PowerShell: Forzare l'applicazione delle impostazioni criteri di gruppo

Dopo aver creato uno o più criteri di gruppo è necessario attendere i tempi di replica affinché vengano distribuiti e applicati sui server e sui dispositivi. Se si vuole forzare l'aggiornamento dei criteri di gruppo si può utilizzare il cmdlet Invoke-GPUpdate. Se il cmdlet viene lanciato senza parametri aggiorna i criteri utente e computer del computer locale.

Sintassi:

Invoke-GPUpdate

      [-AsJob]

      [-Boot]

      [[-Computer] <String>]

      [[-RandomDelayInMinutes] <Int32>]

      [-Force]

      [-LogOff]

      [-Target <String>]

      [<CommonParameters>]

Invoke-GPUpdate

      [-AsJob]

      [-Boot]

      [[-Computer] <String>]

      [[-RandomDelayInMinutes] <Int32>]

      [-LogOff]

      [-Target <String>]

      [-Sync]

      [<CommonParameters>]

Parametri:

-AsJob

Il parametro esegue il comando come processo in background. 

-Boot

Se specificato provvede a riavviare il computer una volta applicate le group policy.

-Computer

Specifica il computer remoto su cui eseguire l'operazione.

-Force

Forza l'esecuzione del comando senza che venga richiesta conferma all'utente.

-LogOff

Esegue la disconnessione dell'utente corrente una volta applicati i criteri di gruppo.

-RandomDelayInMinutes

Specifica il ritardo, in minuti, che il Task Scheduler attende prima di eseguire un aggiornamento programmato dei criteri di gruppo. Al ritardo specificato viene aggiunto un fattore causale in modo da abbassare il carico di rete.

È possibile specificare un ritardo da 0 minuti ad un massimo di 44640 minuti (31 giorni):

-Sync

Indica che il cmdlet elabora la prossima applicazione delle Group Policy in modo sincrono. L'applicazione delle Group Policy verrà eseguita all'avvio del computer e al logon dell'utente. 

-Target

Per default vengono aggiornati i criteri utente e computer. Con tale parametro è possibile specificare di aggiornare solo i criteri utente o solo i criteri computer.

Il seguente comando consente di aggiornare i criteri di gruppo del computer remoto specificato

Invoke-GPUpdate -Computer "PCDIR001" 

Per aggiornare solo i criteri utente su un computer remoto

Invoke-GPUpdate -Computer "PCDIR001" -Target "User"

Per forzare l'aggiornamento dei criteri di gruppo su un computer remoto

Invoke-GPUpdate -Computer "PCDIR001" -Target "Computer" -Force

FIG 1 - Invoke-GPUpdate

Per aggiornare i criteri di gruppo su tutti i computer di una specifica OU possiamo creare un semplice script come quello riportato di seguito che aggiorna i criteri di gruppo dei computer presenti all'interno dell'unità organizzativa Direzione all'interno del dominio mycompany.local.

Get-ADComputer –filter * -Searchbase "ou=Direzione,dc=mycompany,dc=local" | foreach{ Invoke-GPUpdate –computer $_.name -force}

Windows Server 2019: Forzare l'applicazione delle Group Policy tramite Gestione Criteri di gruppo

Una volta creato/modificato un oggetto criterio di gruppo all'interno di un'unità organizzativa è possibile forzarne l'applicazione agendo tramite lo strumento Gestione Criteri di gruppo.

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 1 - Server Manager

• Cliccare, con il tasto destro del mouse, sull'unità organizzativa contenente l'oggetto criteri di gruppo da forzare (ad es. Direzione) e selezionare, dal menu contestuale, Aggiornamento Criteri di gruppo.
  

  

  FIG 2 - Aggiornamento Criteri di gruppo

• Nella finestra di dialogo Forza aggiornamento Criteri di gruppo viene indicato che l'aggiornamento verrà forzato per l'unità organizzativa selezionata e per tutti i contenitori sottostanti, inoltre viene indicato il numero di computer coinvolti nell'operazione. Cliccare su Sì per forzare l'aggiornamento.
  

  

  FIG 3 - Forza aggiornamento Criteri di gruppo

• Una finestra ci informa sull'esito dell'aggiornamento.
  

  

  FIG 4 - Risultati dell'aggiornamento di Criteri di gruppo remoto

L'operazione avrà lo stesso effetto dell'esecuzione di gpupdate /force o  Invoke-GPUpdate.