lidt om behandling af Standardgruppepolitik
Før vi ser på, hvordan loopback-behandling fungerer, kan det være en fordel at have en hurtig opdatering af, hvordan behandling af standardgruppepolitik fungerer.
gruppepolitiske objekter (GPO) er en samling af konfigurerbare politiske indstillinger, der er organiseret som et enkelt objekt og indeholder computerkonfigurationspolitikker, der anvendes på computere under opstart og brugerkonfigurationspolitikker, der anvendes på brugere under logon.
alt om omfang
udtrykket i omfang bruges til at henvise til enhver GPO, der gælder for et objekt (computerkonto eller brugerkonto).
gruppepolitikker kan anvendes på fire separate punkter inden for en domænestruktur (lokal, sted, Domæne og organisatorisk enhed (ou)) og anvendes den ene efter den anden i forrang for hvert trin.
Så i omfang Gpo ‘er for en konto består af alle lokale politikker Gpo’ er, alle Site Gpo ‘er, alle Domæne Gpo’ er og alle Gpo ‘ er, der er knyttet til hver OU i stien til kontoobjektet. På hvert trin anvender en ny GPO det overskriver eventuelle modstridende indstillinger med sine egne indstillinger; det endelige sæt anvendte politikker er kendt som det resulterende sæt politikker (RSoP) og kan ses på en klientenhed via RSoP.MSc konsol.
enhver GPO, der er blevet nægtet at anvende rettigheder eller filtreret ud via VMI-filtrering, anses for at være uden for anvendelsesområdet
Hvorfor Loopback
indstillingen Brugergruppepolitik loopback-behandlingstilstand, der er tilgængelig i computerkonfigurationsknudepunktet for et gruppepolitisk objekt, er et nyttigt værktøj til at sikre, at visse brugerindstillinger anvendes på specificerede computere.i det væsentlige ændrer loopback-behandling standardgruppepolitikbehandlingen på en måde, der gør det muligt at anvende brugerkonfigurationsindstillinger baseret på computerens GPO-omfang under logon. Dette betyder, at brugerkonfigurationsindstillinger kan anvendes på alle brugere, der logger på en bestemt computer.almindelige scenarier, hvor denne politik anvendes, omfatter offentlige tilgængelige terminaler, maskiner, der fungerer som applikationskiosker, terminalservere og ethvert andet miljø, hvor brugerindstillingerne skal bestemmes af computerkontoen i stedet for brugerkontoen.
Hvor skal man aktivere Loopback
indstillingen findes inden for Computerkonfigurationsknudepunktet for en GPO:
Computerkonfiguration > Administrative Skabeloner > System > Gruppepolitik > Gruppepolitik>Brugergruppepolitik loopback processing mode
Erstat eller flet
når den er aktiveret, skal du vælge, hvilken tilstand loopback Processing vil fungere i; Erstat eller flet.
Udskift tilstand vil helt kassere de brugerindstillinger, der normalt gælder for alle brugere, der logger på en maskine, der anvender loopback-behandling, og erstatte dem med de brugerindstillinger, der gælder for computerkontoen i stedet.fletningstilstand anvender de brugerindstillinger, der gælder for alle brugere, der logger på en maskine, der anvender loopback-behandling som normalt, og anvender derefter de brugerindstillinger, der gælder for computerkontoen; i tilfælde af en konflikt mellem de to, overskriver computerkontobrugerindstillingerne brugerkontobrugerindstillingerne.
Sådan fungerer Loopback
Loopback-behandling påvirker den måde, hvorpå GetGPOList-funktionen fungerer, normalt når en bruger logger på GetGPOList-Funktionen, samler en liste over alle GPO ‘ er i omfang og arrangerer dem i forrang for behandling.
Når loopback-behandling er aktiveret i fletningstilstand, samler GetGPOList-funktionen også alle i omfang Gpo ‘er til computerkontoen og føjer dem til listen over Gpo’ er, der er indsamlet til brugerkontoen, disse kører derefter som højere forrang end brugernes Gpo ‘ er.
Når loopback-behandling er aktiveret i Udskiftningstilstand, samler GetGPOList-funktionen ikke brugerne i omfang Gpo ‘ er.
så uden loopback aktiveret ser politikbehandling lidt sådan ud:
1. Computernodepolitikker fra alle Gpo ‘ er, der er omfattet af computerkontoobjektet, anvendes under opstart (i den normale lokale, sted, domæne, ou-ordre).
2 . Brugerknudepolitikker fra alle Gpo ‘ er, der er omfattet af brugerkontoobjektet, anvendes under logon (i den normale lokale, sted, domæne, ou-ordre).
og med loopback-behandling aktiveret (i fletningstilstand):
1. Computernodepolitikker fra alle Gpo ‘ er, der er omfattet af computerkontoobjektet, anvendes under opstart (i den normale lokale, sted, domæne, ou-rækkefølge), computerflaggene, der loopback-behandling (fletningstilstand) er aktiveret.
2 . Brugerknudepolitikker fra alle Gpo ‘ er, der er omfattet af brugerkontoobjektet, anvendes under logon (i den normale lokale, sted, domæne, ou-ordre).
3. Da computeren kører i loopback (fletningstilstand), anvender den derefter alle Brugerknudepolitikker fra alle Gpo ‘ er, der er omfattet af computerkontoobjektet under logon (lokalt, sted, Domæne og OU), hvis nogen af disse indstillinger er i konflikt med det, der blev anvendt under Trin 2. Derefter vil computerkontoindstillingen have forrang.
og med loopback-behandling aktiveret (i Udskiftningstilstand):
1. Computernodepolitikker fra alle Gpo ‘ er, der er omfattet af computerkontoobjektet, anvendes under opstart (i den normale lokale, sted, domæne, ou-rækkefølge), computerflaggene, som loopback-behandling (Udskiftningstilstand) er aktiveret.
2 . Brugerknudepolitikker fra alle Gpo ‘er, der er omfattet af brugerkontoobjektet, anvendes ikke under logon (da computeren kører loopback-behandling i Udskiftningstilstand, er der ikke indsamlet nogen liste over bruger-Gpo’ er).
3. Da computeren kører i loopback (Udskiftningstilstand), anvender den derefter alle Brugerknudepolitikker fra alle Gpo ‘ er, der er omfattet af computerkontoobjektet under logon (lokalt, sted, Domæne og OU).
men jeg vil ikke have, at alle, der logger på, får disse indstillinger
Hvis du vil tilføje en undtagelse til denne regel, for eksempel har du brugt loopback-behandling til at sikre en terminalserver ved hjælp af udskiftningstilstand, men vil gerne sikre, at serveradministratorerne ikke modtager indstillingerne; derefter kan du indstille en sikkerhedsgruppe, der indeholder administratorkontiene i fanen delegation i GPO(erne), mens den ses fra gruppepolicy Management Console (GPMC) som Afvis for indstillingen Anvend gruppepolitik. Dette skal indstilles for alle Gpo ‘ er, der indeholder brugerindstillinger, du ønsker at nægte, der er i rækkevidde for computerkontoen.
afslutningsvis
så alt hvad du skal gøre for at sikre, at den Brugerknudeindstilling, du vil konfigurere i loopback-behandling, gælder; er sikre, at indstillingen Bruger Node er i en GPO, der er i omfang for computerkontoobjektet (og at det har forrang over alle konkurrerende Gpo ‘ er).