Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Forza un aggiornamento di Group Policy con GPUpdate/Force

Forza un aggiornamento di Group Policy con GPUpdate/Force

Feb 17, 2017

Forzare un aggiornamento della Group Policy assicura che le nuove impostazioni o quelle modificate vengano applicate immediatamente invece di attendere il normale ciclo di aggiornamento di 90–120 minuti. Gli amministratori possono innescare gli aggiornamenti utilizzando il comando gpupdate /force, la Group Policy Management Console, o PowerShell con Invoke-GPUpdate. Anche se /force riapplica tutte le GPO, può sovraccaricare i controller di dominio, quindi è meglio utilizzarlo selettivamente quando è richiesta una riapplicazione urgente.

Immagina di ricevere una telefonata dallo specialista di sicurezza che gestisce i tuoi firewall e server proxy. Ti informa che ha aggiunto un ulteriore server proxy per gli utenti che accedono a Internet. Aggiungi un nuovo GPO che influisce su tutti gli utenti in modo che possano utilizzare il nuovo server proxy tramite Internet Explorer. Solitamente, ci vogliono tra i 90 e i 120 minuti affinché un nuovo GPO venga applicato, ma hai bisogno che le nuove impostazioni vengano applicate immediatamente, e non puoi dire agli utenti di disconnettersi e riconnettersi per applicarle. In casi come questi, potresti voler bypassare il normale tempo di attesa prima che l'elaborazione della policy in background abbia inizio. Puoi farlo utilizzando il prompt dei comandi, la Group Policy Management Console (GPMC) o PowerShell.

Cos'è GPUupdate

Group Policy è una funzionalità preziosa di Active Directory che consente agli amministratori di applicare una vasta gamma di impostazioni agli utenti e ai computer. È fondamentale per la sicurezza e la produttività che le modifiche agli oggetti Group Policy (GPO) e i nuovi GPO vengano applicati tempestivamente.

Di conseguenza, Group Policy viene automaticamente aggiornato ogni volta che un computer membro del dominio viene riavviato o un utente effettua l'accesso. Viene anche aggiornato automaticamente a intervalli regolari di aggiornamento in background (per impostazione predefinita, ogni 90 minuti con un offset randomizzato fino a 30 minuti).

Tuttavia, a volte gli amministratori devono applicare immediatamente le impostazioni GPO ai sistemi client, come quando creano una nuova policy o apportano una modifica importante a una policy esistente. Inoltre, a volte vogliono non solo applicare le modifiche ma anche riapplicare GPO che non sono state cambiate, solitamente al fine di annullare modifiche indesiderate fatte sulle macchine locali.

Questo documento vi guida attraverso i modi in cui potete forzare un aggiornamento della Group Policy.

GPUpdate vs comando GPUpdate /force

Il comando gpupdate /force è uno dei comandi più utilizzati per aggiornare le group policy. L'opzione /force consente agli amministratori di riapplicare tutte le impostazioni delle policy. Tuttavia, è importante considerare che l'uso dell'opzione /force potrebbe comportare un notevole carico sui Domain Controllers (DCs), specialmente quando ci sono molti Group Policy Objects (GPOs) nell'ambiente.

Se si dispone di un'affitto sostanziale o di un gran numero di GPO, è preferibile eseguire gpupdate senza l'opzione /force per implementare le nuove impostazioni delle policy. Questo metodo riceverà solo le modifiche o le nuove group policies, riducendo così il carico di lavoro sia sui client che sui controller di dominio.

Scarica l'eBook sulle Migliori Pratiche per Group Policy

Scarica ora

Come forzare l'aggiornamento delle group policy

Per forzare un aggiornamento di Group Policy, puoi utilizzare una delle seguenti opzioni:

  • Il comando gpupdate /force command
  • La Group Policy Management Console (GPMC)
  • PowerShell

Prerequisito: Configurare i Firewall prima di Applicare i GPO

Prima di forzare la riapplicazione delle GPO utilizzando una di queste opzioni, assicurati che i firewall consentano il traffico di rete in entrata sulle porte applicabili (per impostazione predefinita, la porta TCP 135), come descritto nella Microsoft documentation.

Forza un aggiornamento di Group Policy utilizzando il Prompt dei comandi

gpupdate è un comando della shell di Microsoft per l'aggiornamento delle Criteri di gruppo su computer Active Directory. È incluso in tutte le versioni del sistema operativo Windows.

