Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Fuerce una actualización de la Directiva de Grupo con GPUpdate/Force

Fuerce una actualización de la Directiva de Grupo con GPUpdate/Force

Feb 17, 2017

Forzar una actualización de Group Policy asegura que los ajustes nuevos o modificados se apliquen inmediatamente en lugar de esperar el ciclo de actualización estándar de 90–120 minutos. Los administradores pueden desencadenar actualizaciones utilizando el comando gpupdate /force, la Consola de Administración de Group Policy Management, o PowerShell con Invoke-GPUpdate. Aunque /force reaplica todas las GPOs, puede sobrecargar los controladores de dominio, por lo que es mejor usarlo de manera selectiva cuando se requiere una re-aplicación urgente.

Imagina que recibes una llamada telefónica del especialista en seguridad que maneja tus cortafuegos y servidores proxy. Te informa que ha añadido un servidor proxy adicional para los usuarios que acceden a internet. Agregas una nueva GPO que afecta a todos los usuarios para que puedan utilizar el nuevo servidor proxy a través de Internet Explorer. Normalmente, se tarda entre 90 y 120 minutos para que se aplique una nueva GPO, pero necesitas que los nuevos ajustes se apliquen ahora mismo, y no puedes decirles a tus usuarios que cierren sesión y vuelvan a iniciarla para aplicarlos. En casos como estos, podrías querer evitar el tiempo de espera normal antes de que el procesamiento de políticas de fondo comience. Puedes hacerlo utilizando el símbolo del sistema, la Group Policy Management Console (GPMC) o PowerShell.

¿Qué es GPUupdate

La Directiva de Grupo es una característica valiosa de Active Directory que permite a los administradores aplicar una amplia gama de configuraciones a usuarios y computadoras. Es crítico para la seguridad y productividad que los cambios en los objetos de Directiva de Grupo (GPOs) y los nuevos GPOs se apliquen de manera oportuna.

En consecuencia, la Directiva de grupo se actualiza automáticamente cada vez que se reinicia un equipo miembro del dominio o un usuario inicia sesión en él. También se actualiza automáticamente en un intervalo de actualización de fondo definido (por defecto, cada 90 minutos con un desfase aleatorio de hasta 30 minutos).

A veces, sin embargo, los administradores necesitan aplicar configuraciones de GPO a los sistemas cliente de inmediato, como cuando crean una nueva política o realizan un cambio importante en una política existente. Además, a veces quieren no solo aplicar cambios sino también reaplicar GPOs que no han sido modificados, generalmente con el fin de revertir cambios no deseados realizados en máquinas locales.

Este documento le guía a través de las formas en las que puede forzar una actualización de la Directiva de Grupo.

GPUpdate frente al comando GPUpdate /force

El comando gpupdate /force es uno de los comandos más utilizados para actualizar la política de grupo. El interruptor /force permite a los administradores volver a aplicar todas las configuraciones de política. Sin embargo, es importante considerar que el uso del interruptor /force podría resultar en una carga significativa en los Controladores de Dominio (DCs), especialmente cuando hay un gran número de Objetos de Política de Grupo (GPOs) en el entorno.

Si tiene un arrendamiento sustancial o un gran número de GPOs, es preferible ejecutar gpupdate sin el interruptor /force para implementar nuevas configuraciones de políticas. Este enfoque solo recibirá cambios o nuevas políticas de grupo, reduciendo así la carga de trabajo tanto en el cliente como en los controladores de dominio.

Descargue el eBook de Mejores Prácticas de Group Policy

Descargue ahora

Cómo forzar la actualización de directiva de grupo

Para forzar una actualización de la Directiva de Grupo, puede utilizar cualquiera de las siguientes opciones:

  • El comando gpupdate /force command
  • La Consola de Administración de Directivas de Grupo (GPMC)
  • PowerShell

Prerrequisito: Configurar Firewalls antes de aplicar GPOs

Antes de forzar la reaplicación de las GPOs utilizando cualquiera de estas opciones, asegúrese de que los firewalls permitan el tráfico de red entrante en los puertos aplicables (por defecto, el puerto TCP 135), como se detalla en la Microsoft documentation.

Fuerce una actualización de la Directiva de Grupo usando el Símbolo del sistema

gpupdate es un comando de la consola de comandos de Microsoft para la actualización de la Directiva de Grupo en computadoras de Active Directory. Está incluido en todas las versiones del sistema operativo Windows.

El parámetro /force

Ejecutar el comando gpupdate con ningún parámetro aplica solo las configuraciones de políticas cambiadas y nuevos GPOs. Pero a veces necesitas también volver a aplicar todos los GPOs que no han cambiado – como para revertir modificaciones no deseadas hechas por administradores locales (o adversarios que han comprometido sus cuentas).

En ese caso, necesitas usar el parámetro /force, de la siguiente manera:

gpupdate /force

Hay dos consideraciones clave que tener en cuenta al usar este parámetro para actualizar la configuración de Group Policys:

  • Debe dirigirse físicamente a cada máquina de usuario y ejecutar el comando gpupdate /force manualmente. (Para actualizar las computadoras de forma remota, utilice PowerShell, como se describe a continuación.)
  • El uso del interruptor /force puede resultar en una carga significativa en los DCs y clientes, especialmente cuando hay un gran número de GPOs en un entorno. En esos casos, es preferible ejecutar gpupdate sin el parámetro /force.

Parámetros adicionales

Ejecutar gpupdate mientras un usuario está conectado a una máquina aplica inmediatamente los nuevos ajustes de GPO en Windows (asumiendo, por supuesto, que el controlador de dominio tiene la información de GPO replicada).

Si el usuario no ha iniciado sesión, en Windows XP y versiones posteriores, por defecto, la configuración de GPO solo se procesa en el próximo inicio de sesión. Pero si utilizas los interruptores adecuados, gpupdate puede determinar si los elementos recién modificados requieren un cierre de sesión o reinicio para estar activos:

  • /Logoff– Usar este interruptor determinará si un cambio de política requiere que el usuario cierre sesión. Si no es necesario, los nuevos ajustes se aplicarán inmediatamente; de lo contrario, el usuario cerrará sesión automáticamente y las Group Policy settings se aplicarán cuando vuelvan a iniciar sesión.
  • /boot– De manera similar, si Fast Boot está habilitado, se requiere un reinicio para aplicar las GPOs que tienen configuraciones de Distribución de Software. Ejecutar gpupdate con el interruptor /boot determinará si una política tiene algo que requiere un reinicio y reiniciará automáticamente el ordenador. Si la GPO actualizada no requiere reinicio, se aplican las configuraciones de la GPO y el usuario permanece conectado.

Ambos interruptores /Logoff y /boot son opcionales.

Otras opciones útiles de interruptores están disponibles en conjunto con /force

  • /Logoff– Cierre la sesión del usuario después de que se hayan actualizado los ajustes de la Directiva de grupo.
  • /Sync – Cambie el procesamiento en primer plano (inicio de sesión/inicio) a sincrónico.
  • /Target – Indica si actualizar la configuración de políticas solo para Usuarios o solo para Computadoras. Por defecto, se actualizan las configuraciones de políticas de Usuario y Computadora.
  • /Boot – Reinicie la máquina después de que se apliquen las configuraciones de Group Policy.

Fuerce una actualización de la política de grupo utilizando la Consola de Administración de Políticas de Grupo (GPMC)

La segunda forma de forzar una actualización de la Directiva de Grupo de Windows es utilizar la Consola de Administración de Directivas de Grupo. Mientras que el comando gpupdate actualiza todas las políticas para todas las UO, GPMC te da la opción de limitar la actualización a una UO específica. Sigue estos pasos:

  1. Abra la GPMC (Group Policy Management Console)
  2. Vincula la GPO a una OU.
  3. Haga clic derecho en la OU deseada y elija la opción “Group Policy Update”.
  4. Confirme la acción en el cuadro de diálogo de Actualización de la Directiva de Grupo que aparece, haciendo clic en Sí.
Image

Fuerce la actualización de la política de grupo de forma remota en computadoras usando Powershell

Para actualizar la Directiva de Grupo de forma remota, necesitas usar Powershell. Desde Windows Server 2012, puedes usar el cmdlet Invoke-GPUpdate. para forzar una actualización remota de la Directiva de Grupo en computadoras cliente de Windows. Necesitarás tener instalados tanto PowerShell como la Consola de Administración de la Directiva de Grupo. El cmdlet no produce salida.

