Windows Server 2012 und Windows 8 Group Policy Update

Wer kennt das nicht, man ändert eine Group Policy und möchte die Änderungen eigentlich direkt weiterreichen. Bis anhin ging man meistens hin und führte auf dem Client ein gpupdate /force aus.
Wie oft wünschte sich jeder von uns eine Funktion, mit der man die Änderungen auf den Clients zentral anschieben kann? Die 90 Minuten Wartezeit, bis der GP-Refresh kommt, können zu einer schweisstreibenden Angelegenheit werden. Microsoft hat sich diesem Problem angenommen mit dem «Force a Remote Group Policy Refresh» (Group Policy Update).
Die Lösung ist eigentlich sehr simpel, es wird auf den Clients ein «Scheduled Task» erstellt, der einen GPUpdate innerhalb von zehn Minuten ausführt. Hierbei wird für jeden Client eine Zufallszeit generiert, damit nicht gerade alle gleichzeitig die Policies abrufen.

Diese Funktion benötigt einen Windows Server 2012 oder Windows 8 mit RSAT als Domänenmitglied. Und es können auf folgenden Clients Remote Refreshs durchgeführt werden:

• Windows Server 2008+ / Windows Vista+

Damit das Ganze funktioniert, müssen jedoch einige Voraussetzungen erfüllt sein. Auf den Clients müssen folgende Firewall-Regeln definiert werden.

Firewall-Regeln Clients

Die benötigten Rules definieren wir natürlich auch über Group Policies.

• Remote Scheduled Tasks Management (RPC)
• Remote Scheduled Tasks Management (RPC-EPMAP)
• Windows Management Instrumentation (WMI-IN)

Dazu öffnen wir die «Group Policy Management Console» und definieren eine neue Policy oder bearbeiten eine bestehende.

In meinem Fall wird eine neue generiert und auf Domänenebene verlinkt.

In der Policy nehmen wir folgende Änderungen vor und zwar unter:

Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security

Rechtsklick auf Inbound Rules > «New Rule…»

Im «New Inbound Rule Wizard» wählen wir «Predifined» und «Remote Scheduled Task Management» aus. Ich empfehle euch, die Regel nur auf dem Domänenprofil zu setzen. Sollte auf dem Client das Profil falsch erkannt werden, muss man dies zuerst bereinigen.

In diesem Fenster lassen wir alles auf dem Standard und bestätigen mit Next.

Danach klicken wir auf Finish. Und schon hätten wir die erste Regel geschafft.

Die letzten Schritte wiederholen wir, um die nächste Regel zu erstellen.

Nun solltet ihr die folgenden Regeln sehen:

Ich gehe nun in die Properties der Regeln und stelle sicher, dass es nur auf dem Domänenprofil aktiv ist.

So, es ist vollbracht. Nun sind meine Clients bereit für einen Push …

Bitte stellt sicher, dass Ihr lange genug wartet, bis die Policy auch bei den Clients ankommt.
Sobald es geklappt hat, sind die Ausnahmen des Client ersichtlich:

Nehmen wir an, ich habe eine Änderung an den Policies durchgeführt und möchte diese weitergeben, so öffne ich die Group Policy Management Console, gehe auf die entsprechende OU und mache einen Rechtsklick.

Es taucht nun eine Dialogbox auf, die mich fragt, ob ich dies auch wirklich machen will. Diese zeigt mir des Weiteren die Anzahl der betroffenen Einheiten an.

Wenn ich mit «Yes» bestätige, erhalte ich eine Statusanzeige.

Und auf dem Client?

Wenn man sich die Scheduled Tasks ansieht, kann man es nachvollziehen. Es wird ein Task für den Computer erstellt und einer für den angemeldeten Benutzer.

Es werden natürlich Computer und User Settings appliziert.

Frage: Die ersten Fragen, die kommen, sind vielleicht, was ist, wenn die Änderung der GPO einen Restart benötigt?

Antwort: Es kommt eine Abfrage, die der User bestätigen muss. Die Maschine wird also nicht einfach heruntergefahren.

Das Ganze geht natürlich auch über PowerShell. Da hat man auch viel mehr Optionen wie das Neustarten und die Forcierung des Logoffs oder die Einstellung des Random-Zeitintervalls.