gpupdate: Gruppenrichtlinien aktualisieren ohne Wartezeit


    Tags: ,

    Die voreingestellten 90 Minuten für das Update-Intervall von GPOs lassen sich zentral anpassen.Die Gruppen­richtlinien sind für die meisten Admini­stratoren ein unab­kömmliches Werk­zeug zur zen­tralen Konfi­guration von Clients und Servern. Die auf den DCs hinter­legten Regeln werden nach dem Pull-Prinzip in regel­mäßigen Inter­vallen von Windows-PCs abgerufen. Will man diesen Zeit­raum nicht ab­warten, dann kann man sie mit gpupdate.exe aktualisieren.

    Auf einem Windows-Rechner sind die so genannten Client-side Extensions dafür zuständig, das Active Directory auf Änderungen abzufragen, die den jeweiligen Rechner betreffen, und sie lokal umzusetzen. Dieser Vorgang erfolgt entweder im Vordergrund oder über einen über Prozess, der im Hintergrund läuft. Der Foreground Refresh lädt beim Booten des Systems die unter Computerkonfiguration definierten Regeln. Die benutzerspezifischen Richtlinien aktualisiert er anschließend während des Logons.

    Update-Intervall ändern

    Danach aktualisiert Windows durch den Hintergrundprozess während einer User-Session die GPOs in einem voreingestellten Intervall von 90 Minuten. Dieser Zeitraum lässt sich über die Einstellung Computerkonfiguration => Administrative Vorlagen => System => Gruppenrichtlinie => Gruppenrichtlinien-Aktivierungsintervall für Computer anpassen. Das Pendant für die Benutzereinstellungen findet sich unter demselben Pfad unterhalb von Benutzerkonfiguration.

    Die regelmäßige Aktualisierung von Gruppenrichtlinien im Hintergrund kann nicht alle Einstellungen erneuern, dies ist dem Vordergrundprozess während des Systemstarts bzw. während der Benutzeranmeldung vorbehalten. Davon sind primär die Installation von Software sowie die Ordnerumleitung betroffen. Dieser Sachverhalt wirkt sich entsprechend auf alle Tools aus, die Änderungen der GPOs sofort am Client wirksam werden lassen.

    Optionen und Beschränkungen von gpupdate

    Zum Lieferumfang von Windows gehört das Kommando­zeilen­programm gpupdate.exe, das den normalen Aktualisierungs­prozess, der sonst in Intervallen im Hintergrund läuft, sofort startet. Bei dieser Gelegenheit gibt das Tool Informationen über den Verlauf der Aktion und eventuell auftretende Fehler aus. Wenn keine Änderungen der zentral gespeicherten Richtlinien vorliegen, dann bewirkt dieser Aufruf ohne Parameter keine weiteren Aktivitäten.

    gpupdate.exe /force

    gpupdate.exe wird häufig mit dem Schalter /force aufgerufen, der bewirkt, dass alle Einstellungen erneut angewandt werden, auch wenn sich im Active Directory nichts verändert hat. Diese Option führt außerdem dazu, dass zusätzlich ein Foreground Refresh ausgelöst wird. Wenn aber Aktionen wie die Installation von Software anstehen, die nur während des Systemstarts oder des Anmeldevorgangs ausgeführt werden können, dann verlangt gpupdate.exe nach einem Reboot bzw. einem erneuten Logon.

    /boot und /logoff

    Diese beiden Optionen dienen dazu, die Gruppenrichtlinien daraufhin zu untersuchen, ob Änderungen anstehen, die nur während des Boot- oder Anmeldevorgangs umgesetzt werden können. Dabei handelt es sich wieder um die Installation von Software oder um Ordnerumleitungen. Liegt dieser Fall vor, dann leitet gpupdate die benötigte Aktion, also einen Reboot oder die Abmeldung ein.

    /Target:{Computer | User}

    Mit Hilfe des Schalters lässt sich die Aktualisierung der Einstellungen einschränken, und zwar entweder auf jene der Computer- oder Benutzerkonfiguration. Ohne Angabe dieser Option werden beide Arten von Policies eingelesen.

    /sync

    Schon seit XP erfolgt die Aktualisierung der Gruppenrichtlinien asynchron, das heißt, dass Windows beispielsweise dem Benutzer bereits den Desktop anzeigt, während parallel die GPOs auf den neuesten Stand gebracht werden. Dies vermeidet im Vergleich zum synchronen Modus, wie er unter Windows 2000 üblich war, unnötige Wartezeiten.

    Sollte er jedoch Probleme bei Aktionen verursachen, die während des Vordergrund-Aktualisierung ausgeführt werden müssen, etwa bei der Ordnerumleitung, dann sorgt der Schalter /sync dafür, dass der Refresh beim nächsten Neustart des Rechners synchron erfolgt. Dies ist vor allem für Testzwecke praktisch, weil man dann nicht gleich den asynchronen Modus generell deaktivieren muss (unter Computerkonfiguration => Administrative Vorlagen => System => Anmelden => Beim Neustart des Computer und bei der Anmeldung immer auf das Netzwerk warten).

    /wait :{Wert}

    Damit kann man den voreingestellten Timeout von 10 Minuten individuell anpassen, die Zeitangaben erfolgen in Sekunden.

    Änderungen unter Windows 8

    Während gpupdate unter Windows 8 keine neuen Möglichkeiten bietet, besteht ein wesentlicher Fortschritt darin, dass von der Gruppenrichtlinienverwaltung aus die Aktualisierung von GPOs zentral angestoßen werden kann. Damit lässt sich das Update nun remote erzwingen, und zwar nicht nur für einzelne Rechner, sondern für alle in einem AD-Container enthaltenen Maschinen, also etwa unterhalb einer OU.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links