Comment forcer la mise à jour de la stratégie de groupe à distance : guide étape par étape
Stratégie de groupeest une architecture complexe qui vous permet d'utiliser les paramètres de stratégie pour personnaliser à distance l'expérience d'une machine et d'un utilisateur au sein d'un domaine.
Voyons comment utiliser la stratégie de groupe sur les ordinateurs Windows d'un domaine.
Vérification de la stratégie de groupe
Tout d’abord, vérifiez si l’appareil ou l’utilisateur a reçu le plusparamètres de stratégie actuelssi laEnsemble résultant de paramètres de stratégiene correspond pas à vos critères. Dans les versions précédentes de Windows, cela était accompli en demandant aux utilisateurs d'exécuterGPUpdate.exesur leur ordinateur.
Vous pouvez renouveler à distance les paramètres de stratégie de groupe pour tous les PC d'une unité organisationnelle (UO) à l'aide de la console de gestion des stratégies de groupe dans Windows Server 2012 et Windows 8. Vous pouvez également utiliser l'applet de commande Windows PowerShell Invoke-GPUpdate pour renouveler la stratégie de groupe pour un groupe de machines, même si elles ne sont pas dans la structure OU. Par exemple, s’ils se trouvent dans le conteneur d’ordinateurs par défaut.
En utilisant la fonctionnalité qui a été ajoutée au menu contextuel d'une unité d'organisation dans la console de gestion des stratégies de groupe, l'actualisation de la stratégie de groupe à distance met à jour tous les paramètres de stratégie de groupe, y compris les paramètres de sécurité définis sur un groupe d'ordinateurs distants. Par exemple, les processus suivants se produisent lorsque vous choisissez une unité d'organisation pour actualiser à distance les paramètres de stratégie de groupe sur tous les ordinateurs : Une requête dans Active Directory fournit une liste de toutes les machines de cette unité d'organisation.
- Un appel WMI collecte la liste des utilisateurs connectés pour chaque ordinateur de l’unité d’organisation donnée.
- Une petite tâche planifiée est établie pour chaque utilisateur connecté et une fois pour l'actualisation de la stratégie de groupe de la machine afin de lancer GPUpdate.exe /force. Le travail devrait s'exécuter avec un délai aléatoire pouvant aller jusqu'à 10 minutes afin de réduire le stress du trafic réseau. Lorsque vous utilisez la GPMC, vous ne pouvez pas définir le délai aléatoire pour la tâche planifiée, mais lorsque vous utilisez la cmdlet Invoke-GPUpdate, vous pouvez configurer le délai aléatoire pour la tâche planifiée ou définir la tâche planifiée pour qu'elle démarre immédiatement.
Que sont exactement les stratégies de groupe et les objets de stratégies de groupe ?
La stratégie de groupe est un système qui permet aux administrateurs de contrôler à distance les configurations des utilisateurs et des machines dans un domaine à l'aide de divers paramètres et préférences de stratégie. Un objet de stratégie de groupe (GPO) est un ensemble de paramètres de stratégie de groupe liés à un site, un domaine ou une unité d'organisation AD spécifique.
Les paramètres de sécurité tels que les stratégies de mot de passe et les stratégies de verrouillage de compte, les modèles d'administration, etc. sont des exemples de stratégies de groupe couplées à un GPO. Ces objets de stratégie de groupe sont l'endroit où les stratégies de groupe sont mises à jour et les modifications sont reportées à tous les objets auxquels l'objet de stratégie de groupe est lié.
Les politiques de groupe sont un ensemble de directives de sécurité et de gestion gérées et mises à jour pour assurer la sécurité et le bon fonctionnement d'un réseau. Pour diverses raisons, ces politiques de groupe peuvent parfois devoir être révisées immédiatement.
En conséquence, Microsoft a inclus des outils pour imposer les mises à niveau des stratégies de groupe. Tout d'abord, nous passerons en revue les stratégies de groupe dans cet article, puis examinerons le calendrier de mise à jour par défaut des stratégies de groupe, pourquoi vous devrez peut-être forcer les mises à jour et comment forcer les mises à jour des stratégies de groupe sur un réseau.
Processus par défaut de mise à jour de la stratégie de groupe
Une fois les stratégies de groupe modifiées, une mise à jour d'une stratégie de groupe prend par défaut entre 90 et 120 minutes. Cependant, vous devrez forcer le processus de mise à jour du GPO si vous ne pouvez pas attendre aussi longtemps pour une raison quelconque. Il existe plusieurs façons de déplacer une mise à jour d'un GPO, mais considérons d'abord quelques cas dans lesquels vous devez le faire.
