Computer >> 컴퓨터 >  >> 체계 >> Windows Server

Windows 도메인 컴퓨터에서 그룹 정책 설정 업데이트

이 문서에서는 Active Directory 도메인의 Windows 컴퓨터에서 그룹 정책(GPO) 설정을 업데이트하는 방법을 보여줍니다. 그룹 정책을 자동으로 업데이트(새로 고침)하는 방법, GPUpdate를 사용하는 방법 명령, 그룹 정책 관리 콘솔(GPMC.msc)을 사용하여 원격으로 업데이트하는 방법 ) 또는 Invoke-GPUpdate PowerShell cmdlet.

그룹 정책 새로 고침 간격을 변경하는 방법

로컬 또는 도메인 GPO(그룹 정책)에서 설정한 새 설정이 Windows 클라이언트에 적용되기 전에 그룹 정책 클라이언트 서비스가 정책을 읽고 Windows 설정을 변경해야 합니다. 이 프로세스를 그룹 정책 업데이트라고 합니다. . GPO 설정은 컴퓨터가 부팅되고 사용자가 로그온할 때 업데이트되며 90분마다 백그라운드에서 자동으로 새로 고쳐지고 0-30분의 임의 시간 오프셋이 있습니다(즉, 정책 설정이 90-30분 동안 클라이언트에 확실히 적용됨을 의미합니다. 도메인 컨트롤러에서 GPO 파일을 업데이트한 후 120분).

기본적으로 도메인 컨트롤러는 5분마다 GPO 설정을 더 자주 업데이트합니다.

컴퓨터에 대한 그룹 정책 새로 고침 간격 설정을 사용하여 GPO 업데이트 간격을 변경할 수 있습니다. 옵션은 GPO의 컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> 그룹 정책 섹션에 있습니다.

정책을 활성화하고 다음 옵션에 대한 시간(분)을 설정합니다.

  • 이 설정을 사용하면 그룹 정책이 컴퓨터에 적용되는 빈도를 사용자 지정할 수 있습니다. (0~44640분) 클라이언트가 백그라운드에서 GPO 설정을 새로 고쳐야 하는 빈도입니다. 여기에서 0을 설정하면 정책이 7초마다 업데이트됩니다(할 가치가 없음).
  • 모든 클라이언트가 동시에 그룹 정책을 요청하는 것을 방지하기 위해 새로 고침 간격에 추가되는 임의의 시간입니다. (0~1440분)은 이전 매개변수에 오프셋으로 추가된 임의 시간 간격의 최대값입니다(GPO 파일을 다운로드하기 위해 DC에 대한 동시 클라이언트 호출 수를 줄이는 데 사용됨).

Windows 도메인 컴퓨터에서 그룹 정책 설정 업데이트

GPO를 자주 업데이트하면 도메인 컨트롤러에 대한 트래픽이 증가하고 네트워크 부하가 높아집니다.

GPUpdate.exe 명령을 사용하여 GPO 설정 강제로 새로 고침

모든 관리자는 gpupdate.exe를 알고 있습니다. 컴퓨터에서 그룹 정책 설정을 업데이트할 수 있는 명령입니다. 그렇게 하려면 대부분 gpupdate /force를 사용합니다. 망설임 없이 명령한다. 이 명령은 컴퓨터가 도메인 컨트롤러의 모든 GPO를 읽고 all을 다시 적용하도록 합니다. 설정. 이는 이 키가 사용되면 클라이언트는 도메인 컨트롤러에 연결하여 이를 대상으로 하는 모든 정책에 대한 파일을 검색합니다. 네트워크 및 도메인 컨트롤러의 부하가 높아질 수 있습니다.

간단한 gpudate 매개변수가 없는 명령은 새 GPO 설정과 변경된 GPO 설정만 적용합니다.

성공하면 다음 메시지가 나타납니다.

Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

Windows 도메인 컴퓨터에서 그룹 정책 설정 업데이트

일부 정책 또는 설정이 적용되지 않은 경우 gpresult 명령을 사용하여 문제를 진단하고 그룹 정책을 적용하지 않는 일반적인 문제 문서의 지침을 따르십시오.

사용자의 GPO 설정만 업데이트할 수 있습니다.

gpupdate /target:user

또는 컴퓨터의 정책 설정만:

gpupdate /target:computer /force

일부 정책을 백그라운드에서 업데이트할 수 없는 경우 gpupdate는 현재 사용자를 로그오프할 수 있습니다.

gpupdate /target:user /logoff

또는 컴퓨터를 다시 시작합니다(Windows 부팅 시에만 GPO 변경 사항을 적용할 수 있는 경우):

gpupdate /Boot

그룹 정책 관리 콘솔(GPMC)에서 원격 GPO 업데이트를 강제 실행하는 방법

Windows Server 2012 이상에서는 GPMC.msc를 사용하여 원격으로 도메인 컴퓨터의 그룹 정책 설정을 업데이트할 수 있습니다. (그룹 정책 관리 콘솔).

