Trochu na Standardní Zpracování zásad Skupiny
dříve, Než se podíváme na to, jak loopback zpracování díla může být prospěšné, aby se rychle aktualizovat na to, jak standardní zpracování zásad skupiny funguje.
Objekty zásady Skupiny (GPO) jsou kolekce konfigurovatelné nastavení zásad, které jsou organizovány jako jeden objekt a obsahují Konfigurace Počítače, politiky, které jsou aplikovány na počítače během Spuštění a Konfigurace Uživatele politiky, které jsou aplikované na uživatele během přihlašování.
vše o rozsahu
termín v rozsahu se používá k označení jakéhokoli GPO, který se vztahuje na Objekt (počítačový účet nebo uživatelský účet).
Zásady skupiny lze použít ve čtyřech samostatných bodech struktury domény (místní, Site, Domain a organizační jednotka (OU)) a jsou aplikovány jeden po druhém v pořadí priorit pro každý krok.
takže v rozsahu GPO pro účet se skládají ze všech místních zásad GPO, všech GPO webu, všech GPO domény a všech GPO propojených s každým OU v cestě objektu účtu. V každé fázi nový OBJEKT zásad skupiny platí to přepíše konfliktní nastavení, vlastní nastavení; konečný soubor politik použita, je známý jako Výsledná Sada zásad (RSoP), a může být viděn na klientském zařízení pomocí RSoP.msc konzole.
Každý OBJEKT zásad skupiny, které byl odepřen uplatňovat práva nebo odfiltrovány pomocí Filtrování služby WMI je považován za Mimo rozsah
Proč Loopback
Uživatelský režim zpracování duplicitních zásady Skupiny možnost k dispozici v rámci uzlu konfigurace počítače v Objektu Zásad Skupiny je užitečným nástrojem pro zajištění určitá uživatelská nastavení jsou aplikovány na zadaných počítačích.
zpracování zpětné smyčky v podstatě mění standardní zpracování zásad skupiny způsobem, který umožňuje použití Nastavení Konfigurace uživatele na základě rozsahu GPO počítače během přihlášení. To znamená, že možnosti Konfigurace uživatele lze použít pro všechny uživatele, kteří se přihlásí k určitému počítači.
Při použití Loopback
Běžné scénáře, kde tato politika se používá zahrnují veřejně přístupné terminály, automaty chovat jako aplikace, kiosky, terminálové servery a jakékoli jiné prostředí, kde si uživatel nastavení by měla být určena účtu počítače namísto uživatele účtu.
Kde Povolit zpětné Smyčky
nastavení nalezen v rámci uzlu Konfigurace Počítače v objektu zásad skupiny:
Konfigurace Počítače > Šablony pro Správu >> zásady Skupiny > zpracování duplicitních zásady Skupiny Uživatele režim
Nahradit nebo Sloučit
Pokud je Povoleno, musíte vybrat, který režim zpracování duplicitních bude fungovat v; Nahradit nebo Sloučit.
Nahradit režim vám zcela zrušit uživatelské nastavení, které se běžně vztahují na všechny uživatele, přihlášení k počítači použití loopback zpracování a nahradit je s uživatelské nastavení, které platí pro účet počítače místo.
Sloučit režim použije uživatelská nastavení, která platí pro všechny uživatelé přihlášení k počítači použití loopback zpracování jako normální a pak použít uživatelské nastavení, které platí pro účet počítače; v případě konfliktu mezi oběma, účet počítače uživatelská nastavení přepíše uživatelský účet, uživatelské nastavení.
Jak Loopback Funguje
Loopback zpracování ovlivňuje způsob, jakým GetGPOList funkce funguje, normálně, když se uživatel přihlásí na GetGPOList funkce shromažďuje seznam všech v rozsahu zásad skupiny a uspořádá je v přednost, aby pro zpracování.
pokud je v režimu sloučení povoleno zpracování zpětné vazby, funkce GetGPOList také shromažďuje všechny GPO v rozsahu pro účet počítače a připojí je do seznamu GPO shromážděných pro uživatelský účet, tyto pak běží jako vyšší priorita než GPO uživatelů.
pokud je v režimu nahrazení povoleno zpracování zpětné smyčky, funkce GetGPOList neshromažďuje uživatele v GPO rozsahu.
takže bez povolení zpětné smyčky vypadá zpracování zásad trochu takto:
1. Zásady počítačového uzlu ze všech GPO v rozsahu pro objekt počítačového účtu jsou aplikovány během spouštění (v normálním pořadí místní, Site, Domain, OU).
2. Zásady uživatelského uzlu ze všech GPO v rozsahu pro objekt uživatelského účtu jsou aplikovány během přihlášení (v normálním pořadí Local, Site, Domain, OU).
a s povoleným zpracováním zpětné smyčky (v režimu sloučení):
1. Zásady počítačového uzlu ze všech GPO v rozsahu pro objekt počítačového účtu jsou aplikovány během spouštění (v normálním pořadí místní, Site, Domain, OU), příznaky počítače, které je povoleno zpracování zpětné smyčky (režim sloučení).
2. Zásady uživatelského uzlu ze všech GPO v rozsahu pro objekt uživatelského účtu jsou aplikovány během přihlášení (v normálním pořadí Local, Site, Domain, OU).
3. Jako počítač běží v loopback (Režim Sloučit) to pak platí všechny Uživatele Uzlu politiky ze všech Objektů zásad skupiny v rozsahu pro objekt účtu počítače během přihlašování (Místní, Web, Domény a OU), pokud některá z těchto nastavení rozporu s tím, co byla použita v kroku 2. Pak bude mít přednost nastavení účtu počítače.
a s povoleným zpracováním zpětné smyčky (v režimu nahrazení):
1. Zásady počítačového uzlu ze všech GPO v rozsahu pro objekt počítačového účtu jsou aplikovány během spouštění (v normálním pořadí místní, Site, Domain, OU), příznaky počítače, které je povoleno zpracování zpětné smyčky (režim nahrazení).
2. Zásady uživatelských uzlů ze všech GPO v rozsahu pro objekt uživatelského účtu se během přihlášení nepoužijí (protože počítač běží na zpracování zpětné smyčky v režimu nahrazení, nebyl shromážděn žádný seznam uživatelských GPO).
3. Když je počítač spuštěn v režimu loopback (Replace Mode), použije všechny zásady uživatelských uzlů ze všech GPO v rozsahu pro objekt účtu počítače během přihlášení (místní, Web, Doména a OU).
Ale nechci, aby všichni, kteří se přihlásí, aby si tyto Nastavení
Pokud chcete přidat výjimku z tohoto pravidla, například, které jste používali zpracování zpětné smyčky k zajištění terminálového serveru pomocí režimu nahradit, ale rád bych, aby zajistily, že správci serveru se zobrazí nastavení; poté můžete nastavit skupinu zabezpečení obsahující účty administrátorů na kartě delegování GPO(y) při pohledu z konzoly pro správu zásad skupiny (GPMC) jako odepřít pro možnost použít zásady skupiny. Toto bude muset být nastaveno pro všechny GPO, které obsahují uživatelská nastavení, která chcete popřít a která jsou v rozsahu pro účet počítače.
Na závěr
takže vše, co musíte udělat, abyste zajistili, že nastavení uživatelského uzlu, které chcete nakonfigurovat při zpracování zpětné smyčky, platí; je zajistit, aby nastavení uzlu uživatele bylo v GPO, které je v rozsahu pro objekt účtu počítače (a že má přednost před konkurenčními GPO).