Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Force uma atualização de Política de Grupo com GPUpdate/Force

Force uma atualização de Política de Grupo com GPUpdate/Force

Feb 17, 2017

Forçar uma atualização de Group Policy garante que as novas configurações ou alterações sejam aplicadas imediatamente, em vez de esperar pelo ciclo de atualização padrão de 90 a 120 minutos. Os administradores podem acionar atualizações usando o comando gpupdate /force, o Group Policy Management Console ou PowerShell com Invoke-GPUpdate. Embora o /force reaplique todas as GPOs, isso pode sobrecarregar os controladores de domínio, portanto, é melhor usá-lo seletivamente quando uma reaplicação urgente for necessária.

Imagine que você recebe uma ligação do especialista em segurança que gerencia seus firewalls e servidores proxy. Ele informa que adicionou um servidor proxy adicional para usuários que acessam a internet. Você adiciona uma nova GPO que afeta todos os usuários para que eles possam usar o novo servidor proxy via Internet Explorer. Normalmente, leva entre 90 e 120 minutos para que uma nova GPO seja aplicada, mas você precisa que as novas configurações sejam aplicadas imediatamente, e você não pode pedir aos seus usuários para deslogar e logar novamente para aplicá-las. Em casos como esses, você pode querer contornar o tempo de espera normal antes que o processamento de política em segundo plano comece. Você pode fazer isso usando o prompt de comando, o Group Policy Management Console (GPMC) ou PowerShell.

O que é GPUupdate

A Política de Grupo é um recurso valioso do Active Directory que permite aos administradores aplicar uma ampla gama de configurações a usuários e computadores. É crítico para a segurança e produtividade que alterações nos objetos de Política de Grupo (GPOs) e novos GPOs sejam aplicados de maneira oportuna.

Assim, a Política de Grupo é automaticamente atualizada sempre que um computador membro do domínio é reiniciado ou um usuário faz login nele. Ela também é atualizada automaticamente em um intervalo definido de atualização em segundo plano (por padrão, a cada 90 minutos com um deslocamento aleatório de até 30 minutos).

Às vezes, no entanto, os administradores precisam aplicar as configurações de GPO aos sistemas clientes imediatamente, como quando criam uma nova política ou fazem uma alteração importante em uma política existente. Além disso, às vezes eles querem não apenas aplicar mudanças, mas também reaplicar GPOs que não foram alterados, geralmente com o objetivo de reverter mudanças indesejadas feitas em máquinas locais.

Este documento orienta você pelas maneiras pelas quais você pode forçar uma atualização da Política de Grupo.

GPUpdate vs comando GPUpdate /force

O comando gpupdate /force é um dos comandos mais utilizados para atualizar a política de grupo. A opção /force permite que os administradores reapliquem todas as configurações de política. No entanto, é importante considerar que o uso da opção /force resultaria em uma carga significativa nos Controladores de Domínio (DCs), especialmente quando há um grande número de Objetos de Política de Grupo (GPOs) no ambiente.

Se você tem uma locação substancial ou um grande número de GPOs, é preferível executar gpupdate sem a opção /force para implementar novas configurações de política. Essa abordagem só receberá mudanças ou novas políticas de grupo, reduzindo assim a carga de trabalho tanto no cliente quanto nos controladores de domínio.

Baixe o eBook das Melhores Práticas de Group Policy

Faça o download agora

Como forçar a atualização de política de grupo

Para forçar uma atualização de Política de Grupo, você pode usar qualquer uma das seguintes opções:

  • O comando gpupdate /force command
  • O Group Policy Management Console (GPMC)
  • PowerShell

Pré-requisito: Configurar Firewalls antes de Aplicar GPOs

Antes de forçar a reaplicação das GPOs usando qualquer uma dessas opções, certifique-se de que os firewalls permitem tráfego de rede de entrada nas portas aplicáveis (por padrão, porta TCP 135), conforme detalhado na Microsoft documentation.

