Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Forcez une mise à jour de stratégie de groupe avec GPUpdate/Force

Forcez une mise à jour de stratégie de groupe avec GPUpdate/Force

Feb 17, 2017

Forcer une mise à jour de la Group Policy garantit que les nouveaux paramètres ou les paramètres modifiés sont appliqués immédiatement au lieu d'attendre le cycle de rafraîchissement standard de 90 à 120 minutes. Les administrateurs peuvent déclencher des mises à jour en utilisant la commande gpupdate /force, la Group Policy Management Console, ou PowerShell avec Invoke-GPUpdate. Bien que /force réapplique tous les GPOs, cela peut solliciter les contrôleurs de domaine, donc il est préférable de l'utiliser de manière sélective lorsque la réapplication urgente est nécessaire.

Imaginez que vous receviez un appel téléphonique du spécialiste de la sécurité qui gère vos pare-feu et serveurs proxy. Il vous informe qu'il a ajouté un serveur proxy supplémentaire pour les utilisateurs accédant à Internet. Vous ajoutez un nouveau GPO qui affecte tous les utilisateurs afin qu'ils puissent utiliser le nouveau serveur proxy via Internet Explorer. Habituellement, il faut entre 90 et 120 minutes pour qu'un nouveau GPO soit appliqué, mais vous avez besoin que les nouveaux paramètres soient appliqués immédiatement, et vous ne pouvez pas demander à vos utilisateurs de se déconnecter et de se reconnecter pour les appliquer. Dans des cas comme celui-ci, vous pourriez vouloir contourner le temps d'attente normal avant que le traitement de la politique en arrière-plan ne commence. Vous pouvez le faire en utilisant l'invite de commande, la Group Policy Management Console (GPMC) ou PowerShell.

Qu'est-ce que GPUupdate

La stratégie de groupe est une fonctionnalité précieuse d'Active Directory qui permet aux administrateurs d'appliquer une large gamme de paramètres aux utilisateurs et aux ordinateurs. Il est crucial pour la sécurité et la productivité que les modifications apportées aux objets de stratégie de groupe (GPO) et les nouveaux GPO soient appliqués en temps opportun.

En conséquence, la stratégie de groupe est automatiquement actualisée chaque fois qu'un ordinateur membre du domaine est redémarré ou qu'un utilisateur se connecte. Elle est également mise à jour automatiquement à un intervalle de rafraîchissement en arrière-plan défini (par défaut, toutes les 90 minutes avec un décalage aléatoire pouvant aller jusqu'à 30 minutes).

Parfois, cependant, les administrateurs doivent appliquer immédiatement les paramètres GPO aux systèmes clients, comme lorsqu'ils créent une nouvelle politique ou apportent un changement important à une politique existante. De plus, parfois ils souhaitent non seulement appliquer des modifications mais aussi réappliquer des GPO qui n'ont pas été changées, généralement afin de revenir sur des modifications indésirables effectuées sur des machines locales.

Ce document vous guide à travers les méthodes permettant de forcer un rafraîchissement de la stratégie de groupe.

GPUpdate vs commande GPUpdate /force

La commande gpupdate /force est l'une des commandes les plus fréquemment utilisées pour mettre à jour la stratégie de groupe. L'option /force permet aux administrateurs de réappliquer tous les paramètres de politique. Cependant, il est important de considérer que l'utilisation de l'option /force pourrait entraîner une charge significative sur les contrôleurs de domaine (DCs), en particulier lorsqu'il y a un grand nombre d'objets de stratégie de groupe (GPOs) dans l'environnement.

Si vous avez une location importante ou un grand nombre de GPOs, il est préférable d'exécuter gpupdate sans l'interrupteur /force pour implémenter les nouveaux paramètres de stratégie. Cette approche ne recevra que les modifications ou les nouvelles politiques de groupe, réduisant ainsi la charge de travail à la fois sur le client et les contrôleurs de domaine.

Téléchargez l'eBook des meilleures pratiques de Group Policy

Téléchargez maintenant

Comment forcer la mise à jour de la stratégie de groupe

Pour forcer une mise à jour de stratégie de groupe, vous pouvez utiliser l'une des options suivantes :

  • The gpupdate /force command
  • La console de gestion de stratégie de groupe (GPMC)
  • PowerShell

Prérequis : Configurez les pare-feu avant d'appliquer les GPOs

Avant de forcer la réapplication des GPOs en utilisant l'une de ces options, assurez-vous que les pare-feu autorisent le trafic réseau entrant sur les ports applicables (par défaut, le port TCP 135), comme détaillé dans la Microsoft documentation.

