Server 2012 Gruppenrichtlinien

 

AD Server 2012

 

 

Remote Gpupdate

 

Eine interessante Neuerung der Gruppenrichtlinienverwaltung im Server 2012 ist die Möglichkeit, das Update der GPO auf Remotecomputern zu veranlassen. Dabei wird in der Aufgabenplanung des Remotecomputers eine Aufgabe zur Ausführung von Gpupdate erstellt. Mit dem Powershell Cmdlet Invoke-Gpupdate kann das Updaten der GPO in einem Zeitraum von 1 - 44640 Minuten (31 Tage) erzwungen werden. Nach der Ausführung des Befehls wird zum festgelegten Zeitpunkt das Update der Gruppenrichtlinien durchgeführt. Wird der Wert 0 angegeben wird das Update sofort veranlasst. Wird das Gpupdate mit der Gruppenrichtlinienverwaltung erzwungen, nur für OU’s, wird der Auftrag innerhalb von 10 Minuten ausgeführt.

 

Um den Clientcomputern das Empfangen dieser Anweisungen zu ermöglichen, muss die Firewall entsprechend Konfiguriert werden. Um diese Aufgabe möglichst zu vereinfachen, wurden ein neues Starter-Gruppenrichtlinienobjekt Gruppenrichtlinien-Remoteaktualisierung - Firewallports eingeführt. Es konfiguriert die Windows-Firewall mit den Ausnahmen für die Remoteverwaltung der Aufgabenplanung. Es wurde ein zweites neues Starter-Gruppenrichtlinienobjekt Gruppenrichtlinien für Berichte – Firewallports eingeführt, mit dem der Remote-Abruf der Gruppenrichtlinienergebnisse in der Firewall konfiguriert wird. Aus diesen Starter Objekten können GPO erstellt werden, die mit der Domäne oder den OU der Computer verknüpft werden können. Das GPO zur Konfiguration der Firewall musste vorher auf dem Computer angewendet werden.

 

Im Bild die Starter-Gruppenrichtlinienobjekte und GPO die daraus erstellt und mit der Domäne verknüpft wurden.

 

2012_psh_gpo_0006.jpg

 

Sie sehen auch eine weitere Neuerung der Gruppenrichtlinienverwaltung. Auf der Ebene der Domäne gibt es einen Karteireiter Status. Hier werden Informationen zur Replikation der Gruppenrichtlinien angezeigt.

 

Das Powershell Cmdlet Invoke-GPupdate kann benutzt werden.

 

2012_psh_gpo_0001.jpg

 

Es gibt verschiedene Parameter die zur Ausführung angegeben werden können.

-computer                               gibt den Namen des Computers an, das kann der FQDN, der NetBios-Name oder auch die Domäne sein

-RandomDelayInMinutes       gibt die Zeit an wann der geplante Task ausgeführt werden soll, nach einer zufälligen Zeitspanne wird der Task dann ausgeführt, 0 steht für sofort ausführen

-force                                      erzwingt das vollständige Update der GPO, sonst werden nur geänderte GPO verarbeitet

 

2012_psh_gpo_0004.jpg

 

Im Bild der Befehl zum Durchführen eines Gpupdate auf einem Remote Computer. Die GPO sollen sofort aktualisiert werden.

 

Eine weitere Möglichkeit für die Remoteaktualisierung der GPO bietet die Gruppenrichtlinienverwaltung für selbsterstellte Organisationseinheiten.

 

gpupdate.jpg

 

Bei anklicken der Option Gruppenrichtlinienupdate... im Kontextmenü wird in der Aufgabenplanung der Remotecomputern ein Task erstellt, der auf allen Computern innerhalb der OU in den nächsten 10 Minuten ein Gpupdate ausführt.