Ejemplos de uso de Involve-GPUpdate para la Actualización Remota de Directiva de Grupo

Otra ventaja de usar el cmdlet Invoke-GPUpdate es que la opción “RandomDelayInMinutes” te permite ajustar el retraso. Si deseas una actualización inmediata de la Directiva de Grupo, establécela en 0, como se muestra aquí:

      Invoke-GPUpdate –Computer LHE-LT-ADAM -RandomDelayInMinutes 0

En este caso, una computadora identificada como “LHE-LT-ADAM” fue reiniciada inmediatamente después de iniciar una actualización de Directiva de Grupo. El cmdlet no produce salida. El único inconveniente de usar este parámetro es que los usuarios verán aparecer una pantalla de cmd.

Si desea forzar una actualización en todos los ordenadores, ejecute el código a continuación. Obtendrá todos los ordenadores del dominio, los colocará en una variable y ejecutará los comandos para cada objeto.

      $compgpoupd = Get-ADComputer -Filter *
$compgpoupd | ForEach-Object -Process {Invoke-GPUpdate -Computer $_.name -RandomDelayInMinutes 0 -Force}

La única desventaja de usar el parámetro RandomDelayInMinutes es que los usuarios verán aparecer una ventana emergente de cmd.

Este código obtendrá todos los ordenadores del dominio, los colocará en una variable y ejecutará los comandos para cada objeto.

Configure los firewalls antes de aplicar las GPOs

Asegúrese de que los cortafuegos permitan el tráfico de red entrante en puertos específicos antes de abrir su GPMC. A partir de Windows Server 2012, hay una GPO de inicio en el Editor de Política de Grupo llamada “The Group Policy Remote Update Firewall Ports”, que verifica si el puerto TCP 135 está configurado para la gestión remota de tareas programadas.

Para habilitar Windows Firewall con Seguridad avanzada con una GPO:

  1. Inicie la interfaz para la gestión de Group Policy.
  2. En el panel de navegación, expanda lo siguiente: Forest (YourForestName) => Domains (YourDomainName) => Group Policy Objects: (YourDomainName) => haga clic derecho en el GPO que desea editar y seleccione Edit.
Image
  1. Desde la barra de navegación del Group Policy Management Editor, seleccione Computer Configuration => Policies => Windows Settings => Security Settings => Windows Firewall with Advanced Security => Advanced Security for Windows Firewall.
Image

Actualización de fondo de GPO

Todos los clientes de Directiva de grupo procesan las GPOs cuando llega el intervalo de actualización en segundo plano, pero solo procesan aquellas GPOs que son nuevas o han cambiado desde la última vez que el cliente las solicitó.

Sin embargo, para la configuración de seguridad, el motor de la Directiva de Grupo funciona de manera diferente. Solicita una actualización de fondo especial solo para la configuración de la security policy. Esto se denomina la background security refresh y es válido para todas las versiones de Windows Server. Cada 16 horas, cada cliente de Directiva de Grupo pregunta a Active Directory acerca de todas las GPOs que contienen configuraciones de seguridad (no solo las que han cambiado) y reaplica esas configuraciones de seguridad. Esto asegura que si una configuración de seguridad ha cambiado en el cliente (a espaldas del motor de la Directiva de Grupo), se revierte automáticamente a la configuración adecuada dentro de las 16 horas.

Proceso de actualización en segundo plano para GPOs locales

Como se mencionó anteriormente, una razón clave por la que podría necesitar forzar una actualización de la Directiva de Grupo es que los administradores locales (¡o adversarios que han comprometido sus cuentas!) pueden realizar cambios en la configuración de sus máquinas que anulan una política que ha establecido con un GPO. Esos cambios pueden perjudicar la productividad o incluso la seguridad. Por ejemplo, un administrador local podría anular la configuración de su GPO que prohíbe las unidades USB, permitiendo tanto el robo de datos como la introducción de malware.

Por lo tanto, solo debe otorgar derechos de administrador local cuando realmente sean necesarios. Los usuarios regulares nunca deben recibir derechos de administrador local.