Il parametro /force

Eseguendo il comando gpupdate senza parametri vengono applicate solo le impostazioni delle policy modificate e i nuovi GPO. Ma a volte è necessario riapplicare anche tutti i GPO che non sono stati modificati – ad esempio per annullare le modifiche indesiderate effettuate dagli amministratori locali (o dagli avversari che hanno compromesso i loro account).

In tal caso, è necessario utilizzare il parametro /force, come segue:

gpupdate /force

Ci sono due considerazioni chiave da tenere a mente quando si utilizza questo parametro per aggiornare le impostazioni di Group Policy:

  • Devi recarti fisicamente a ogni macchina utente ed eseguire manualmente il comando gpupdate /force. (Per aggiornare i computer a distanza, utilizza PowerShell, come descritto di seguito.)
  • L'utilizzo dell'interruttore /force può comportare un carico significativo sui DC e sui client, specialmente quando ci sono un gran numero di GPO in un ambiente. In questi casi, è preferibile eseguire gpupdate senza il parametro /force.

Parametri aggiuntivi

Eseguendo gpupdate mentre un utente è connesso a una macchina, Windows applica immediatamente le nuove impostazioni GPO (supponendo, naturalmente, che il controller di dominio abbia le informazioni GPO replicate).

Se l'utente non è connesso, in Windows XP e versioni successive, per impostazione predefinita, le impostazioni GPO vengono elaborate solo al prossimo accesso. Ma se utilizzi gli switch giusti, gpupdate può determinare se gli elementi modificati di recente richiedono una disconnessione o un riavvio per essere attivi:

  • /Logoff– Utilizzando questo interruttore si determinerà se un cambiamento di policy richiede che l'utente effettui il logoff. Se non è necessario, le nuove impostazioni verranno applicate immediatamente; in caso contrario, l'utente verrà disconnesso automaticamente e le impostazioni dei Group Policy setting verranno applicate al nuovo accesso.
  • /boot– Allo stesso modo, se Fast Boot è attivato, è necessario riavviare per applicare le GPO che hanno impostazioni di Distribuzione Software. Eseguendo gpupdate con l'interruttore /boot si determinerà se una policy richiede un riavvio e riavvierà automaticamente il computer. Se la GPO aggiornata non richiede un riavvio, le impostazioni della GPO vengono applicate e l'utente rimane connesso.

Entrambi gli switch /Logoff e /boot sono opzionali.

Altre utili opzioni di switch sono disponibili in combinazione con /force

  • /Logoff– Disconnetti l'utente dopo che le impostazioni dei Criteri di Gruppo sono state aggiornate.
  • /Sync – Modifica l'elaborazione in primo piano (avvio/accesso) in sincrona.
  • /Target – Indica se aggiornare le impostazioni della policy solo per Utenti o solo per Computer. Di default vengono aggiornate le impostazioni della policy sia per Utente che per Computer.
  • /Boot – Riavvia la macchina dopo che le impostazioni dei Group Policy sono state applicate.

Forza un aggiornamento delle policy di gruppo utilizzando la Group Policy Management Console (GPMC)

Il secondo modo per forzare un aggiornamento della Group Policy di Windows è utilizzare la Console di Gestione delle Group Policy. Mentre il comando gpupdate aggiorna tutte le policy per tutte le OU, GPMC ti offre l'opzione di limitare l'aggiornamento a una specifica OU. Segui questi passaggi:

  1. Apri la GPMC (Group Policy Management Console)
  2. Collega il GPO a un'OU.
  3. Fare clic con il tasto destro del mouse sull'OU desiderata e scegliere l'opzione “Aggiornamento Criteri di Gruppo”.
  4. Conferma l'azione Nel dialogo di Aggiornamento della Direttiva di Gruppo Forzato che appare, cliccando su Sì.
Image

Forza l'aggiornamento della policy di gruppo a distanza sui computer utilizzando Powershell

Per aggiornare Group Policy da remoto, è necessario utilizzare Powershell. A partire da Windows Server 2012, puoi usare il cmdlet Invoke-GPUpdate. per forzare un aggiornamento remoto di Group Policy sui computer client Windows. Dovrai avere installati sia PowerShell che la Console di Gestione Group Policy. Il cmdlet non produce output.

