PowerShell: Forzare l'applicazione delle impostazioni criteri di gruppo

Dopo aver creato uno o più criteri di gruppo è necessario attendere i tempi di replica affinché vengano distribuiti e applicati sui server e sui dispositivi. Se si vuole forzare l'aggiornamento dei criteri di gruppo si può utilizzare il cmdlet Invoke-GPUpdate. Se il cmdlet viene lanciato senza parametri aggiorna i criteri utente e computer del computer locale.

Sintassi:

Invoke-GPUpdate

      [-AsJob]

      [-Boot]

      [[-Computer] <String>]

      [[-RandomDelayInMinutes] <Int32>]

      [-Force]

      [-LogOff]

      [-Target <String>]

      [<CommonParameters>]

Invoke-GPUpdate

      [-AsJob]

      [-Boot]

      [[-Computer] <String>]

      [[-RandomDelayInMinutes] <Int32>]

      [-LogOff]

      [-Target <String>]

      [-Sync]

      [<CommonParameters>]

Parametri:

-AsJob

Il parametro esegue il comando come processo in background. 

-Boot

Se specificato provvede a riavviare il computer una volta applicate le group policy.

-Computer

Specifica il computer remoto su cui eseguire l'operazione.

-Force

Forza l'esecuzione del comando senza che venga richiesta conferma all'utente.

-LogOff

Esegue la disconnessione dell'utente corrente una volta applicati i criteri di gruppo.

-RandomDelayInMinutes

Specifica il ritardo, in minuti, che il Task Scheduler attende prima di eseguire un aggiornamento programmato dei criteri di gruppo. Al ritardo specificato viene aggiunto un fattore causale in modo da abbassare il carico di rete.

È possibile specificare un ritardo da 0 minuti ad un massimo di 44640 minuti (31 giorni):

-Sync

Indica che il cmdlet elabora la prossima applicazione delle Group Policy in modo sincrono. L'applicazione delle Group Policy verrà eseguita all'avvio del computer e al logon dell'utente. 

-Target

Per default vengono aggiornati i criteri utente e computer. Con tale parametro è possibile specificare di aggiornare solo i criteri utente o solo i criteri computer.

Il seguente comando consente di aggiornare i criteri di gruppo del computer remoto specificato

Invoke-GPUpdate -Computer "PCDIR001" 

Per aggiornare solo i criteri utente su un computer remoto

Invoke-GPUpdate -Computer "PCDIR001" -Target "User"

Per forzare l'aggiornamento dei criteri di gruppo su un computer remoto

Invoke-GPUpdate -Computer "PCDIR001" -Target "Computer" -Force

FIG 1 - Invoke-GPUpdate

Per aggiornare i criteri di gruppo su tutti i computer di una specifica OU possiamo creare un semplice script come quello riportato di seguito che aggiorna i criteri di gruppo dei computer presenti all'interno dell'unità organizzativa Direzione all'interno del dominio mycompany.local.

Get-ADComputer –filter * -Searchbase "ou=Direzione,dc=mycompany,dc=local" | foreach{ Invoke-GPUpdate –computer $_.name -force}