Reaplicación obligatoria de configuraciones de políticas de grupo que no son de seguridad

Como se mencionó anteriormente, la actualización de fondo regular solo se aplica a las GPOs nuevas y modificadas. Sin embargo, puedes modificar la actualización de fondo regular para reaplicar ciertas configuraciones, incluso si las GPOs no han cambiado. Esta es una buena manera de solucionar exploits que no están relacionados con la seguridad.

Específicamente, puede optar por exigir la reaplicación de las siguientes áreas de Directiva de Grupo durante cada procesamiento inicial de políticas y actualización en segundo plano:

  • Registro (Plantillas administrativas)
  • Mantenimiento de Microsoft Edge
  • Seguridad IP
  • Política de recuperación de EFS
  • Política de acceso inalámbrico
  • Cuota de disco
  • Scripts
  • Seguridad
  • Redirección de carpetas
  • Instalación de software
  • Política de Cableado

Cómo Netwrix puede ayudar

La Directiva de Grupo es una forma extremadamente poderosa de administrar la configuración para su infraestructura de Windows. Pero también es compleja. De hecho, después de años de fusiones y adquisiciones, rotación de empleados, cambios tecnológicos, etc., la Directiva de Grupo se vuelve casi imposible de administrar de manera efectiva utilizando métodos manuales y herramientas nativas.

Netwrix Endpoint Policy Manager simplifica la gestión de Group Policy y le permite limpiar y consolidar sus GPOs. Como resultado, su organización disfrutará de un inicio de sesión más rápido, mayor seguridad, mejor tiempo de actividad y menos errores de configuración.

Solicite una Prueba Gratuita de Simplify Group Policy Management

Conclusión

Mantener las configuraciones de Group Policy actualizadas en todo su entorno de TI es crítico para la productividad, seguridad, cumplimiento y más. Aunque los cambios en GPO se aplican automáticamente en el siguiente intervalo de actualización; también puede forzar una actualización para aplicarlos inmediatamente. Como medida de seguridad adicional, puede asegurarse de que ciertas configuraciones de Group Policy siempre se vuelvan a aplicar, incluso si no han cambiado, con el fin de revertir cualquier cambio no deseado realizado por administradores locales.

FAQ

¿Cómo actualizar la política de grupo?

Para actualizar la Política de Grupo manualmente, los administradores pueden usar el comando gpupdate /force, la Consola de Administración de Políticas de Grupo (GMPC) o PowerShell. El interruptor /force permite a los administradores volver a aplicar todas las configuraciones de políticas

¿Qué hace gpupdate /force?

La Política de Grupo se actualiza automáticamente de acuerdo con un calendario de actualización en segundo plano. Sin embargo, a veces es necesario que una actualización o nueva política surta efecto antes, o que la organización deba revertir cambios de política inapropiados realizados por administradores locales. En esos casos, un administrador puede usar el comando gpupdate con el parámetro /force para aplicar una actualización de la Política de Grupo inmediatamente.

¿Cuánto tiempo tarda gpupdate /force en actualizar la Directiva de Grupo?

El tiempo necesario para forzar una actualización de la Directiva de Grupo depende del número de políticas que se estén aplicando. Actualizar un pequeño número de políticas puede tomar solo un par de minutos, pero típicamente, el proceso implica un tiempo de aplicación de 90 minutos más un retraso de 30 minutos para la distribución de la carga de trabajo.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Jonathan Blackwell

Jefe de Desarrollo de Software

Desde 2012, Jonathan Blackwell, un ingeniero e innovador, ha proporcionado liderazgo en ingeniería que ha colocado a Netwrix GroupID a la vanguardia de la gestión de grupos y usuarios para entornos de Active Directory y Azure AD. Su experiencia en desarrollo, marketing y ventas permite a Jonathan comprender completamente el mercado de Identity Management y la forma de pensar de los compradores.

Aprende más sobre este tema

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Cómo crear, cambiar y probar contraseñas usando PowerShell

Cómo agregar y eliminar grupos de AD y objetos en grupos con PowerShell

Confianzas en Active Directory

Ataques de ransomware a Active Directory

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad