Vous connaissez sûrement les GPO, Group Policy Objects, ou Objets de Stratégie de Groupe en français qui sont des paramètres qui s’appliquent automatiquement lors du démarrage d’un PC connecté à un réseau. Comment faire pour forcer une GPO sur un poste ou à distance ?
Côté serveur, il est aisé d’en créer et ainsi de les appliquer à tout un domaine ou toute une unité d’organisation. Cependant, pour que les GPO nouvellement crées s’appliquent sur l’ordinateur, il faut que celui-ci redémarre. Pour les tester ou tout simplement forcer l’application des nouveaux paramètres, il est possible d’exécuter certaines commandes localement ou à distance.
Pour voir quelles GPO sont appliquées à votre ordinateur, consultez notre article sur le sujet : Comment voir quelles GPO sont appliquées à un ordinateur Windows ?
Forcer la mise à jour des GPO avec la commande gpupdate
sur le PC
La commande gpupdate
est une commande qui s’exécute depuis l’invite de commandes Windows.
Pour cela, ouvrez une invite de commande en mode Administrateur.
Ensuite, tapez la commande suivante dans la fenêtre : gpupdate /force
Vous êtes informés de la réussite de la mise à jour de la stratégie sur l’ordinateur.
Forcer la mise à jour des GPO avec la commande Invoke-GPUpdate
depuis le serveur
Si vous voulez pousser la nouvelle configuration directement sur les PC que vous administrez depuis le serveur, sachez qu’il existe une commande : Invoke-GPUpdate
.
Pour l’exécuter, ouvrez une fenêtre PowerShell depuis un gestionnaire de domaine.
Ensuite, tapez Invoke-GPUpdate -Force
dans la fenêtre et validez avec Entrée.
La stratégie de groupe est alors actualisée.
Commandes avancées
La commande Invoke-GPUpdate
dans PowerShell accepte certains arguments qui permettent d’effectuer des mises à jour plus avancées.
Sur un ordinateur précis
Pour effectuer une mise à jour de la GPO sur un ordinateur précis, vous pouvez utiliser l’argument -Computer
.
Dans cet exemple, nous voulons mettre à jour la GPO sur l’ordinateur PC-Compta sur le domaine ITSOLUTIONS. Nous utiliserons alors la commande suivante :
Invoke-GPUpdate -Computer "ITSOLUTIONS\PC-Compta"
Sur un utilisateur précis
Cette fois nous imaginerons que nous souhaitons mettre à jour la stratégie de groupe de l’utilisateur amartin sur l’ordinateur PC-Compta dans le domaine ITSOLUTIONS.
Nous utiliserons alors cette commande :
Invoke-GPUpdate -Computer "ITSOLUTIONS\PC-Compta" -Target "amartin"
Redémarrer l’ordinateur après l’application de la GPO
L’argument -Boot
permet de forcer le redémarrage du PC à l’issue de l’application de la GPO.
Forcer la mise à jour des GPO à distance depuis l’éditeur de stratégies de groupe
Pour pousser la configuration sur les PC directement depuis un contrôleur de domaine, rendez-vous dans le gestionnaire de stratégies de groupe.
Faîtes un clic-droit sur l’unité d’organisation sur laquelle vous souhaitez mettre à jour les stratégies de groupe.
Cliquez ensuite sur Mise à jour de la stratégie de groupe…
Ensuite, une fenêtre vous demande de confirmer que vous souhaitez bien appliquer les paramètres à tous les PC de l’unité d’organisation en cours.
Validez en cliquant sur Oui.
Règles de pare-feu inhérentes
Pour que vous puissiez forcer la mise à jour des GPO sur les postes distants, il faut que quelques règles de pare-feu soient établies. Sinon vous pourrez bien obtenir un échec RPC de type « 8007071a L’appel de procédure distante a été annulée ».
Celles-ci peuvent se programmer grâce à l’éditeur de stratégies de groupe si le pare-feu Windows activé sur les postes du domaine.
3 règles sont à créer puis à autoriser :
- Gestion à distance des tâches planifiées (RPC) ;
- Gestion à distance des tâches planifiées (RPC-EPMAP) ;
- Windows Management Instrumentation (WMI-In).
Si vous rencontrez des difficultés pour supprimer un logiciel installé via GPO, je vous invite à lire comment désinstaller un logiciel par GPO.
Bonjour
Merci pour la doc.
Dans un parc, il peut y avoir des PC éteints sur lesquels on souhaite qu’une GPO, avec des configurations ordinateur et utilisateur, s’applique au démarrage du PC.
Aussi, comment forcer ou être sûr que celle-ci s’applique dès le démarrage d’un PC éteint au moment de la conception de la GPO ? Est-ce que la propagation se fait sur la définition du temps d’intervalle (conf pc ou conf user), donc si la GPO est créée la veille, pour une propagation de 1h, ce sera bon. Ou faut-il attendre que le PC soit allumé pour prendre en compte, selon le temps de propagation, la GPO, nécessitant de redémarrer à nouveau le PC ?
Cordialement
Bonjour,
A chaque démarrage, le PC d’un domaine va synchroniser et appliquer les nouvelles GPO. Donc si la mise en oeuvre de la GPO en question ne nécessite pas un redémarrage (comme l’installation d’un logiciel) elle sera appliquée dès le démarrage du pc
Bonjour David
Merci pour le retour.
Je pensais aussi comme vous, et il ne s’agit pas d’une GPO qui installe un nouveau logiciel.
J’ai peut-être un conflit avec une autre GPO, je vais chercher, car l’application de la GPO est décalée.
Cordialement