Comment utiliser la mise à jour de vos stratégies de groupe avec la commande GPUpdate/force
Forcer une mise à jour de la stratégie de groupe peut être effectué pour diverses raisons. Peut-être qu’un cadre politique vital a été négligé, ou que le processus de réorganisation d’une organisation a abouti à des politiques modifiées qui devaient entrer en vigueur immédiatement.
Lorsque les utilisateurs se déconnectent et se reconnectent, les stratégies de groupe sont également actualisées, mais vous ne pouvez pas vous attendre à ce que chaque utilisateur se déconnecte puis se reconnecte. Dans de tels cas, forcer les mises à jour des stratégies de groupe peut faciliter les efforts de renouvellement rapide des stratégies de groupe.
Pourquoi devriez-vous exiger une mise à jour de la stratégie de groupe ?
La commande GPUpdate /force permet de forcer la mise à jour des politiques de groupe de votre entreprise. Les modifications apportées à la stratégie de groupe ne sont pas mises en œuvre immédiatement ; au lieu de cela, ils prennent 90 minutes pour prendre effet (avec un décalage de 30 minutes pour répartir la charge).
À l'aide de la commande GPUpdate, nous pouvons forcer la mise à niveau de la politique. Pour administrer les systèmes et modifier les paramètres de sécurité, des stratégies de groupe sont utilisées (comme le déploiement d'imprimantes ou le mappage de lecteurs réseau). Lors de la résolution de difficultés informatiques, il est parfois nécessaire de modifier manuellement la stratégie de groupe.
Planifier une mise à jour de la stratégie de groupe à distance
L'applet de commande Invoke-GPUpdate dans la GPMC ou l'applet de commande Invoke-GPUpdate dans une session Windows PowerShell peuvent être utilisées pour planifier l'exécution de gpupdate.exe sur de nombreux PC.
À l’aide de la GPMC, planifiez une mise à jour de la stratégie de groupe à exécuter sur toutes les machines d’une unité d’organisation.
- Recherchez l'unité d'organisation pour laquelle vous souhaitez renouveler la stratégie de groupe pour toutes les machines dans l'arborescence de la console GPMC.
- Cliquez avec le bouton droit sur l'unité d'organisation sélectionnée et sélectionnez Mettre à jour la stratégie de groupe
- Dans la boîte de dialogue Forcer la mise à jour de la stratégie de groupe, choisissez Oui. Cela revient à utiliser la ligne de commande pour exécuter GPUpdate.exe /force.
- La zone Résultats de la mise à jour de la stratégie de groupe à distance affiche uniquement la progression de la planification d'une actualisation de la stratégie de groupe pour chaque ordinateur de l'unité d'organisation choisie et de toutes les unités d'organisation qu'elle contient. Cet affichage ne révèle pas si la véritable modification de la stratégie de groupe pour chaque ordinateur a réussi ou échoué.
- À l’aide de l’ensemble de stratégies résultant, évaluez l’efficacité de la modification de stratégie de groupe proposée.
Note:
Lorsque vous confirmez les résultats pour chaque ordinateur, vous devez attendre jusqu'à 10 minutes avant de lancer une mise à jour de stratégie de groupe.
Il existe trois manières d’imposer que les modifications de la stratégie de groupe prennent effet. Voici les détails :
- Utilisation de la console de gestion des stratégies de groupe (GPMC) pour forcer une mise à jour de la stratégie de groupe
- Utilisation des commandes PowerShell pour forcer une mise à jour de la stratégie de groupe
- Utilisation d'une invite de commande élevée pour forcer une modification de stratégie de groupe
Console de stratégie de gestion de groupe
La console de gestion des stratégies de groupe peut être utilisée pour effectuer une mise à jour de la stratégie de groupe sur l'ensemble d'une unité d'organisation. Cependant, vous ne pouvez pas utiliser cette technique sur une unité d’organisation utilisateur car elle nécessite uniquement des objets informatiques. Au lieu de cela, cliquez simplement avec le bouton droit sur l’unité d’organisation où la stratégie a été modifiée et sélectionnez Mise à jour de la stratégie de groupe.
Cela mettra à jour toutes les machines dans les règles utilisateur et informatiques de l’unité organisationnelle fournie. La fonctionnalité la plus admirable consiste à demander la permission et à vous indiquer combien de PC seront mis à jour.
Les politiques seront modifiées lorsque vous confirmerez la mise à jour et vous pourrez vérifier l'état de chaque machine. Dans ce cas, cinq machines étant éteintes, la mise à jour a échoué.