Windows 10에서 GPMC 콘솔을 사용하려면 RSAT를 설치해야 합니다.

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

그런 다음 설정을 변경하거나 새 GPO를 만들고 연결한 후 GPMC에서 원하는 OU(조직 구성 단위)를 마우스 오른쪽 버튼으로 클릭하고 그룹 정책 업데이트를 선택하면 됩니다. 컨텍스트 메뉴에서. 새 창에서 GPO가 업데이트될 컴퓨터의 수가 표시됩니다. 를 클릭하여 정책의 강제 업데이트를 확인합니다. .

Windows 도메인 컴퓨터에서 그룹 정책 설정 업데이트

그러면 OU의 각 컴퓨터에서 GPO가 원격으로 하나씩 업데이트되고 컴퓨터의 그룹 정책 업데이트 상태(성공/실패)와 함께 결과를 얻을 수 있습니다.

이 기능은 GPUpdate.exe /force를 사용하여 작업 스케줄러에 작업을 생성합니다. 원격 컴퓨터에 로그온한 각 사용자에 대한 명령입니다. 작업은 네트워크 부하를 줄이기 위해 임의의 시간(최대 10분)에 실행됩니다.

GPMC 원격 GPO 업데이트 기능이 클라이언트에서 작동하려면 다음 조건이 충족되어야 합니다.

  • TCP 포트 135는 Windows Defender 방화벽 규칙에서 열려 있어야 합니다.
  • Windows Management Instrumentation 및 작업 스케줄러 서비스를 사용 설정해야 합니다.

컴퓨터가 꺼져 있거나 방화벽이 컴퓨터에 대한 액세스를 차단하면 'The remote procedure call was canceled. Error Code 8007071a '라는 메시지가 컴퓨터 이름 옆에 나타납니다.

실제로 이 기능은 GPUpdate /force를 사용하여 수동으로 GPO 설정을 업데이트한 것과 동일하게 작동합니다. 각 컴퓨터에서 명령을 실행합니다.

Windows 도메인 컴퓨터에서 그룹 정책 설정 업데이트

Invoke-GPUpdate:PowerShell을 통한 원격 그룹 정책 업데이트 강제 실행

Invoke-GPUpdate를 사용하여 컴퓨터에서 원격 GPO 업데이트를 호출할 수도 있습니다. PowerShell cmdlet(RSAT의 일부). 예를 들어 특정 컴퓨터에서 사용자 정책 설정을 원격으로 업데이트하려면 다음 명령을 사용할 수 있습니다.

Invoke-GPUpdate -Computer "frparsrv12" -Target "User"

Invoke-GPUpdate를 실행하면 매개 변수가 없는 cmdlet은 현재 컴퓨터의 GPO 설정(예:gpudate.exe)을 업데이트합니다.

Get-ADComputer cmdlet과 함께 특정 OU의 모든 컴퓨터에서 GPO를 업데이트할 수 있습니다.

Get-ADComputer –filter * -Searchbase "OU=Computes,OU=Mun,OU=DE,dc=woshub,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}

또는 특정 요구 사항을 충족하는 모든 컴퓨터(예:도메인의 모든 Windows Server 호스트):

Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows Server*' }| foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}

RandomDelayInMinutes를 사용하여 GPO를 업데이트하도록 임의의 오프셋을 설정할 수 있습니다. . 따라서 여러 컴퓨터에서 동시에 그룹 정책 설정을 업데이트하면 네트워크 부하를 줄일 수 있습니다. 그룹 정책 설정을 즉시 적용하려면 RandomDelayInMinutes 0 매개변수가 사용됩니다. Invoke-GPUpdate 명령은 사용할 수 없는 컴퓨터에 대해 다음 오류를 반환합니다.

Invoke-GPUpdate: Computer "frparsrv12" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.

Windows 도메인 컴퓨터에서 그룹 정책 설정 업데이트

Invoke-GPUpdate를 실행하면 cmdlet을 원격으로 실행하거나 gpupdate를 실행하는 콘솔 창인 GPMC에서 GPO를 업데이트합니다. 명령이 잠시 동안 사용자 데스크탑에 나타날 수 있습니다.