Forçar uma atualização da Política de Grupo usando o Prompt de Comando

gpupdate é um comando do shell de comandos da Microsoft para atualização de Política de Grupo em computadores Active Directory. Está incluído em todas as versões do sistema operacional Windows.

O parâmetro /force

Executando o comando gpupdate sem parâmetros aplica apenas as configurações de política alteradas e novos GPOs. Mas às vezes é necessário também reaplicar todos os GPOs que não foram alterados – como para reverter modificações indesejadas feitas por administradores locais (ou adversários que comprometeram suas contas).

Nesse caso, você precisa usar o parâmetro /force, conforme a seguir:

gpupdate /force

Há duas considerações principais a ter em mente ao usar este parâmetro para atualizar as configurações de Group Policy:

  • Você deve ir fisicamente até cada máquina do usuário e executar o comando gpupdate /force manualmente. (Para atualizar computadores remotamente, use PowerShell, conforme descrito abaixo.)
  • A utilização do interruptor /force pode resultar em uma carga significativa nos DCs e clientes, especialmente quando há um grande número de GPOs em um ambiente. Nestes casos, é preferível executar gpupdate sem o parâmetro /force.

Parâmetros Adicionais

Executando gpupdate enquanto um usuário está logado em uma máquina aplica imediatamente as novas configurações de GPO do Windows (assumindo, é claro, que o controlador de domínio tenha as informações de GPO replicadas).

Se o usuário não estiver logado, no Windows XP e versões posteriores, por padrão, as configurações de GPO são processadas apenas no próximo logon. Mas se você usar os switches corretos, gpupdate pode determinar se os itens alterados recentemente exigem um logoff ou reinicialização para serem ativados:

  • /Logoff– Usar este interruptor determinará se uma mudança de política exige que o usuário faça logoff. Se não, as novas configurações são aplicadas imediatamente; se sim, o usuário será automaticamente desconectado e as Group Policy settings serão aplicadas quando ele fizer login novamente.
  • /boot– Da mesma forma, se o Fast Boot estiver ativado, é necessário reiniciar para aplicar GPOs que possuem configurações de Distribuição de Software. Executar gpupdate com o interruptor /boot determinará se uma política tem algo que exige um reinício e reiniciará automaticamente o computador. Se o GPO atualizado não exigir reinicialização, as configurações do GPO são aplicadas e o usuário permanece logado.

Ambos os comandos /Logoff e /boot são opcionais.

Outras opções úteis de switches estão disponíveis em conjunto com /force

  • /Logoff– Efetue o logoff do usuário após as configurações de Group Policy terem sido atualizadas.
  • /Sync – Altere o processamento em primeiro plano (inicialização/login) para síncrono.
  • /Target – Indica se a atualização das configurações de política é apenas para Usuários ou apenas para Computadores. Por padrão, as configurações de política de Usuário e Computador são atualizadas.
  • /Boot – Reinicie a máquina após a aplicação das configurações de Group Policy.

Force uma atualização de política de grupo usando o Group Policy Management Console (GPMC)

A segunda forma de forçar uma atualização da Política de Grupo do Windows é usar o Console de Gerenciamento de Política de Grupo. Enquanto o comando gpupdate atualiza todas as políticas para todas as UOs, o GPMC oferece a opção de limitar a atualização a uma UO específica. Siga estes passos:

  1. Abra o GPMC (Group Policy Management Console)
  2. Vincule a GPO a uma OU.
  3. Clique com o botão direito do mouse na OU desejada e escolha a opção “Atualização de Política de Grupo”.
  4. Confirme a ação na caixa de diálogo Atualização de Política de Grupo Forçada que aparece, clicando em Sim.
Image

Forçar a atualização da política de grupo remotamente em computadores usando Powershell

Para atualizar a Política de Grupo remotamente, você precisa usar o Powershell. Desde o Windows Server 2012, você pode usar o cmdlet Invoke-GPUpdate. para forçar uma atualização remota da Política de Grupo em computadores clientes Windows. Você precisará ter tanto o PowerShell quanto o Console de Gerenciamento de Política de Grupo instalados. O cmdlet não produz saída.

