Scopri com'è possibile azzerare il tempo di attesa e completare l'elaborazione dei criteri in background

Forzare l’aggiornamento di una Group Policy

Immagina di ricevere una telefonata dallo specialista della sicurezza che gestisce i tuoi firewall e server proxy. Ti dice che ha aggiunto un server proxy aggiuntivo per gli utenti che accedono a Internet. Si aggiunge un nuovo GPO che interessa tutti gli utenti in modo che possano utilizzare il nuovo server proxy tramite Internet Explorer.

Di solito, occorrono da 90 a 120 minuti per applicare un nuovo GPO, ma è necessario applicare le nuove impostazioni immediatamente e non è possibile chiedere agli utenti di disconnettersi e ricollegarsi per applicarle. In casi come questi, è possibile azzerare il tempo di attesa e completare l'elaborazione dei criteri in background. È possibile farlo utilizzando il prompt dei comandi, la Group Policy Management Console (GPMC) o PowerShell.

 

Forzare l’aggiornamento di una Group Policy usando la Prompt dei comandi

La prima opzione è eseguire un semplice comando che comunichi al client di ignorare il normale intervallo di elaborazione in background e aggiornare o modificare tutti i GPOs dal server immediatamente. Tuttavia, è necessario eseguire il tracking fisico su ciascun computer user e immettere il comando gpupdate, aggiornando manualmente il Group Policy object insieme con altri nuovi o cambiati GPOs.

Si noti che l'esecuzione del comando gpupdate senza parametri aggiornerà sia la metà dell'User che quella del Computer del GPOs. Per aggiornare solo una metà o l'altra, è necessario utilizzare questa sintassi:

gpupdate /Target:Computer, /Target:User

L'esecuzione di gpupdate mentre un utente è connesso a un computer dà immediatamente a Windows le nuove impostazioni del GPOs (presupponendo, ovviamente, che il controller di dominio disponga delle informazioni sui GPOs replicati).

In Windows XP e versioni successive, Fast Boot, Software Distribution e Folder Redirection sono abilitati per impostazione predefinita, quindi le impostazioni vengono elaborate solo al successivo accesso. Se si utilizza gli switch giusti, gpupdate può capire se gli elementi appena modificati richiedono una disconnessione o il riavvio per essere attivi:

  • • L'esecuzione di gpupdate con l'opzione / Logoff determinerà se una modifica della politica in Active Directory richiede la disconnessione dell'utente. In caso contrario, le nuove impostazioni vengono applicate immediatamente; in questo caso, l'utente verrà disconnesso automaticamente e le impostazioni del GPOs verranno applicate al nuovo accesso.
  • Analogamente, se Fast Boot è abilitato, è necessario un riavvio per applicare il GPOs che abbia le impostazioni di Software Distribution. L'esecuzione di gpupdate con lo switch / boot determinerà se un criterio ha qualcosa che richiede un riavvio e riavvierà automaticamente il computer. Se il GPOs aggiornato non richiede il riavvio, le impostazioni del GPOs verranno applicate e l'User rimarrà connesso.

Entrambi gli switch / Logoff e / boot sono facoltativi.

La discussione fino ad ora si applica solo a nuovi GPO e alle modifiche di quelli esistenti. Comunque, a volte è possibile applicare tutti i GPOs a un computer, non solo ai GPOs nuovi o modificati, ma anche a quelli vecchi.

In tal caso, è necessario utilizzare lo switch / force con gpupdate, come segue:

gpupdate /force

Altre opzioni sono disponibili in combinazione con / force, e includono:

  • /Logoff — Disconnette l'utente dopo aver aggiornato le impostazioni della Group Policy.
  • /Sync — Cambia l'elaborazione in primo piano (startup/logon) in sincrono.
  • /Boot — Riavvia la macchina dopo aver applicato le impostazioni della Group Policy.

Forzare un aggiornamento della Group Policy utilizzando la Management Console della Group Policy

In alternativa alla command-line tools, è possibile forzare un aggiornamento della Group Policy utilizzando la Group Policy Management Console (GPMC). GPMC è inclusa in ogni Microsoft Windows Server da Windows Server 2008; è anche possibile farlo installando Remote Server Administration Tools (RSAT).

Per forzare l'applicazione di un GPO, seguire questi semplici passaggi:

  1. Apri
  2. Collega il GPO a un OU.
  3. Tasto destro sul OU e seleziona l’opzione “Group Policy Update”.
  4. Conferma l'azione nella finestra di dialogo Force Group Policy Update facendo clic su "Yes".

 

Forzare un aggiornamento della Group Policy tramite PowerShell

Da Windows Server 2012, è possibile forzare il refresh della Group Policy utilizzando il cmdlet PowerShell Invoke-GPUpdate. Questo comando può essere utilizzato per l'aggiornamento remoto della Group Policy dei computer client Windows. Sarà necessario aver installato sia PowerShell che la Group Policy Management Console.

Ecco un esempio di utilizzo di questo cmdlet per imporre un aggiornamento immediato della Group Policy su un determinato computer:

Invoke-GPUpdate -Computer WKS0456 = RandomDelayMinutes 0

Il parametro RandomDelayMinutes 0 assicura che la policy sia aggiornata all’istante. L'unico svantaggio dell'uso di questo parametro è che gli utenti avranno una schermata cmd pop-up.

Se si volesse forzare un aggiornamento su tutti i computer, eseguire questi comandi:

 

$compgpoupd = Get-ADComputer -Filter *

 

$compgpoupd | ForEach-Object -Process {Invoke-GPUpdate -Computer $_.name -RandomDelayInMinutes 0 -Force}

Questo codice otterrà tutti i computer dal dominio, li metterà in una variabile ed eseguirà i comandi per ogni oggetto.

 

GPO Background Refresh

Tutti i client Group Policy elaborano il GPOs quando viene passato l'intervallo di aggiornamento in background, ma elaborano solo i nuovi GPOs o quelli modificati dall'ultima volta in cui il client li ha richiesti.

Tuttavia, per le impostazioni di sicurezza, il motore della Group Policy funziona diversamente. Richiede uno speciale refresh in background solo per le impostazioni dei criteri di sicurezza. Questo è chiamato background security refresh ed è valido per ogni versione di Windows Server. Ogni 16 ore, ciascun client Group Policy chiede ad Active Directory tutti i GPOs che contengono le impostazioni di sicurezza (non solo quelle che sono state modificate) e riapplica quelle stesse impostazioni di sicurezza. Ciò garantisce che se è stata modificata un'impostazione di sicurezza sul client (dietro il ritorno del motore della Group Policy), viene automaticamente ripristinata l'impostazione corretta entro 16 ore.

 

Background Refresh Process per i GPOs locali

Se gli utenti sono amministratori locali delle proprie macchine Windows, hanno il controllo totale per aggirare i processi del motore della Group Policy e possono apportare modifiche alle policy locali: modifiche che potrebbero annullare una policy che è stata impostata con un GPOs, incluse le cose sul sistema che non dovrebbero essere cambiate. Per evitare questo problema, è necessario fornire agli account degli amministratori locali solo alcuni utenti privilegiati che non possono lavorare con i diritti di amministratore locale o concedere i diritti di amministratore locale solo alle applicazioni che gli utenti con privilegi devono eseguire. Non si dovrebbe mai concedere diritti amministrativi agli utenti normali.

 

Riapplicazione obbligatoria delle impostazioni che non sono di sicurezza della Group Policy

Come descritto sopra, l'aggiornamento della protezione in background aggiorna tutte le impostazioni dei criteri relative alla sicurezza ogni 16 ore. A volte è comunque necessario forzare l'applicazione delle impostazioni che non sono di sicurezza, anche se i GPOs sui server non sono stati modificati per correggere gli exploit che non sono specificamente correlati alla sicurezza.

È possibile scegliere di imporre la riapplicazione delle seguenti aree della Group Policy durante ogni elaborazione iniziale dei criteri e aggiornamento in background:

  • Registry (Administrative Templates)
  • Internet Explorer Maintenance
  • IP Security
  • EFS Recovery Policy
  • Wireless Policy
  • Disk Quota
  • Scripts
  • Security
  • Folder Redirection
  • Software Installation
  • Wired Policy

 

Conclusione

Per ricapitolare, quando si modifica un GPOs in Active Directory, questo verrà automaticamente applicato al successivo intervallo di aggiornamento; puoi anche forzare un refresh per applicarlo immediatamente ai tuoi sistemi client. Come misura di sicurezza aggiuntiva, è possibile impostare la richiesta obbligatoria per garantire che determinate impostazioni della Group Policy vengano sempre applicate, anche se non sono state modificate. Ciò consente di annullare eventuali modifiche indesiderate apportate dagli amministratori locali.

Fonte: originariamente pubblicato a Febbraio 2017 e aggiornato a Maggio 2019

Articolo di Jeff Melnick