Когда я только начинал изучать Active Directory, групповые политики казались очень непостоянными. Иногда я мог запустить GPUpdate, другой раз надо было использовать /force
Как оказалось, политики всегда работали — только я не понимал их.
Так какая же разница между GPUpdate и GPUpdate /force?
Вкратце:
GPUpdate применяет все новые и измененные политики.
GPUpdate /force применяет все политики: новые и старые.
В 99% случаев стоит использовать GPUpdate. Если Вы только что отредактировали политику и хотите видеть результат, запустите GPUpdate.
На самом деле, использование /force на большом количестве компьютеров вредит вашей карьере. Потому что эти машины бомбят контроллер домена и запрашивают каждую политику, относящуюсю к ним.
Еще что-нибудь?
Вы спрашиваете, я отвечаю! Несколько опции запуска GPUpdate.
/logoff: Определенные политики, например перенаправление папок, не могут быть применены в фоне. Если выход из системы необходим, этот ключ выполнит его.
/Boot: Если политика, например установка программы, потребует перезагрузку — boot сделает это.
/Sync: На самом деле этот ключ вообще не обновляет политику. Все что он делает, задает флаг для синхронизированной загрузке системы/входа в систему. Тут я поясню. Microsoft ещё со времен Windows XP ввела такую вещь как «fast logon optimization». Это значит, что Windows покажет Вам окно входа в систему ещё до того как применятся все системный политики, точно также покажет Вам рабочий стол до того как применятся все пользовательские политики. Ключ sync делает загрузку синхронной.
Просвещение
У GPUpdate мало функций для удаленного управления, поэтому в Windows 8 / Server 2012 добавили командлет Invoke-GPUpdate
Пример:
Invoke-GPUpdate -Computer COMPUTERNAME -Force
или
$Computers = Get-AdComputer -SearchBase "OU=IT, DC=Test,DC=local" -Filter *
Foreach ($Computer in $Computers) {invoke-gpupdate -Computer $Computers.Name}
Способ попроще
Способ показанный выше не самый практичный путь обновления политик. Зная это, Microsoft добавили возможность запустить GPupdate на Server2012 из GPMC:
Как видно на рисунке, достаточно нажать правой кнопкой на объекте и вызвать GPUpdate удаленно. В целях безопасности это нельзя сделать для всего домена сразу.
GPUpdate достаточна простая утилита. И, как теперь знаете, очень мощная и адаптируемая к вашей ситуации. Поэтому когда в следующий раз увидите, что кто-то запускает gpupdate /force, объясните ему разницу и дайте серверу вздохнуть спокойно.
Автор: mrHobbY