Esempi di utilizzo di Involve-GPUpdate per l'aggiornamento remoto dei Group Policy

Un altro vantaggio dell'uso del cmdlet Invoke-GPUpdate è che l'opzione “RandomDelayInMinutes” permette di regolare il ritardo. Se desideri un aggiornamento immediato della Criteri di Gruppo, impostalo su 0, come mostrato qui:

      Invoke-GPUpdate –Computer LHE-LT-ADAM -RandomDelayInMinutes 0

In questo caso, un computer identificato come “LHE-LT-ADAM” è stato immediatamente riavviato dopo l'avvio di un aggiornamento della Criteri di gruppo. Il cmdlet non produce output. L'unico svantaggio nell'utilizzare questo parametro è che gli utenti vedranno apparire una finestra del prompt dei comandi.

Se vuoi forzare un aggiornamento su tutti i computer, esegui il codice sottostante. Prenderà tutti i computer dal dominio, li inserirà in una variabile ed eseguirà i comandi per ogni oggetto.

      $compgpoupd = Get-ADComputer -Filter *
$compgpoupd | ForEach-Object -Process {Invoke-GPUpdate -Computer $_.name -RandomDelayInMinutes 0 -Force}

L'unico svantaggio nell'utilizzo del parametro RandomDelayInMinutes è che agli utenti apparirà un pop-up della schermata cmd.

Questo codice otterrà tutti i computer dal dominio, li metterà in una variabile ed eseguirà i comandi per ogni oggetto.

Configurate i firewall prima di applicare i GPO

Assicurati che i firewall consentano il traffico di rete in entrata su porte specifiche prima di aprire il tuo GPMC. A partire da Windows Server 2012, c'è un GPO iniziale nell'Editor Criteri di Gruppo chiamato “The Group Policy Remote Update Firewall Ports”, che verifica se la porta TCP 135 è configurata per la gestione remota delle attività pianificate.

Per abilitare Windows Firewall con Sicurezza avanzata tramite un GPO:

  1. Avvia l'interfaccia per la Group Policy Management.
  2. Nel riquadro di navigazione, espandi i seguenti: Forest (YourForestName) => Domini (YourDomainName) => Oggetti Criteri di Gruppo: (YourDomainName) => fai clic destro sul GPO che desideri modificare e seleziona Modifica.
Image
  1. Dalla barra di navigazione dell'Group Policy Management Editor, Seleziona Computer Configuration => Policies => Windows Settings => Security Settings => Windows Firewall with Advanced Security => Advanced Security for Windows Firewall.
Image

Aggiornamento in background dei GPO

Tutti i client di Criteri di gruppo elaborano i GPO quando arriva l'intervallo di aggiornamento in background – ma elaborano solo quei GPO che sono nuovi o che sono cambiati dall'ultima volta che il client li ha richiesti.

Tuttavia, per le impostazioni di sicurezza, il motore di Group Policy funziona in modo diverso. Richiede un aggiornamento speciale in background solo per le impostazioni di security policy. Questo è chiamato il background security refresh ed è valido per ogni versione di Windows Server. Ogni 16 ore, ogni client di Group Policy chiede ad Active Directory informazioni su tutti i GPO che contengono impostazioni di sicurezza (non solo quelli che sono cambiati) e riapplica tali impostazioni di sicurezza. Ciò garantisce che se un'impostazione di sicurezza è stata modificata sul client (alle spalle del motore di Group Policy), viene automaticamente ripristinata all'impostazione corretta entro 16 ore.

Processo di aggiornamento in background per i GPO locali

Come accennato in precedenza, una delle principali ragioni per cui potrebbe essere necessario forzare un aggiornamento delle Group Policy è che gli amministratori locali (o gli avversari che hanno compromesso i loro account!) possono apportare modifiche alle impostazioni sui loro computer che annullano una policy che hai impostato con un GPO. Queste modifiche possono danneggiare la produttività o addirittura la sicurezza. Ad esempio, un amministratore locale potrebbe ignorare l'impostazione del tuo GPO che vieta le unità USB, consentendo così il furto di dati e l'introduzione di malware.

Di conseguenza, dovresti concedere i diritti di amministratore locale solo quando sono veramente necessari. Agli utenti regolari non dovrebbero mai essere dati i diritti di admin locale.