Utilisez PowerShell pour exécuter GPUpdate sur un PC distant
Nous pouvons également effectuer gpupdate sur des PC distants à l'aide de PowerShell. La seule condition préalable est que Windows 2012 ou une version ultérieure soit installé sur votre ordinateur. Il est également possible de l'exécuter à partir de Windows 10, mais vous devrez utiliser un compte administrateur de domaine pour lancer les fenêtres PowerShell.
Invoquer-GPUpdate
L'un des avantages de la cmdlet Invoke-GPUpdate est que vous pouvez modifier le délai à l'aide de l'option RandomDelayInMinutes. Définissez-le sur 0 si vous souhaitez modifier immédiatement la stratégie de groupe.
|_+_|Dans ce cas, j'ai redémarré le PC intitulé « win7 » immédiatement après avoir lancé une mise à jour de la stratégie de groupe.
Si tout se passe bien, l’applet de commande ne crée aucune sortie. Vos utilisateurs peuvent remarquer une fenêtre de commande avec le titre taskeng.exe qui affiche « Mise à jour de la stratégie… » dans certaines situations. Après environ une seconde, les fenêtres disparaissent.
Mise à jour des politiques
Si l'ordinateur ne peut pas être contacté, le message d'erreur suivant apparaîtra en rouge : Invoke-GPUpdate ne fonctionne pas sur le PC « win8update ». En effet, les règles de pare-feu sont supprimées lorsque l'ordinateur cible est éteint dans la gestion des tâches planifiées à distance.
Un autre avantage de l’utilisation de l’applet de commande PowerShell est que vous disposez de plus d’options pour sélectionner les ordinateurs à mettre à jour. Par exemple, la commande ci-dessous sélectionnera tous les ordinateurs du conteneur Active Directory « test » qui commencent par « win7 ».
|_+_|L'option Forcer a également été incluse ici pour garantir que les paramètres de stratégie de groupe sont réinstallés même si le client constate qu'aucune nouvelle version de GPO n'est disponible. Par conséquent, lorsque nous disons « forcer une actualisation de la stratégie de groupe », nous entendons deux choses différentes.
Nous forçons une mise à jour sans délai si nous n'utilisons pas l'argument Forcer ; si nous utilisons le paramètre Force, nous forçons une mise à jour même s'il n'y a rien à mettre à jour. Donc, si vous pensez que quelque chose s'est mal passé avec la dernière mise à jour du GPO, vous pouvez utiliser le paramètre Force.
Utilisez l'invite de commande pour forcer une stratégie de groupe
La première alternative consiste à émettre une commande simple qui demande au client de contourner la période de traitement en arrière-plan typique et de mettre immédiatement à jour tous les GPO nouveaux ou modifiés sur le serveur. Cependant, vous devez d'abord vous rendre sur chaque ordinateur utilisateur et exécuter manuellement la commande gpupdate, qui actualisera l'objet de stratégie de groupe et tout autre objet de stratégie de groupe nouveau ou modifié.
La commande gpupdate, lorsqu'elle est appelée sans aucun paramètre, mettra à jour les parties utilisateur et ordinateur des objets de stratégie de groupe. Utilisez la syntaxe suivante pour actualiser seulement la moitié :
|_+_|Lorsqu'un utilisateur est connecté à un PC, l'exécution de gpupdate fournit immédiatement à Windows les nouveaux paramètres GPO (en supposant, bien sûr, que le contrôleur de domaine dispose des informations GPO répliquées).
Le démarrage rapide, la distribution de logiciels et la redirection de dossiers sont activés par défaut dans Windows XP et versions ultérieures, de sorte que les modifications ne sont appliquées qu'à la prochaine connexion. De plus, gpupdate peut déterminer si les objets récemment mis à jour nécessitent une déconnexion ou un redémarrage pour être actifs si vous utilisez les commutateurs appropriés :
L’utilisation du commutateur /Logoff avec gpupdate déterminera si un changement de stratégie dans Active Directory nécessite que l’utilisateur se déconnecte. Dans le cas contraire, les nouveaux paramètres prennent effet immédiatement ; s'il ne le fait pas, l'utilisateur sera déconnecté et les ajustements de la stratégie de groupe prendront effet lors de sa reconnexion.
De même, si Fast Boot est activé, l'application des GPO avec les paramètres de Software Distribution nécessite un redémarrage. L'exécution de gpupdate avec le commutateur /boot détectera si une stratégie nécessite un redémarrage et redémarrera automatiquement la machine. Les modifications du GPO sont implémentées et l'utilisateur reste connecté si le GPO modifié n'a pas besoin d'être redémarré.