Forcez une mise à jour de stratégie de groupe en utilisant l'invite de commande

gpupdate est une commande de l'interpréteur de commandes Microsoft pour la mise à jour de la stratégie de groupe sur les ordinateurs Active Directory. Elle est incluse dans toutes les versions du système d'exploitation Windows.

Le paramètre /force

L'exécution de la commande gpupdate sans paramètres applique uniquement les paramètres de stratégie modifiés et les nouveaux GPO. Mais parfois, vous devez également réappliquer tous les GPO qui n'ont pas changé – par exemple pour annuler les modifications indésirables effectuées par les administrateurs locaux (ou les adversaires qui ont compromis leurs comptes).

Dans ce cas, vous devez utiliser le paramètre /force, comme suit :

gpupdate /force

Il y a deux considérations clés à garder à l'esprit lors de l'utilisation de ce paramètre pour mettre à jour les paramètres de Group Policy :

  • Vous devez vous rendre physiquement sur chaque machine utilisateur et exécuter manuellement la commande gpupdate /force. (Pour mettre à jour les ordinateurs à distance, utilisez PowerShell, comme décrit ci-dessous.)
  • L'utilisation de l'interrupteur /force peut entraîner une charge importante sur les DCs et les clients, en particulier lorsqu'il y a un grand nombre de GPOs dans un environnement. Dans ces cas, il est préférable d'exécuter gpupdate sans le paramètre /force.

Paramètres supplémentaires

L'exécution de gpupdate alors qu'un utilisateur est connecté à une machine applique immédiatement les nouveaux paramètres GPO de Windows (en supposant, bien sûr, que le contrôleur de domaine dispose des informations GPO répliquées).

Si l'utilisateur n'est pas connecté, sous Windows XP et versions ultérieures, par défaut, les paramètres des GPO ne sont traités qu'au prochain démarrage de session. Mais si vous utilisez les bons commutateurs, gpupdate peut déterminer si les éléments récemment modifiés nécessitent une déconnexion ou un redémarrage pour être actifs :

  • /Logoff– Utiliser cet interrupteur permettra de déterminer si un changement de politique nécessite que l'utilisateur se déconnecte. Si ce n'est pas le cas, les nouveaux paramètres sont appliqués immédiatement ; si oui, l'utilisateur sera automatiquement déconnecté et les Group Policy settings seront appliqués lorsqu'ils se reconnecteront.
  • /boot– De même, si le démarrage rapide est activé, un redémarrage est nécessaire pour appliquer les GPO qui ont des paramètres de distribution de logiciels. L'exécution de gpupdate avec l'interrupteur /boot déterminera si une politique a quelque chose qui nécessite un redémarrage et redémarrera automatiquement l'ordinateur. Si la GPO mise à jour ne nécessite pas de redémarrage, les paramètres de la GPO sont appliqués et l'utilisateur reste connecté.

Les commutateurs /Logoff et /boot sont optionnels.

D'autres options d'interrupteurs utiles sont disponibles en conjonction avec /force

  • /Logoff– Déconnectez l'utilisateur après la mise à jour des paramètres de stratégie de groupe.
  • /Sync – Modifiez le traitement de premier plan (démarrage/connexion) en mode synchrone.
  • /Target – Indique s'il faut mettre à jour les paramètres de politique uniquement pour les utilisateurs ou uniquement pour les ordinateurs. Par défaut, les paramètres de politique des utilisateurs et des ordinateurs sont mis à jour.
  • /Boot – Redémarrez la machine après l'application des paramètres de stratégie de groupe.

Forcez une mise à jour de stratégie de groupe en utilisant la console de gestion de stratégie de groupe (GPMC)

La deuxième manière de forcer une mise à jour de la stratégie de groupe Windows est d'utiliser la console de gestion des stratégies de groupe. Alors que la commande gpupdate met à jour toutes les stratégies pour toutes les UO, la GPMC vous donne l'option de limiter la mise à jour à une UO spécifique. Suivez ces étapes :

  1. Ouvrez la GPMC (Group Policy Management Console)
  2. Liez le GPO à une UO.
  3. Cliquez avec le bouton droit sur l'unité d'organisation souhaitée et choisissez l'option “Mise à jour de la stratégie de groupe”.
  4. Confirmez l'action dans la boîte de dialogue Mise à jour forcée de la stratégie de groupe qui apparaît, en cliquant sur Oui.
Image

Forcez la mise à jour de la stratégie de groupe à distance sur les ordinateurs en utilisant Powershell

Pour mettre à jour la stratégie de groupe à distance, vous devez utiliser Powershell. Depuis Windows Server 2012, vous pouvez utiliser l'applet de commande Invoke-GPUpdate. pour forcer une mise à jour à distance de la stratégie de groupe sur les ordinateurs clients Windows. Vous devrez avoir à la fois PowerShell et la console de gestion de la stratégie de groupe installés. L'applet de commande ne produit aucune sortie.

