24/12/2024

Stratégie de groupe

WS 2012 – Forcer la mise à jour des GPO à distance

I. Présentation

La commande "gpupdate /force" permettant de mettre à jour les paramètres de stratégies de groupe sur une machine Windows d'un domaine est très connue et très utilisée. Toutefois, l'arrivée de Windows Server 2012 a était accompagnée par une nouvelle fonctionnalité qui permet de faire une actualisation des GPO à distance sur une ou plusieurs machines du domaine.

II. Utilisation de la fonctionnalité

Voyons comment utiliser cette fonctionnalité sur un serveur Windows Server 2012 évidemment. Au sein du Gestionnaire de serveur, cliquez sur "Outils" puis "Gestion des stratégies de groupe" puisque c'est au sein de cette console que tout va se jouer.

remotegpo1
Ensuite, développez les parties "forêt" et "domaine" jusqu'à arriver sur vos différentes Unités d'organisation (OU). Une fois que vous y êtes, cliquez droit sur celle contenant les machines sur lesquelles vous souhaitez effectuer l'actualisation des GPO puis cliquez sur l'option "Mise à jour de la stratégie de groupe".

Note : Il n'est pas possible d'effectuer la mise à jour directement sur le domaine ou la forêt via l'interface graphique (possible via PowerShell).

remotegpo2

Une fenêtre de confirmation va apparaître où il sera indiqué le nombre de machines concernées par la mise à jour. Cliquez sur "Oui" pour exécuter l'opération.

remotegpo3

Si vous obtenez un message d'erreur lié au serveur RPC, désactivez le Pare-feu sur les postes clients - ou configurez-le en conséquence - si ce n'est pas encore fait. Sinon, vous obtiendrez un message de validation comme ceci :

remotegpo4

Lors de cette mise à jour le contrôleur de domaine exécute à distance la commande "gpupdate /force" sur les postes clients tout en laissant un délai entre chaque actualisation afin de ne pas surcharger le réseau. Si vous souhaitez contrôler le délai entre chaque machine ou ne pas utiliser de délai, il vous faudra passer par PowerShell pour exécuter la mise à jour des GPO à distance et notamment l'utilisation des deux command-lets suivants : Get-ADComputer et Invoke-GPUpdate.

III. Exemple avec PowerShell

Voici un exemple de requête de mise à jour qu'il est possible d'utiliser en Powershell grâce aux deux command-lets cités ci-dessus.

Get-ADComputer –filter * -Searchbase "dc=it-connect,dc=fr" | foreach{ Invoke-GPUpdate –computer $_.name -force}

Cet exemple faire une requête dans l'annuaire afin de récupérer le nom de tout les ordinateurs à partir de la racine du domaine (Get-ADComputer) puis ensuite pour chaque résultat on effectue la commande Invoke-GPUpdate en utilisant le nom récupéré avec la requête Get-ADComputer afin de faire une mise à jour sur chacune des machines trouvées. Vous n'aurez pas de message de confirmation mais uniquement un message d'erreur si une machine n'a pas pu être mise à jour :

remotegpo5

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

4 commentaires sur “WS 2012 – Forcer la mise à jour des GPO à distance

  • Merci, Mr:Florian Burnel pour votre aide et partage les connaissances mais j’aimerai savoir si je peux vous poser des questions???

    Répondre
  • Bonjour, belle trouvaille! Est-ce possible de faire la même chose pour des comptes d’utilisateur? Ca ne semble fonctionner que pour des compte d’ordinateurs.

    Merci

    Répondre
  • Franchement Super, Merci beaucoup pour tous vos articles, je m’y réfère souvent, et ils me sont d’une aide précieuse !

    Répondre
  • Peut-on faire des groupes, afin de ne pas lancer la commande sur 500 ou 1000 postes ?

    merci

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.