Exemplos de uso do Involve-GPUpdate para Atualização Remota de Política de Grupo

Outra vantagem de usar o cmdlet Invoke-GPUpdate é que a opção “RandomDelayInMinutes” permite ajustar o atraso. Se você deseja uma atualização imediata da Política de Grupo, defina-a como 0, conforme mostrado aqui:

      Invoke-GPUpdate –Computer LHE-LT-ADAM -RandomDelayInMinutes 0

Neste caso, um computador identificado como “LHE-LT-ADAM” foi imediatamente reiniciado após iniciar uma atualização de Group Policy. O cmdlet não produz saída. A única desvantagem de usar este parâmetro é que os usuários verão um pop-up de tela do cmd.

Se você deseja forçar uma atualização em todos os computadores, execute o código abaixo. Ele vai obter todos os computadores do domínio, colocá-los em uma variável e executar os comandos para cada objeto.

      $compgpoupd = Get-ADComputer -Filter *
$compgpoupd | ForEach-Object -Process {Invoke-GPUpdate -Computer $_.name -RandomDelayInMinutes 0 -Force}

A única desvantagem de usar o parâmetro RandomDelayInMinutes é que os usuários verão um pop-up de tela cmd.

Este código irá obter todos os computadores do domínio, colocá-los em uma variável e executar os comandos para cada objeto.

Configure os firewalls antes de aplicar os GPOs

Certifique-se de que os firewalls permitem tráfego de rede de entrada em portas específicas antes de abrir o seu GPMC. A partir do Windows Server 2012, existe uma GPO inicial no Editor de Política de Grupo chamada “The Group Policy Remote Update Firewall Ports”, que verifica se a porta TCP 135 está configurada para gerenciamento remoto de tarefas agendadas.

Para habilitar o Windows Firewall com Segurança Avançada com uma GPO:

  1. Inicie a interface para o Gerenciamento de Política de Grupo.
  2. No painel de navegação, expanda o seguinte: Forest (YourForestName) => Domínios (YourDomainName) => Objetos de Política de Grupo: (YourDomainName) => clique com o botão direito no GPO que deseja editar e selecione Editar.
Image
  1. Da barra de navegação do Group Policy Management Editor, Selecione Computer Configuration => Policies => Windows Settings => Security Settings => Windows Firewall with Advanced Security => Advanced Security for Windows Firewall.
Image

Atualização de fundo de GPO

Todos os clientes de Política de Grupo processam os GPOs quando o intervalo de atualização em segundo plano ocorre – mas eles processam apenas aqueles GPOs que são novos ou que mudaram desde a última vez que o cliente os solicitou.

No entanto, para configurações de segurança, o motor de Política de Grupo funciona de maneira diferente. Ele solicita um atualização de fundo especial apenas para as configurações de security policy. Isso é chamado de background security refresh e é válido para todas as versões do Windows Server. A cada 16 horas, cada cliente de Política de Grupo pergunta ao Active Directory sobre todos os GPOs que contêm configurações de segurança (não apenas os que foram alterados) e reaplica essas configurações de segurança. Isso garante que, se uma configuração de segurança for alterada no cliente (às escondidas do motor de Política de Grupo), ela será automaticamente revertida para a configuração adequada dentro de 16 horas.

Processo de atualização em segundo plano para GPOs locais

Como mencionado anteriormente, uma razão chave pela qual você pode precisar forçar uma atualização da Política de Grupo é que administradores locais (ou adversários que comprometeram suas contas!) podem fazer alterações nas configurações de suas máquinas que anulam uma política que você definiu com um GPO. Essas mudanças podem prejudicar a produtividade ou até mesmo a segurança. Por exemplo, um administrador local pode substituir sua configuração de GPO que proíbe drives USB, permitindo tanto o roubo de dados quanto a introdução de malware.

Assim, você deve conceder direitos de administrador local apenas quando eles forem realmente necessários. Usuários regulares nunca devem receber direitos de admin local.

