionale Updates in Windows 11
Weitere Links