gpupdate

Aktualizuje ustawienia zasad grupy (Group Policy) na komputerze.

gpupdate to wbudowane w Windows narzędzie wiersza poleceń, które wymusza odświeżenie ustawień zasad grupy (Group Policy) na komputerze i koncie użytkownika. W domenie Active Directory polityki normalnie odświeżają się same co jakiś czas (mniej więcej co 90 minut, plus losowy offset), więc kiedy admin zmieni coś w konsoli GPMC, a Ty chcesz to zobaczyć od razu na maszynie — zamiast czekać albo restartować, odpalasz gpupdate. Domyślnie stosuje tylko te ustawienia, które się zmieniły, co jest szybkie i wystarcza w większości przypadków.

Składnia i najważniejsze opcje

Podstawowa składnia wygląda tak:

gpupdate [/target:{computer | user}] [/force] [/wait:] [/logoff] [/boot] [/sync]

  • /force — ponownie stosuje wszystkie ustawienia, nie tylko te zmienione. Przydatne, gdy podejrzewasz, że polityka „nie złapała”.
  • /target:computer lub /target:user — odświeża tylko zasady komputera albo tylko użytkownika. Bez tej flagi odświeża oba.
  • /wait: — ile sekund czekać na zakończenie przetwarzania, zanim wróci prompt. Domyślnie 600. 0 = nie czekaj wcale, -1 = czekaj w nieskończoność.
  • /logoff — wylogowuje użytkownika po odświeżeniu. Potrzebne dla rozszerzeń działających dopiero przy logowaniu (np. Folder Redirection, instalacja oprogramowania per użytkownik).
  • /boot — restartuje komputer po zastosowaniu zasad. Wymagane dla rozszerzeń przetwarzanych tylko przy starcie systemu (np. instalacja oprogramowania per komputer).
  • /sync — następne stosowanie polityki na pierwszym planie (przy starcie/logowaniu) wykona się synchronicznie. Często łączone z /boot lub /logoff.

Przykłady użycia

  • gpupdate — najprostszy wariant: odświeża zmienione zasady komputera i użytkownika w tle.
  • gpupdate /force — wymusza ponowne zastosowanie wszystkich polityk; klasyczny ruch po zmianach w GPO.
  • gpupdate /target:user /force — odświeża agresywnie tylko zasady użytkownika, zostawiając ustawienia komputera w spokoju.
  • gpupdate /force /boot — stosuje wszystko i restartuje maszynę, jeśli polityka tego wymaga (np. instalacja aplikacji per komputer).
  • gpupdate /sync — wymusza synchroniczne stosowanie przy następnym starcie/logowaniu, gdy chcesz mieć pewność, że wszystko załaduje się przed pulpitem.

Częste błędy i pułapki

/force nie jest magiczną różdżką — odświeża politykę, ale nie wymusza restartu ani wylogowania. Jeśli ustawienie wymaga jednego z tych zdarzeń, potrzebujesz /boot albo /logoff, inaczej zmiana po prostu nie wejdzie. Druga rzecz: /boot i /logoff potrafią Ci nagle zrestartować maszynę albo wykopać z sesji — nie odpalaj ich w trakcie pracy bez zapisania wszystkiego. Pamiętaj też, że gpupdate tylko stosuje zasady, które już dotarły z kontrolera domeny; jeśli brak łączności z DC, nic nowego nie ściągniesz, a polecenie zgłosi błąd. I nie myl tego z dawnym secedit /refreshpolicy z Windows 2000 — to już historia, dziś używasz gpupdate.

Powiązane komendy: gpresult (raport zastosowanych polityk), secedit (analiza i konfiguracja zabezpieczeń), Invoke-GPUpdate (odpowiednik w PowerShell, zdalne odświeżanie), rsop.msc (graficzny wynik zasad).