Reaplicação obrigatória das configurações de política de grupo que não são de segurança

Como mencionado acima, a atualização de fundo regular aplica-se apenas a GPOs novos e alterados. No entanto, você pode modificar a atualização de fundo regular para reaplicar certas configurações, mesmo que os GPOs não tenham mudado. Esta é uma boa maneira de corrigir exploits que não estão relacionados à segurança.

Especificamente, você pode optar por exigir a reaplicação das seguintes áreas da Política de Grupo durante cada processamento inicial de política e atualização em segundo plano:

  • Registro (Modelos Administrativos)
  • Manutenção do Microsoft Edge
  • Segurança IP
  • Política de Recuperação EFS
  • Política de Wireless
  • Cota de Disco
  • Scripts
  • Segurança
  • Redirecionamento de Pasta
  • Instalação de Software
  • Política de Rede

Como a Netwrix pode ajudar

A Política de Grupo é uma forma extremamente poderosa de gerenciar configurações para sua infraestrutura Windows. Mas também é complexa. De fato, após anos de fusões e aquisições, rotatividade de funcionários, mudanças tecnológicas e assim por diante, a Política de Grupo se torna quase impossível de gerenciar efetivamente usando métodos manuais e ferramentas nativas.

Netwrix Endpoint Policy Manager simplifica a gestão de Política de Grupo e permite que você limpe e consolide seus GPOs. Como resultado, sua organização terá logins mais rápidos, maior segurança, melhor tempo de atividade e menos configurações incorretas.

Solicite um Teste Gratuito do Simplify Group Policy Management

Conclusão

Manter as configurações de Group Policy atualizadas em todo o seu ambiente de TI é crítico para a produtividade, segurança, conformidade e mais. Embora as alterações de GPO sejam automaticamente aplicadas no próximo intervalo de atualização; você também pode forçar uma atualização para aplicá-las imediatamente. Como uma medida de segurança extra, você pode garantir que certas configurações de Group Policy sejam sempre reaplicadas, mesmo que não tenham mudado, a fim de reverter quaisquer alterações indesejadas feitas por administradores locais.

FAQ

Como atualizar a política de grupo?

Para atualizar a Política de Grupo manualmente, os administradores podem usar o comando gpupdate /force, o Console de Gerenciamento de Política de Grupo (GMPC) ou o PowerShell. O switch /force permite que os administradores reapliquem todas as configurações de política

O que o comando gpupdate /force faz?

A Política de Grupo é atualizada automaticamente de acordo com um cronograma de atualização em segundo plano. No entanto, às vezes uma atualização ou nova política precisa ter efeito mais cedo, ou a organização precisa reverter alterações indevidas de política feitas por administradores locais. Nesses casos, um administrador pode usar o comando gpupdate com o parâmetro /force para aplicar uma atualização da Política de Grupo imediatamente.

Quanto tempo leva para o gpupdate /force atualizar a Política de Grupo?

O tempo necessário para forçar uma atualização da Política de Grupo depende do número de políticas sendo aplicadas. Atualizar um pequeno número de políticas pode levar apenas alguns minutos, mas tipicamente, o processo envolve um tempo de aplicação de 90 minutos mais um atraso de 30 minutos para distribuição de carga de trabalho.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Jonathan Blackwell

Chefe de Desenvolvimento de Software

Desde 2012, Jonathan Blackwell, um engenheiro e inovador, tem fornecido liderança em engenharia que colocou o Netwrix GroupID na vanguarda da gestão de grupos e usuários para ambientes Active Directory e Azure AD. Sua experiência em desenvolvimento, marketing e vendas permite que Jonathan compreenda totalmente o mercado de Identity Management e como os compradores pensam.

Saiba mais sobre este assunto

Criar usuários do AD em massa e enviar suas credenciais por e-mail usando PowerShell

Como criar, alterar e testar senhas usando PowerShell

Como adicionar e remover grupos AD e objetos nos grupos com PowerShell

Confianças no Active Directory

Ataques de ransomware ao Active Directory

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança