Gruppenrichtlinien aktualisieren mit GPUpdate Force: So geht's (2024)

Möchten wir in einer Microsoft-basierten Umgebung (Server und Clients) die Gruppenrichtlinien aktualisieren, bietet sich der gpupdate /force Befehl an. Zwar würden die neuen Gruppenrichtlinien auch ohne den gpupdate-Befehl aktualisiert werden, in vielen Fällen möchten wir diesen Vorgang aber beschleunigen und die Aktualisierung der GPOs mit sofortiger Wirkung erzwingen.

Standardgemäß kann es bis zu 90-Minuten andauern, bis die soeben auf dem Microsoft Server (Domänen-Controller) aktivierte Gruppenrichtlinie selbständig auf angemeldeten Clients aktualisiert worden ist. In diesem Beitrag möchte ich euch den Umgang mit dem Aktualisierungsbefehl mit Beispielen zeigen.

Was sind Gruppenrichtlinien?

Gruppenrichtlinien-Objekte, abgekürzt GPOs (Group Policy Objects), sind ein fester Bestandteil von Microsoft Active Directory. Auf dem Domänen-Controller (DC) erhalten Administratoren die Möglichkeit, Konfiguration und Einstellungen für Benutzer, Gruppen und Computer vorzunehmen. Die Gruppenrichtlinien vereinfachen die Administration und Verwaltung von Client-basierten Einstellungen erheblich.

Wofür werden die GPOs angewendet?

GPOs können unter anderem dazu verwendet werden, Sicherheitseinstellungen auf Client-Systemen zu konfigurieren und Softwareinstallationen aus der Ferne zu verwalten. Sobald wir eine Änderung an den Gruppenrichtlinien am Microsoft Server vornehmen, dauert es ohne eine Ab- und Anmeldung des Benutzers bis zu zwei Stunden, bis die neuen Richtlinien aktualisiert worden sind. Manchmal oder bei größeren Änderungen an den Gruppenrichtlinien kann eine manuelle Aktualisierung sehr nützlich sein und zu einem Zeitersparnis führen.

Das trifft insbesondere dann zu, wenn wir gerade einen neuen Drucker bereitgestellt haben oder Änderungen am Netzwerk durchgeführt worden sind. Arbeitet das Unternehmen z.B. mit Netzlaufwerken für die Dateiablage und die IP-Adresse vom Netzlaufwerk hat sich verändert, muss die neue Konfiguration mit sofortiger Wirkung übernommen werden, damit die Produktivität im Unternehmen nicht eingeschränkt wird. Für solche Fälle können wir auf den gpupdate /force Befehl zurückgreifen, damit die Gruppenrichtlinien sofort aktualisiert werden und die Benutzer unbeschwert weiterarbeiten können.

Um Gruppenrichtlinien zu aktualisieren, verwenden wir das Windows-Terminal oder die Windows-PowerShell. Führe jetzt die folgenden Schritte auf dem Computer aus. Screenshots unterstützen dich bei der Aktualisierung.

Schritt 1: Zunächst öffnen wir die PowerShell/Windows-Terminal mit der Tastenkombination [WINDOWS-Taste + X]. Wähle eine der beiden Konsolen im Menü aus.

gpupdate /force

Natürlich könnten wir den Befehl für die sofortige Aktualisierung der Gruppenrichtlinien-Objekte auch ohne den Zusatz gpupdate /force anwenden, also nur gpupdate in die Konsole eingeben. Der Unterschied liegt hierbei jedoch im Detail. Der Schalter (force) teilt unserem System mit, dass wir alle Gruppenrichtlinieneinstellungen erneut anwenden möchten.

Ohne diesen Zusatz würden wir lediglich die Änderungen zwischen der jetzigen und der letzten Aktualisierung beziehen. Bei sehr großen IT-Infrastrukturen und komplexen Umgebungen kann es dann sogar sinnvoll sein, auf den Schalter zu verzichten, um die Belastung zwischen den Client-Systemen und dem Domänencontroller zu minimieren.

Mit diesem Befehl werden alle Gruppenrichtlinien neu bezogen:

gpupdate /force

gpupdate

Häufig lässt es sich nur schwer realisieren, den Befehl für die Gruppenrichtlinien-Aktualisierung auf jedem einzelnen Computer im Unternehmen händisch auszuführen. Es gibt verschiedene Methoden, wie GPOs aus der Ferne (Remote) aktualisiert werden können.

Methode über die PowerShell mit PsExec:

Dafür bietet sich zum Beispiel der PsExec-Befehl an, welcher es uns ermöglicht, ein Programm auf dem Remote-System auszuführen. Diese Methode ist zugleich eine der besten Möglichkeiten, den GPUpdate-Befehl remote auszuführen. Verwende wieder die PowerShell und gebe den folgenden Befehl in die Eingabemöglichkeit ein.

Gruppenrichtlinien remote Aktualisieren:

PsExec \\Clientname gpupdate /force

Methode am Domänen-Controller über das GPO-Management:

Die Remote-Aktualisierung kann auch direkt über die Gruppenrichtlinien-Verwaltungskonsole erfolgen. Verwende die Suchfunktion auf deinem Server, auf dem auch die RSAT-Werkzeuge installiert sind. In der Regel ist das der Domänen-Controller.

Schritt 1: Öffne die Verwaltungskonsole „Group Policy Management“. Navigiere mit dem Mauszeiger über die gewünschte Organisationseinheit und führe einen Rechtsklick aus. Wähle im Menü die Schaltfläche „Group Policy Update“ aus.

Schritt 2: Jetzt öffnet sich ein Fenster mit dem Namen „Force Group Policy update“. Es wird die Anzahl der Computer angezeigt, die von dem Policy-Update betroffen sein werden. Klicke auf „Ja“, um das GPO-Update Remote für die selektierte Organisationseinheit durchzuführen.

Eine weitere Möglichkeit, Client-Systeme mit installiertem Microsoft-Windows 10 und Windows 11 Betriebssystemen über neue GPOs zu informieren, bietet uns das Invoke-Command-Cmdlet. Es ermöglicht uns, Befehle auf Remotecomputern auszuführen. In unserem Fall können wir das Cmdlet auch für die sofortige Aktualisierung von Gruppenrichtlinien aus der Ferne verwenden.

Der nächste Befehl setzt voraus, dass die Group Policy Management Console (GPMC) auf dem Server, welcher den Befehl ausführt, installiert ist. Verwende die PowerShell und gebe den folgenden Befehl ein.

GPUpdate Force remote ausführen:

Invoke-GPUpdate -Computer "CLIENT1" -RandomDelayInMinutes 0 - Force

Der obige Befehl müsste jetzt für jeden Computer wiederholt werden. Möchten wir eine große Anzahl von Computern gleichzeitig ansteuern, um ein GPO-Update auf allen Computern zu erzwingen, können wir den Befehl durch eine Variable und mit einer ForEach-Schleife erweitern.

Remote-GPUpdate Force auf allen Computer gleichzeitig durchführen:

PS C:\> $computers = Get-ADComputer -Filter * PS C:\> $Computer | ForEach-Object -Process {Invoke-GPUpdate -Computer $_.name -RandomDelayInMinutes 0 -Force}