Exemples d'utilisation de Involve-GPUpdate pour la mise à jour de stratégie de groupe à distance

Un autre avantage de l'utilisation de la cmdlet Invoke-GPUpdate est que l'option “RandomDelayInMinutes” vous permet d'ajuster le délai. Si vous souhaitez une mise à jour immédiate de la stratégie de groupe, réglez-la sur 0, comme indiqué ici :

      Invoke-GPUpdate –Computer LHE-LT-ADAM -RandomDelayInMinutes 0

Dans ce cas, un ordinateur identifié comme « LHE-LT-ADAM » a été immédiatement redémarré après le début d'une mise à jour de stratégie de groupe. Le cmdlet ne produit aucune sortie. Le seul inconvénient de l'utilisation de ce paramètre est que les utilisateurs verront apparaître une fenêtre d'invite de commande.

Si vous souhaitez forcer une mise à jour sur tous les ordinateurs, exécutez le code ci-dessous. Il récupérera tous les ordinateurs du domaine, les placera dans une variable et exécutera les commandes pour chaque objet.

      $compgpoupd = Get-ADComputer -Filter *
$compgpoupd | ForEach-Object -Process {Invoke-GPUpdate -Computer $_.name -RandomDelayInMinutes 0 -Force}

Le seul inconvénient de l'utilisation du paramètre RandomDelayInMinutes est que les utilisateurs verront apparaître une fenêtre cmd.

Ce code va récupérer tous les ordinateurs du domaine, les stocker dans une variable et exécuter les commandes pour chaque objet.

Configurez les pare-feu avant d'appliquer les GPOs

Assurez-vous que les pare-feu autorisent le trafic réseau entrant sur des ports particuliers avant d'ouvrir votre GPMC. À partir de Windows Server 2012, il y a un modèle de stratégie de groupe initial dans l'Éditeur de stratégie de groupe appelé « The Group Policy Remote Update Firewall Ports », qui vérifie si le port TCP 135 est configuré pour la gestion à distance des tâches planifiées.

Pour activer le Pare-feu Windows avec sécurité avancée avec un GPO :

  1. Lancez l'interface de gestion des stratégies de groupe.
  2. Dans le volet de navigation, développez les éléments suivants : Forest (YourForestName) => Domains (YourDomainName) => Group Policy Objects: (YourDomainName) => cliquez-droit sur l'objet de stratégie de groupe que vous souhaitez modifier et sélectionnez Edit.
Image
  1. Depuis la barre de navigation de l'Group Policy Management Editor, Sélectionnez Configuration de l'ordinateur => Stratégies => Paramètres Windows => Paramètres de sécurité => Pare-feu Windows avec sécurité avancée => Sécurité avancée du Pare-feu Windows.
Image

Actualisation en arrière-plan des GPO

Tous les clients de stratégie de groupe traitent les objets de stratégie de groupe lorsque l'intervalle d'actualisation en arrière-plan est atteint – mais ils ne traitent que ceux qui sont nouveaux ou ont changé depuis la dernière fois que le client les a demandés.

Cependant, pour les paramètres de sécurité, le moteur de stratégie de groupe fonctionne différemment. Il demande un rafraîchissement d'arrière-plan spécial juste pour les paramètres de la security policy. Cela s'appelle le background security refresh et est valable pour chaque version de Windows Server. Toutes les 16 heures, chaque client de stratégie de groupe demande à Active Directory concernant tous les objets de stratégie de groupe qui contiennent des paramètres de sécurité (pas seulement ceux qui ont changé) et réapplique ces paramètres de sécurité. Cela garantit que si un paramètre de sécurité a changé sur le client (à l'insu du moteur de stratégie de groupe), il est automatiquement rétabli au paramètre approprié dans un délai de 16 heures.

Processus d'actualisation en arrière-plan pour les GPOs locaux

Comme mentionné précédemment, une raison clé pour laquelle vous pourriez avoir besoin de forcer un rafraîchissement de la stratégie de groupe est que les administrateurs locaux (ou les adversaires ayant compromis leurs comptes !) peuvent apporter des modifications aux paramètres sur leurs machines qui annulent une politique que vous avez définie avec un objet de stratégie de groupe (GPO). Ces modifications peuvent nuire à la productivité ou même à la sécurité. Par exemple, un administrateur local pourrait passer outre votre paramètre GPO qui interdit les clés USB, permettant ainsi le vol de données et l'introduction de logiciels malveillants.

