Sau khi thay đổi bất kỳ cài đặt Group Policy nào bằng Local GPO Editor (gpedit.msc) hoặc Group Policy Management (gpmc.msc), cài đặt Group Policy mới sẽ không được áp dụng ngay cho User/PC. Bạn có thể đợi GPO tự động cập nhật (mất khoảng 90 phút) hoặc bạn có thể cập nhật và áp dụng các chính sách theo cách thủ công bằng cách sử dụng lệnh GPUpdate. Lệnh này được sử dụng để bắt buộc buộc máy tính cập nhật cài đặt Group Policy ngay lập tức.
Cách GPUpdate làm việc trên Windows?
Windows tự động cập nhật cài đặt Group Policy trong nền. Việc cập nhật này diễn ra liên tục mỗi 90 phút (có thể chênh lệch 30 phút với máy tính người dùng). Điều này có nghĩa là nếu quản trị viên thực hiện thay đổi đối với cài đặt GPO, cài đặt mới sẽ được áp dụng cho máy tính của người dùng trong vòng 2 giờ (tối đa 120 phút).
Bạn có thể thay đổi tần suất cập nhật Group Policy bằng tùy chọn GPO Set Group Policy refresh interval for computers (Computer Configuration > Administrative Templates > System > Group Policy)
Bạn có thể định cấu hình thời gian làm mới và độ trễ cập nhật (điều này cho phép bạn tránh việc cập nhật cài đặt GPO đồng thời trên tất cả các máy cùng một lúc).
Tại đây cũng có một tùy chọn Group Policy refresh interval for domain controller. Nó cho phép bạn thay đổi thời gian làm mới chính sách mặc định cho DC (5 phút theo mặc định).
Trong mục User Configuration > Administrative Templates > System > Group Policy, cũng có một tham số riêng là Set Group Policy refresh interval for users.
Mẹo: Các tùy chọn cập nhật GPO theo mặc định đã phù hợp với hầu hết các trường hợp nên bạn không nên cấu hình các tham số này theo cách thủ công.
Để cập nhật cài đặt GPO trên máy người dùng theo cách thủ công, bạn có thể sử dụng lệnh gpupdate.
Cú pháp đầy đủ của lệnh gpupdate như sau:
Gpupdate [/Target:{Computer | User}] [/Force] [/Wait:<value>] [/Logoff] [/Boot] [/Sync]
Chú ý: Lệnh secedit/refreshpolicy được sử dụng trong Windows 2000 để làm mới các chính sách nhóm theo cách thủ công. Trong các phiên bản Windows mới hơn, nó đã được thay thế bằng công cụ GPUpdate.exe.
Bạn chỉ có thể cập nhật chính sách cho người dùng hoặc máy tính bằng tùy chọn /target. Ví dụ:
gpudate /target:user
gpupdate /target:computerĐể thực thi cập nhật cài đặt Group Policy, bạn có thể sử dụng lệnh GPUpdate /force.
Điểm khác biệt giữa GPUpdate và GPUpdate /force?
Lệnh gpupdate chỉ cập nhật các chính sách đã thay đổi, còn lệnh gpupdate /force áp dụng lại tất cả các chính sách cả mới và cũ (bất kể chúng đã được thay đổi hay chưa).
Trong hầu hết các trường hợp, bạn chỉ cần chạy lệnh gpupdate để cập nhật các thay đổi GPO trên máy tính. Trong các hệ thống Active Directory lớn, việc sử dụng thường xuyên /force khi cập nhật GPO sẽ gây tải nặng cho Domain Controllers. Điều này là do máy tính sẽ tải lại tất cả các file của GPO được áp dụng cho PC/user. Do đó, trong hầu hết các trường hợp, bạn không nên sử dụng lệnh gpupdate /force.
Bạn có thể thêm độ trễ (tối đa 600 giây) trước khi cập nhật chính sách bằng tham số /wait:
Gpupdate /wait:30Vì một số chính sách người dùng không thể được cập nhật ở chế độ nền mà chỉ thực hiện khi người dùng đăng nhập (cài đặt chương trình, chuyển hướng thư mục, v.v.), bạn có thể đăng xuất User hiện tại bằng lệnh:
gpupdate /logoffMột số policy chỉ có thể được áp dụng khi khởi động lại máy tính, vì vậy bạn có thể khởi động lại máy tính bằng tham số /Boot
gpupdate /BootCách cập nhật cài đặt Group Policy trên Remote Computer?
Bạn có thể sử dụng lệnh Invoke-GPUpdate để cập nhật cài đặt Group Policy trên máy tính remote. Lệnh này không được cài đặt mặc định trên Windows.
Lệnh Invoke-GPUpdate có hiệu lực trên domain controllers với vai trò ADDS hoặc trên máy tính đã cài đặt Group Policy Management Update management (gpmc.msc). Bạn có thể cài đặt bảng điều khiển này và Lệnh quản lý GPO trong Windows 10 và 11 từ RSAT:
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0Để cập nhật cài đặt GPO trên máy remote, hãy chạy lệnh:
Invoke-GPUpdate -Computer PC1 -ForceGhi chú: PowerShell Remote được sử dụng để kết nối với các máy tính từ xa. Điều này có nghĩa là các máy tính phải được cấu hình dịch vụ WinRM và cho phép kết nối từ xa trong Windows Defender Firewall:
- Remote Scheduled Tasks Management (RPC)
- Remote Scheduled Tasks Management (RPC-ERMAP)
- Windows Management Instrumentation (WMI-IN)
Theo mặc định, lệnh này không áp dụng các chính sách mới ngay lập tức mà thay vào đó, thêm một Job mới vào Task Scheduler để chạy ở một khoảng thời gian ngẫu nhiên.
Bạn có thể chỉ định khoảng thời gian làm mới chính sách theo cách thủ công bằng cách sử dụng tham số RandomDelayInMinutes. Để cập nhật cài đặt GPO ngay lập tức, hãy chạy:
Invoke-GPUpdate -Computer PC1 -RandomDelayInMinutes 0Một số cài đặt GPO có thể không được cập nhật đồng bộ trong nền. Ví dụ: hầu hết Group Policy Client Side Extensions (CSEs) không được xử lý trong nền. Trong những trường hợp như vậy, bạn cần sử dụng các tùy chọn bổ sung:
- Boot — khởi động lại máy tính sau khi policy được tải xuống;
- LogOff — Kết thúc phiên làm việc người dùng.
Ví dụ:
Invoke-GPUpdate -Computer PC1 -RandomDelayInMinutes 0 -Target 'User' -LogOff -ForceBạn có thể buộc cập nhật chính sách trên tất cả các máy tính trong Active Directory OU được chỉ định bằng các lệnh:
$Comps = Get-AdComputer -SearchBase "OU=Computers,OU=Mun,OU=DE,DC=theitbros,DC=com" -Filter *
Foreach ($Comp in $Comps) {invoke-gpupdate -Computer $Comp.Name}Bạn có thể cập nhật chính sách từ xa bằng bảng điều khiển Group Policy Management . Nhấp chuột phải vào OU và chọn Group Policy Update.
Thao tác này sẽ cập nhật chính sách người dùng và máy tính trên tất cả các máy tính trong OU đã chọn.
Nếu RSAT không được cài đặt trên máy tính của bạn, bạn có thể thực hiện cập nhật GPO từ xa bằng công cụ psexec hoặc lệnh Invoke-Command PowerShell:
PsExec \\PC1 gpupdateHoặc:
Invoke-Command -ScriptBlock { gpupdate /force} -ComputerName PC1
