GMPC und GPUpdate: Windows 8 Gruppenrichtlinien aus der Ferne aktualisieren

Gruppenrichtlinien müssen nicht zwangsläufig lokal aktualisiert werden. Wir stellen zwei Tools vor, mit denen das auch aus der Ferne funktioniert.

Die Einstellungen der Gruppenrichtlinien werden aktualisiert, wenn ein Computer neu gestartet wird oder wenn das Erneuerungsintervall abgelaufen ist. Dieses Intervall lässt sich im Gruppenrichtlinien-Objekt auf dem Domain-Controller konfigurieren. Microsoft liefert zudem das Kommandozeilen-Tool Gpupdate.exe, mit dem sich die Gruppenrichtlinien auf einem Client-Rechner sofort aktualisieren lassen. Allerdings gilt das nur für lokale Maschinen, aus der Ferne lässt sich dieses Tool nicht nutzen.

Es gibt aber insgesamt vier Wege, mit denen sich die Einstellungen der Gruppenrichtlinien auf mehreren Computern auf einmal aktualisieren lassen. Diese Lösungen beinhalten die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), ein cmdlet für die PowerShell, die PSexec und die Windows Management Instrumentation Console (WMIC). Beginnen wir mit den ersten beiden.

GPO-Einstellungen mittels GMPC aktualisieren

gruppenrichtlinien

Abbildung 1: So aktualisieren Sie Gruppenrichtlinien.

Mit Windows Server 2012 wurde eine neue Funktion eingeführt, mit der sich die Einstellungen zu Gruppenrichtlinienobjekte (GPO) auf mehreren entfernten Rechnern aktualisieren lassen. Die Aktion „Gruppenrichtlinien aktualisieren“ ist über das Kontextmenü per Rechtsklick auf eine Organisationseinheit erreichbar, wie Abbildung  1 zeigt.

Die GPMC erlaubt das Aktualisieren der GPO-Einstellungen auf zahlreichen Computern, allerdings sind mit diesem Ansatz ein paar Nachteile verbunden. GPMC aktualisiert alle Einstellungen in der gewählten Organisationseinheit, man kann damit also nicht einzelne Computer aktualisieren.

Zudem können auch keine einzelnen Einstellungen aktualisiert werden. Das bedeutet, dass man nicht einen einzelnen Nutzer oder einzelne Computereinstellungen aktualisieren kann. Stattdessen werden immer alle Einstellungen für Nutzer und die Computereinstellungen auf den Zielrechnern aktualisiert.

GPMC erstellt zwei Aufgaben auf den entfernten Computern. Aufgabe Nummer 1 aktualisiert die Nutzerkonfiguration mit Hilfe des Kommandozeilenbefehls GPUpdate.exe /target:user /force. Die zweite Aufgabe aktualisiert die Computer-Konfiguration mittels GPUpdate.exe /target:computer /force. Sollte allerdings auf den jeweiligen Zielrechnern die Aufgabenplanung deaktiviert sein, schlagen die Erstellung der Aufgaben und das Update entsprechend fehl.

Eine weitere potenzielle Fehlerquelle: GPMC überprüft nicht, ob GPUdate.exe auf den Zielsystemen überhaupt vorhanden ist. Falls die ausführbare Datei nicht vorhanden ist, schlägt das Update fehl und dieser Fehler wird fatalerweise nicht zur GPMC übertragen. Zudem erfordert diese Methode, dass folgende Firewall-Regeln auf dem Client-Rechner geöffnet sind:

•             Remote Scheduled Tasks Management (RPC)

•             Remote Scheduled Tasks Management (RPC-ERMAP)

•             Windows Management Instrumentation (WMI-IN)

Wenn Sie die GPO-Einstellungen auf einzelnen entfernten Computern aktualisieren wollen, empfehle ich, dass Sie eine Textdatei erstellen, in der die Computer-Namen der zu aktualisierenden GPO-Einstellungen aufgelistet sind.

Windows 8 Gruppenrichtlinien mit Invoke-GPUpdate ausführen

Das PowerShell cmdlet Invoke-GPUpdate arbeitet ähnlich wie GPMC, bietet aber zusätzliche Parameter, mit denen sich GPO-Einstellungen anpassen lassen. Das cmdlet muss auf einem Computer ausgeführt werden, der mindestens Windows 8 oder Windows Server 2012 als Betriebssystem verwendet. Ähnlich wie die GMPC-Methode erstellt auch Invoke-GPUpdate Aufgaben auf dem Zielcomputer. Administratoren können das cmdlet über folgende Parameter anpassen:

AsJob: Wird dieser Parameter übergeben, arbeitet das cmdlet als Job im Hintergrund.

Boot: Dieser Parameter startet den Computer neu, sobald die Einstellungen der Gruppenrichtlinie angewandt wurden.

Computer: Damit lassen sich gezielt einzelne Computer auswählen, die aktualisiert werden sollen. Sie können allerdings immer nur einen Computer angeben.

Force: Dieser Parameter erzwingt die Erneuerung der GPO-Einstellungen. Standardmäßig werden Gruppenrichtlinien nur aktualisiert, wenn die Einstellungen geändert wurden.

LogOff: Der Parameter meldet den Nutzer ab, nachdem die Einstellungen aktualisiert wurden. Das ist etwa dann sinnvoll, wenn es eine neue Gruppenrichtlinie notwendig macht, dass sich der Nutzer erneut anmeldet.

Sync: Der Parameter sorgt dafür, dass das Update synchron abläuft.

Target: Mit Hilfe dieser Option kann man auswählen, ob der Nutzer oder die Computereinstellungen das Ziel des Updates sind.

Sehen wir uns Beispiele an, wie das Invoke-GPUpdate-cmdlet arbeitet. Um die GPO-Aktualisierung auf einem entfernten Computer vorzunehmen, reicht dieser Befehl: Invoke-GPUpdate –Computer Computer 1.

Um nur die Nutzer- oder Computereinstellungen zu aktualisieren, verwenden Sie den Target-Befehl: Invoke-GPUpdate –Computer Computer1 –Target User. Die anderen Befehle lassen sich entsprechend zum Befehl hinzufügen.

Da das Invoke-GPUpdate-cmdlet wie die GPMC auf offene Firewall-Ports angewiesen ist, müssen diese entsprechend geöffnet sein, damit das Update funktioniert.

Ein Nachteil des cmdlets ist, dass über den –computer-Schalter nur ein einzelner Computer angesprochen werden kann. Wollen Sie mehrere Gruppenrichtlinien aktualisieren, müssen sie das Invoke-GPUpdate-cmdlet mit dem Get-Content-cmdlet kombinieren: Get-Content C:\Computers.TXT | Invoke-GPUpdate. Dieses Kommando führt das Invoke-GPUpdate aus und nutzt als Ziel die in der Datei Computers.TXT angegebenen Rechner.

Ein Hinweis: Sowohl GPMC als auch invoke-GPUpdate arbeiten nicht mit Windows XP zusammen. Wollen Sie auf diesen Systemen die GPO-Einstellungen aktualisieren, müssen Sie PSExec.exe oder WMIC nutzen.

Folgen Sie SearchDataCenter.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juni 2014 aktualisiert

Erfahren Sie mehr über Desktop-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close