Riapplicazione obbligatoria delle impostazioni di gruppo non relative alla sicurezza

Come accennato in precedenza, l'aggiornamento regolare in background si applica solo ai nuovi GPO e a quelli modificati. Tuttavia, è possibile modificare l'aggiornamento regolare in background per riapplicare determinate impostazioni, anche se i GPO non sono cambiati. Questo è un buon metodo per correggere exploit che non sono correlati alla sicurezza.

In particolare, è possibile scegliere di imporre la riapplicazione delle seguenti aree di Group Policy durante ogni elaborazione iniziale delle policy e aggiornamento in background:

  • Registro (Modelli amministrativi)
  • Manutenzione di Microsoft Edge
  • Sicurezza IP
  • Politica di recupero EFS
  • Politica Wireless
  • Quota disco
  • Script
  • Sicurezza
  • Reindirizzamento cartelle
  • Installazione del software
  • Wired Policy

Come Netwrix può aiutare

Group Policy è un modo estremamente potente per gestire le impostazioni della tua infrastruttura Windows. Ma è anche complesso. Infatti, dopo anni di fusioni e acquisizioni, turnover dei dipendenti, cambiamenti tecnologici, e così via, Group Policy diventa quasi impossibile da gestire efficacemente utilizzando metodi manuali e strumenti nativi.

Netwrix Endpoint Policy Manager semplifica la gestione delle Group Policy e ti permette di ripulire e consolidare i tuoi GPO. Di conseguenza, la tua organizzazione beneficerà di un accesso più veloce, maggiore sicurezza, una migliore disponibilità e minori errori di configurazione.

Richiedi una prova gratuita di Simplify Group Policy Management

Conclusione

Mantenere aggiornate le impostazioni dei Criteri di gruppo in tutto il patrimonio IT è fondamentale per la produttività, la sicurezza, la conformità e altro ancora. Sebbene le modifiche ai GPO vengano applicate automaticamente al successivo intervallo di aggiornamento; è possibile anche forzare un aggiornamento per applicarle immediatamente. Come misura di sicurezza aggiuntiva, puoi assicurarti che determinate impostazioni dei Criteri di gruppo siano sempre riapplicate, anche se non sono cambiate, al fine di annullare eventuali modifiche indesiderate apportate dagli amministratori locali.

FAQ

Come aggiornare la group policy?

Per aggiornare manualmente i Criteri di gruppo, gli amministratori possono utilizzare il comando gpupdate /force, la Console di Gestione dei Criteri di gruppo (GMPC) o PowerShell. Lo switch /force consente agli amministratori di riapplicare tutte le impostazioni dei criteri

Cosa fa gpupdate /force?

La Group Policy viene aggiornata automaticamente secondo un programma di aggiornamento in background. Tuttavia, a volte è necessario che un aggiornamento o una nuova policy abbiano effetto prima, o che l'organizzazione debba annullare modifiche improprie alla policy effettuate da amministratori locali. In questi casi, un amministratore può utilizzare il comando gpupdate con il parametro /force per applicare un aggiornamento della Group Policy immediatamente.

Quanto tempo impiega gpupdate /force per aggiornare Group Policy?

Il tempo necessario per forzare un aggiornamento della Group Policy dipende dal numero di policy applicate. Aggiornare un piccolo numero di policy può richiedere solo un paio di minuti, ma tipicamente, il processo comporta un tempo di applicazione di 90 minuti più un ritardo di 30 minuti per la distribuzione del carico di lavoro.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Jonathan Blackwell

Responsabile dello Sviluppo Software

Dal 2012, Jonathan Blackwell, ingegnere e innovatore, ha fornito una leadership ingegneristica che ha posizionato Netwrix GroupID all'avanguardia nella gestione di gruppi e utenti per ambienti Active Directory e Azure AD. La sua esperienza nello sviluppo, nel marketing e nelle vendite permette a Jonathan di comprendere appieno il mercato dell'Identity Management e il modo di pensare degli acquirenti.

Scopri di più su questo argomento

Creare utenti AD in massa e inviare le loro credenziali tramite PowerShell

Come creare, modificare e testare le password utilizzando PowerShell

Come aggiungere e rimuovere gruppi AD e oggetti nei gruppi con PowerShell

Fiducie in Active Directory

Attacchi ransomware di Active Directory

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza