Remote-Gruppenrichtlinienupdate

Dieser Artikel gilt für: Windows Server 2012, Windows Server 2012 R2, Windows 8, Windows 8.1

Gruppenrichtlinienupdate bisher

Gruppenrichtlinien auf vielen Clients zu updaten, war bisher immer eine aufwändige Prozedur. Meist musste sich der Administrator auf allen Clients einzeln einloggen und dort das Kommando gpupdate /force ausführen. Da dies bei einer großen Anzahl an Clients mit viel Aufwand verbunden war, wurde im TechNet-Blog extra ein Beitrag über das domänenweite Updaten der Gruppenrichtlinien mittels Powershell [1] verfasst.

Dies lässt sich nun seit Windows Server 2012 (bzw. Windows 8 mit Remoteserver-Verwaltungstools) sehr viel einfacher durchführen.

Remote-Gruppenrichtlinienupdate

Eine der vielen Neuerungen in Windows Server 2012 ist die Möglichkeit, Gruppenrichtlinienupdates remote zu erzwingen. Hierzu benötigt man entweder einen Windows Server 2012 (R2) oder einen Windows 8 (oder 8.1) Client mit installierten Remoteserver-Verwaltungstools (Downloads unter [3] und [4]). Außerdem müssen auf den Clients die folgenden eingehenden Ports freigeschaltet werden, siehe [2]:

Serverport

Arten von Netzwerkdatenverkehr

Dynamische TCP RPC-Ports, Planung (Aufgabenplanungsdienst)

Remoteverwaltung geplanter Aufgaben (RPC)

TCP-Port 135, RPCSS (Remoteprozeduraufruf-Service)

Remoteverwaltung geplanter Aufgaben (RPC-EPMAP)

TCP alle Ports, Winmgmt (Windows-Verwaltungsinstrumentationsdienst)

Windows-Verwaltungsinstrumentation (WMI-in)

Für die Einstellung der Firewall existiert bereits ein Starter-GPO mit dem Namen Gruppenrichtlinien-Remoteaktualisierung – Firewallports (bzw. Group Policy Remote Update Firewall Ports). Am besten erstellt man nun ein neues Gruppenrichtlinienobjekt und verwendet für dieses das oben genannte Starter-GPO

Dieses verlinkt man anschließend mit der gewünschten Domäne oder OU (in unserem Fall mit der OU Clients).

Nun muss dieses Gruppenrichtlinienobjekt natürlich noch auf die Clients angewandt werden und da die Firewalls der Clients eben erst durch dieses GPO angepasst werden, muss nun noch ein letztes Mal auf den Clients gpupdate /force ausgeführt werden.

Anschließend kann man im Gruppenrichtlinieneditor (Group Policy Management Console) das Kommando Gruppenrichtlinienupdate (bzw. Group Policy Update) durchführen.

Nun muss man die Ausführung noch bestätigen. Hier wird nochmals angezeigt, auf wieviele Systeme das Gruppenrichtlinienupdate angewandt wird.

Nach erfolgreichem Ausführen werden alle Systeme aufgelistet, auf die das Gruppenrichtlinienupdate angewandt wurde (hier nur der Client Merkur).

Alternativ lässt sich das Gruppenrichtlinienupdate natürlich auch über die Powershell durchführen. Hierzu verwendet man das Cmdlet Invoke-GPUpdate. In unserem Beispiel mit der OU Clients in der Domäne galaxy.local würde man dann folgenden Befehl verwenden:

Get-ADComputer –filter * -Searchbase "ou=Clients, dc=galaxy, dc=local" | foreach{ Invoke-GPUpdate –computer $_.name –force }

Möglicher Fehler

Sind auf den Clients die entsprechenden Firewallports noch nicht freigeschaltet, so kommt es zu folgendem Fehler beim Durchführen des Remote-Gruppenrichtlinienupdates:

In diesem Fall sollte man sicherstellen, dass wirklich alle benötigten Ports auf dem Client freigeschalten sind. Am besten verwendet man hierzu das oben genannte Starter-GPO, um die Firewall der Clients zu konfigurieren.

[1] Force a Domain-Wide Update of Group Policy with PowerShell
[2] Erzwingen eines Remoteupdates von Gruppenrichtlinien
[3] Download der Remoteserver-Verwaltungstools für Windows 8
[4] Download der Remoteserver-Verwaltungstools für Windows 8.1

UNSERE NÄCHSTEN SCHULUNGEN