Windows Server 2012: Forzare un aggiornamento remoto di Criteri di gruppo

A partire da Windows 2003 e XP tramite GPUpdate.exe è possibile forzare l’applicazione delle Group Policy Computer e Utente sia sul computer locale che su di un computer remoto. Per i dettagli si veda Refresh Group Policy settings with GPUpdate.exe (in Windows 2000 era disponibile il comamando secedit con l’opzione refreshpolicy):

Gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot]

Applicazioni delle GPO sul computer locale:
gpupdate

Applicazione forzata delle GPO (ignora i processi di ottimizzazione e riapplica tutte le GPO) attendendo 100 secondi per il processamento delle GPO:
gpupdate /force /wait:100

Applicazioni delle GPO su un computer remoto:
gpupdate /target:computer

Applicazioni delle GPO sul computer locale e riavvio del sistema al termine del processamento delle GPO:
gpupdate /boot

Di seguito alcune precisazioni sui parametri di GPUpdate:

/Wait:{valore}

Questa opzione consente di impostare l’intervallo di attesa in secondi prima che l’elaborazione dei criteri venga completata. Il valore predefinito è 600 secondi. Il valore zero (0) significa che non occorre attendere il completamento dell’elaborazione. Il valore -1 significa che occorre attendere a tempo indeterminato. Quando viene superato il limite impostato, ritorna attivo il prompt dei comandi, ma l’elaborazione dei criteri continua.

/Boot

Questa opzione può causare il riavvio del computer dopo l’aggiornamento delle impostazioni dei Criteri di gruppo. Si tratta di una funzionalità necessaria per quelle estensioni dei Criteri di gruppo per i client che non elaborano i criteri con cicli di aggiornamento in background, ma eseguono questa operazione all’avvio. Un esempio di questo comportamento può essere osservato con la funzionalità rivolta al computer Installazione software. Questa opzione non ha effetto se non sono state richiamate estensioni che richiedono il riavvio del computer.

/Force

Questa opzione consente di applicare di nuovo tutte le impostazioni dei criteri. Per impostazione predefinita, vengono applicate solo le impostazioni dei criteri che sono state modificate.

(Fonte KB 298444 A Description of the Group Policy Update Utility)

La novità introdotta con Windows Server 2012 è la possibilità di aggiornare in remoto le impostazioni di Criteri di gruppo per tutti i computer di un’unità organizzativa tramite la Group Policy Management Console (gpmc.msc). In alternativa è possibile utilizzare il cmdlet PowerShell Invoke-GPUpdate mediante cui è possibile gestire un elenco di computer non limitato ad una unità organizzativa.

imageQuando si seleziona un’unità organizzativa (OU) per aggiornare in remoto le GPO sui i computer di tale OU saranno eseguite le seguenti operazioni:

  1. Una query di Active Directory per ottenere i computer appartenenti all’OU.
  2. Su ogni computer appartenente all’OU vie eseguita una chiamata WMI per recuperare l’elenco degli utenti connessi.
  3. Viene creata un’attività pianificata remota per eseguire Gpupdate.exe /force per ogni utente connesso e una volta per l’aggiornamento delle GPO computer. L’esecuzione dell’attività viene pianificata con un ritardo casuale di un massimo di 10 minuti per ridurre il carico sul traffico di rete. Non è possibile configurare il tale ritardo casuale mediante la Group Policy Management Console (GPMC), ma solo creando l’attività pianificata con il cmdlet Invoke-GPUpdate oppure modificando direttamente l’attività pianificata.

Di seguito i prerequisiti per forzare le GPO remotamente impostando un’attività pianifica:

  1. La configurazione può essere utilizzando solo tramite la GPMC in Windows Server 2012 o Windows 8 con Strumenti di amministrazione remota del server (RSAT)
  2. È possibile pianificare un aggiornamento remoto delle GPO sui computer con i seguenti sistemi operativi:
    • Windows Server 2012, Windows Server 2008 R2, Windows Server 2008
    • Windows 8, Windows 7, Windows Vista
  3. E’ necessario che sui client siano configurate le seguenti regole in entrata del firewall:
    • Gestione remota attività pianificate (RPC) (porte dinamiche RPC TCP per il servizio Utilità di pianificazione)
    • Gestione remota attività pianificate (RPC-EPMAP) (porta TCP 135 per servizio Remote Procedure Call RPCSS)
    • Strumentazione gestione Windows (WMI-in) (tutte le porte TCP per il servizio Strumentazione gestione Windows Winmgmt)

Per semplificare la configurazione delle regole del firewall sui client in WS2012 è stata introdotta la Starter GPO Group Policy Remote Update Firewall Ports (Porte firewall aggiornamento remoto Criteri di gruppo). Come best practices viene consigliato di creare una nuova GPO mediante questa Starter GPO e collegare la GPO al dominio, con precedenza maggiore rispetto alla Default Domain GPO in modo da impostare tutti i computer del dominio per consentire il traffico di rete necessario alla configurazione dell’aggiornamento remoto di Criteri di gruppo.

image

E’ possibile creare creare una GPO a partire da una Starter GPO anche mediante i cmdlets New-GPO e New-GPLink.

Come detto precedentemente se è necessaria una flessibilità maggiore per la configurazione dell’aggiornamento remoto di Criteri di gruppo è possibile utilizzare il cmdlet Invoke-GPUpdate che permette eseguire la configurazione non solo su una specifica OU e la modifica del ritardo casuale, di seguito alcuni esempi:

Configurazione  dell’aggiornamento remoto di Criteri di gruppo su tutti computer del dominio:
Get-ADComputer –filter * -Searchbase “cn=computers, dc=Contoso,dc=com” | foreach{ Invoke-GPUpdate -computer $_.name -force}

Configurazione  dell’aggiornamento remoto di Criteri di gruppo su tutti computer di un OU con ritardo casuale di 5 minuti:
Get-ADComputer –filter * -Searchbase “ou=Accounting, dc=Contoso,dc=com” | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 5}

Per ulteriori informazioni si vedano: