이 문서에서는 Active Directory 도메인의 Windows 컴퓨터에서 그룹 정책(GPO) 설정을 업데이트하는 방법을 보여줍니다. 그룹 정책을 자동으로 업데이트(새로 고침)하는 방법, GPUpdate를 사용하는 방법 명령, 그룹 정책 관리 콘솔(GPMC.msc)을 사용하여 원격으로 업데이트하는 방법 ) 또는 Invoke-GPUpdate PowerShell cmdlet.
그룹 정책 새로 고침 간격을 변경하는 방법
로컬 또는 도메인 GPO(그룹 정책)에서 설정한 새 설정이 Windows 클라이언트에 적용되기 전에 그룹 정책 클라이언트 서비스가 정책을 읽고 Windows 설정을 변경해야 합니다. 이 프로세스를 그룹 정책 업데이트라고 합니다. . GPO 설정은 컴퓨터가 부팅되고 사용자가 로그온할 때 업데이트되며 90분마다 백그라운드에서 자동으로 새로 고쳐지고 0-30분의 임의 시간 오프셋이 있습니다(즉, 정책 설정이 90-30분 동안 클라이언트에 확실히 적용됨을 의미합니다. 도메인 컨트롤러에서 GPO 파일을 업데이트한 후 120분).
기본적으로 도메인 컨트롤러는 5분마다 GPO 설정을 더 자주 업데이트합니다.컴퓨터에 대한 그룹 정책 새로 고침 간격 설정을 사용하여 GPO 업데이트 간격을 변경할 수 있습니다. 옵션은 GPO의 컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> 그룹 정책 섹션에 있습니다.
정책을 활성화하고 다음 옵션에 대한 시간(분)을 설정합니다.
- 이 설정을 사용하면 그룹 정책이 컴퓨터에 적용되는 빈도를 사용자 지정할 수 있습니다. (0~44640분) 클라이언트가 백그라운드에서 GPO 설정을 새로 고쳐야 하는 빈도입니다. 여기에서 0을 설정하면 정책이 7초마다 업데이트됩니다(할 가치가 없음).
- 모든 클라이언트가 동시에 그룹 정책을 요청하는 것을 방지하기 위해 새로 고침 간격에 추가되는 임의의 시간입니다. (0~1440분)은 이전 매개변수에 오프셋으로 추가된 임의 시간 간격의 최대값입니다(GPO 파일을 다운로드하기 위해 DC에 대한 동시 클라이언트 호출 수를 줄이는 데 사용됨).
GPUpdate.exe 명령을 사용하여 GPO 설정 강제로 새로 고침
모든 관리자는 gpupdate.exe를 알고 있습니다. 컴퓨터에서 그룹 정책 설정을 업데이트할 수 있는 명령입니다. 그렇게 하려면 대부분 gpupdate /force를 사용합니다. 망설임 없이 명령한다. 이 명령은 컴퓨터가 도메인 컨트롤러의 모든 GPO를 읽고 all을 다시 적용하도록 합니다. 설정. 이는 힘이 키가 사용되면 클라이언트는 도메인 컨트롤러에 연결하여 이를 대상으로 하는 모든 정책에 대한 파일을 검색합니다. 네트워크 및 도메인 컨트롤러의 부하가 높아질 수 있습니다.
간단한 gpudate 매개변수가 없는 명령은 새 GPO 설정과 변경된 GPO 설정만 적용합니다.
성공하면 다음 메시지가 나타납니다.
Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
사용자의 GPO 설정만 업데이트할 수 있습니다.
gpupdate /target:user
또는 컴퓨터의 정책 설정만:
gpupdate /target:computer /force
일부 정책을 백그라운드에서 업데이트할 수 없는 경우 gpupdate는 현재 사용자를 로그오프할 수 있습니다.
gpupdate /target:user /logoff
또는 컴퓨터를 다시 시작합니다(Windows 부팅 시에만 GPO 변경 사항을 적용할 수 있는 경우):
gpupdate /Boot
그룹 정책 관리 콘솔(GPMC)에서 원격 GPO 업데이트를 강제 실행하는 방법
Windows Server 2012 이상에서는 GPMC.msc를 사용하여 원격으로 도메인 컴퓨터의 그룹 정책 설정을 업데이트할 수 있습니다. (그룹 정책 관리 콘솔).
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
그런 다음 설정을 변경하거나 새 GPO를 만들고 연결한 후 GPMC에서 원하는 OU(조직 구성 단위)를 마우스 오른쪽 버튼으로 클릭하고 그룹 정책 업데이트를 선택하면 됩니다. 컨텍스트 메뉴에서. 새 창에서 GPO가 업데이트될 컴퓨터의 수가 표시됩니다. 예를 클릭하여 정책의 강제 업데이트를 확인합니다. .
그러면 OU의 각 컴퓨터에서 GPO가 원격으로 하나씩 업데이트되고 컴퓨터의 그룹 정책 업데이트 상태(성공/실패)와 함께 결과를 얻을 수 있습니다.
이 기능은 GPUpdate.exe /force를 사용하여 작업 스케줄러에 작업을 생성합니다. 원격 컴퓨터에 로그온한 각 사용자에 대한 명령입니다. 작업은 네트워크 부하를 줄이기 위해 임의의 시간(최대 10분)에 실행됩니다.
- TCP 포트 135는 Windows Defender 방화벽 규칙에서 열려 있어야 합니다.
- Windows Management Instrumentation 및 작업 스케줄러 서비스를 사용 설정해야 합니다.
컴퓨터가 꺼져 있거나 방화벽이 컴퓨터에 대한 액세스를 차단하면 'The remote procedure call was canceled. Error Code 8007071a '라는 메시지가 컴퓨터 이름 옆에 나타납니다.
실제로 이 기능은 GPUpdate /force를 사용하여 수동으로 GPO 설정을 업데이트한 것과 동일하게 작동합니다. 각 컴퓨터에서 명령을 실행합니다.
Invoke-GPUpdate:PowerShell을 통한 원격 그룹 정책 업데이트 강제 실행
Invoke-GPUpdate를 사용하여 컴퓨터에서 원격 GPO 업데이트를 호출할 수도 있습니다. PowerShell cmdlet(RSAT의 일부). 예를 들어 특정 컴퓨터에서 사용자 정책 설정을 원격으로 업데이트하려면 다음 명령을 사용할 수 있습니다.
Invoke-GPUpdate -Computer "frparsrv12" -Target "User"
Invoke-GPUpdate를 실행하면 매개 변수가 없는 cmdlet은 현재 컴퓨터의 GPO 설정(예:gpudate.exe)을 업데이트합니다.
Get-ADComputer cmdlet과 함께 특정 OU의 모든 컴퓨터에서 GPO를 업데이트할 수 있습니다.
Get-ADComputer –filter * -Searchbase "OU=Computes,OU=Mun,OU=DE,dc=woshub,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}
또는 특정 요구 사항을 충족하는 모든 컴퓨터(예:도메인의 모든 Windows Server 호스트):
Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows Server*' }| foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}
RandomDelayInMinutes 0 매개변수가 사용됩니다. Invoke-GPUpdate 명령은 사용할 수 없는 컴퓨터에 대해 다음 오류를 반환합니다. Invoke-GPUpdate: Computer "frparsrv12" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.
Invoke-GPUpdate를 실행하면 cmdlet을 원격으로 실행하거나 gpupdate를 실행하는 콘솔 창인 GPMC에서 GPO를 업데이트합니다. 명령이 잠시 동안 사용자 데스크탑에 나타날 수 있습니다.