En conséquence, vous ne devriez accorder des droits d'administrateur local que lorsqu'ils sont réellement nécessaires. Les utilisateurs réguliers ne devraient jamais se voir attribuer des droits d'admin local.

Réapplication obligatoire des paramètres de stratégie de groupe hors sécurité

Comme mentionné ci-dessus, la mise à jour régulière en arrière-plan s'applique uniquement aux nouveaux GPOs et à ceux modifiés. Cependant, vous pouvez modifier l'actualisation régulière en arrière-plan pour réappliquer certains paramètres, même si les GPOs n'ont pas changé. C'est un bon moyen de corriger les failles qui ne sont pas liées à la sécurité.

Plus précisément, vous pouvez choisir d'exiger la réapplication des domaines suivants de la stratégie de groupe lors de chaque traitement initial de la politique et de l'actualisation en arrière-plan :

  • Registre (Modèles d'administration)
  • Maintenance de Microsoft Edge
  • Sécurité IP
  • Politique de récupération EFS
  • Politique sans fil
  • Quota de disque
  • Scripts
  • Sécurité
  • Redirection de dossier
  • Installation de logiciels
  • Politique câblée

Comment Netwrix peut aider

La stratégie de groupe est un moyen extrêmement puissant de gérer les paramètres de votre infrastructure Windows. Mais c'est aussi complexe. En effet, après des années de fusions et acquisitions, de rotation du personnel, de changements technologiques, etc., la stratégie de groupe devient presque impossible à gérer efficacement en utilisant des méthodes manuelles et des outils natifs.

Netwrix Endpoint Policy Manager simplifie la gestion des stratégies de groupe et vous permet de nettoyer et de consolider vos objets de stratégie de groupe (GPO). En conséquence, votre organisation bénéficiera d'une connexion plus rapide, d'une sécurité accrue, d'une meilleure disponibilité et de moins de mauvaises configurations.

Demandez un essai gratuit pour simplifier la gestion des stratégies de groupe

Conclusion

Il est crucial de maintenir à jour les paramètres de stratégie de groupe dans votre parc informatique pour la productivité, la sécurité, la conformité et plus encore. Bien que les modifications de GPO soient automatiquement appliquées lors du prochain intervalle de rafraîchissement ; vous pouvez également forcer un rafraîchissement pour les appliquer immédiatement. Comme mesure de sécurité supplémentaire, vous pouvez vous assurer que certains paramètres de stratégie de groupe sont toujours réappliqués, même s'ils n'ont pas changé, afin de revenir sur les modifications indésirables effectuées par les administrateurs locaux.

FAQ

Comment mettre à jour la stratégie de groupe ?

Pour mettre à jour la stratégie de groupe manuellement, les administrateurs peuvent utiliser la commande gpupdate /force, la console de gestion de stratégie de groupe (GMPC) ou PowerShell. L’option /force permet aux administrateurs de réappliquer tous les paramètres de stratégie

Que fait gpupdate /force ?

La stratégie de groupe est mise à jour automatiquement selon un calendrier de rafraîchissement en arrière-plan. Cependant, parfois une mise à jour ou une nouvelle politique doit prendre effet plus tôt, ou l'organisation doit annuler des modifications de politique inappropriées effectuées par des administrateurs locaux. Dans ces cas, un administrateur peut utiliser la commande gpupdate avec le paramètre /force pour appliquer une mise à jour de la stratégie de groupe immédiatement.

Combien de temps faut-il pour que gpupdate /force mette à jour la stratégie de groupe ?

Le temps nécessaire pour forcer une mise à jour de la stratégie de groupe dépend du nombre de politiques appliquées. La mise à jour d'un petit nombre de politiques peut prendre seulement quelques minutes, mais en général, le processus implique un temps d'application de 90 minutes plus un délai de 30 minutes pour la répartition de la charge de travail.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Jonathan Blackwell

Responsable du développement logiciel

Depuis 2012, Jonathan Blackwell, ingénieur et innovateur, a fourni un leadership en ingénierie qui a placé Netwrix GroupID à l'avant-garde de la gestion de groupes et d'utilisateurs pour les environnements Active Directory et Azure AD. Son expérience en développement, marketing et ventes permet à Jonathan de comprendre pleinement le marché de l'Identity Management et la façon de penser des acheteurs.

En savoir plus sur ce sujet

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment créer, modifier et tester des mots de passe en utilisant PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Confiances dans Active Directory

Attaques de rançongiciels sur Active Directory

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité