locked
Quand se fait le gpupdate /force RRS feed

  • Question

  • Bonjour,

    Nous avons des contrôleurs de domaine Windows server 2008 R2 et des postes avec Windows 7 x64.

    Des fois, nous modifions ou appliquons des GPO et celles-ci ne s'appliquent pas tant qu'on ne fait pas un gpupdate /force. Pouvez-vous me dire quand est-ce que le gpupdate /force se fait ? Se fait-il automatiquement tous les x temps ?

    Merci pour votre réponse et belle après-midi.

    jeudi 30 août 2012 10:35

Réponses

  • Par défaut les GPO s'appliquent toutes les 90mn avec un delta aléatoire de 0 à 30mn, vous pouvez modifier ce comportement dans la GPO Ordinateur\Administrative template\system\group policy

    La commande /force permet de resynchroniser non seulement les GPO modifiés, mais aussi celles qui sont identiques :

    /Force                     Reapplies all policy settings. By default,
                                only policy settings that have changed are
                                applied.

    Cependant, certaines GPO ne s'appliquent qu'au démarrage de la station ou au logon, et ne sont donc pas rafraichies par la suite.

    jeudi 30 août 2012 11:07
  • Normalement toutes les GPO sont appliquées au démarrage et au logon, avec cependant quelques cas particuliers :

    - slow link detection : ne devrait pas d'appliquer sur de l'Ethernet sauf si vous avez avec des problèmes physiques (http://technet.microsoft.com/fr-fr/library/cc728359(v=ws.10))

    - cached credential : avec NT6 (Windows Vista, 7 et 2008), les credentials utilisateurs peuvent être mis en cache, ce qui lui permet d'ouvrir 1 session (mais pas 2 consécutives) sans avoir besoin de contacter un DC. Pour vérifier ce scénario, il suffit de vous reconnecter 2x de suite avec le même utilisateur et vérifier l'application des GPO avec la console RSoP (Resultant Set of Policy). Source: http://technet.microsoft.com/fr-fr/library/cc736905(v=ws.10).aspx

    - vous pouvez avoir des problèmes de réplication de DC : vous modifiez les GPO sur un DC, mais elles ne s'appliquent pas sur les autres DC, dont celui contacté par l'utilisateur. Pour l'ordinateur client il n'y a donc pas de modification de GPO. Il vous faut vérifier pour cela que la réplication entre DC fonctionne correctement. Plus de lecture ici : http://technet.microsoft.com/fr-fr/library/cc739009(v=ws.10))

    Vérifier dans tous les cas les journaux d'évenement du poste client et des DC.

    jeudi 30 août 2012 11:31
  • Bonsoir,

    il y a un autre piège que ne permet pas de lever GPUPDATE /Force.

    Par exemple, si vous avez créé une GPO qui exécute un script. Si le script est modifié directement, sans passer par la GPO (par exemple s'il se trouve dans le partage NETLOGON), alors la GPO n'est pas considérée comme modifiée. GPUPDATE indiquera dans les évènements qu'il aura rejoué les stratégies mais n'aura rien fait, car il  considère qu'elles sont déjà complètement appliquées.

    => Pour que la stratégie soit toujours considérée comme nouvelle à appliquer, veillez à toujours modifier un attribut (Nom, Libellé)en passant sur la zone (ajouter/supprimer un caractère), puis enregistrer. Vérifier que la date et heure de la stratégie soient bien modifiées.

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    • Marqué comme réponse Florin Ciuca vendredi 31 août 2012 19:11
    jeudi 30 août 2012 21:43

Toutes les réponses

  • Par défaut les GPO s'appliquent toutes les 90mn avec un delta aléatoire de 0 à 30mn, vous pouvez modifier ce comportement dans la GPO Ordinateur\Administrative template\system\group policy

    La commande /force permet de resynchroniser non seulement les GPO modifiés, mais aussi celles qui sont identiques :

    /Force                     Reapplies all policy settings. By default,
                                only policy settings that have changed are
                                applied.

    Cependant, certaines GPO ne s'appliquent qu'au démarrage de la station ou au logon, et ne sont donc pas rafraichies par la suite.

    jeudi 30 août 2012 11:07
  • Merci beaucoup pour votre réponse.

    Je ne connaissais pas cette option dans les GPO, merci.

    Je vous donne un exemple. Nous avons une GPO qui définit des sites à la zone de l'intranet pour internet explorer. Si j'enlève manuellement l'un des sites sur un ordinateur et que je le redémarre, le site que j'ai enlevé ne se réinscrit pas, mais en faisant un gpupdate /force, ça le rajoute. Alors que j'ai bien redémarré l'ordinateur.

    Les GPO identiques ne sont jamais réappliquées ? Comme dans mon cas où j'ai enlevé un site ?

    Merci beaucoup.

    jeudi 30 août 2012 11:19
  • Normalement toutes les GPO sont appliquées au démarrage et au logon, avec cependant quelques cas particuliers :

    - slow link detection : ne devrait pas d'appliquer sur de l'Ethernet sauf si vous avez avec des problèmes physiques (http://technet.microsoft.com/fr-fr/library/cc728359(v=ws.10))

    - cached credential : avec NT6 (Windows Vista, 7 et 2008), les credentials utilisateurs peuvent être mis en cache, ce qui lui permet d'ouvrir 1 session (mais pas 2 consécutives) sans avoir besoin de contacter un DC. Pour vérifier ce scénario, il suffit de vous reconnecter 2x de suite avec le même utilisateur et vérifier l'application des GPO avec la console RSoP (Resultant Set of Policy). Source: http://technet.microsoft.com/fr-fr/library/cc736905(v=ws.10).aspx

    - vous pouvez avoir des problèmes de réplication de DC : vous modifiez les GPO sur un DC, mais elles ne s'appliquent pas sur les autres DC, dont celui contacté par l'utilisateur. Pour l'ordinateur client il n'y a donc pas de modification de GPO. Il vous faut vérifier pour cela que la réplication entre DC fonctionne correctement. Plus de lecture ici : http://technet.microsoft.com/fr-fr/library/cc739009(v=ws.10))

    Vérifier dans tous les cas les journaux d'évenement du poste client et des DC.

    jeudi 30 août 2012 11:31
  • Merci infiniment pour ce partage de connaissance, ça m'a bien renseigné.

    Belle fin de journée et encore merci.

    jeudi 30 août 2012 13:12
  • Bonsoir,

    il y a un autre piège que ne permet pas de lever GPUPDATE /Force.

    Par exemple, si vous avez créé une GPO qui exécute un script. Si le script est modifié directement, sans passer par la GPO (par exemple s'il se trouve dans le partage NETLOGON), alors la GPO n'est pas considérée comme modifiée. GPUPDATE indiquera dans les évènements qu'il aura rejoué les stratégies mais n'aura rien fait, car il  considère qu'elles sont déjà complètement appliquées.

    => Pour que la stratégie soit toujours considérée comme nouvelle à appliquer, veillez à toujours modifier un attribut (Nom, Libellé)en passant sur la zone (ajouter/supprimer un caractère), puis enregistrer. Vérifier que la date et heure de la stratégie soient bien modifiées.

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    • Marqué comme réponse Florin Ciuca vendredi 31 août 2012 19:11
    jeudi 30 août 2012 21:43