Ein wenig zur Standard-Gruppenrichtlinienverarbeitung
Bevor wir uns ansehen, wie die Loopback-Verarbeitung funktioniert, kann es von Vorteil sein, sich kurz zu informieren, wie die Standard-Gruppenrichtlinienverarbeitung funktioniert.Gruppenrichtlinienobjekte (Group Policy Objects, GPO) sind eine Sammlung konfigurierbarer Richtlinieneinstellungen, die als einzelnes Objekt organisiert sind und Computerkonfigurationsrichtlinien enthalten, die beim Start auf Computer angewendet werden, und Benutzerkonfigurationsrichtlinien, die bei der Anmeldung auf Benutzer angewendet werden.
Alles über Scope
Der Begriff in scope bezieht sich auf jedes Gruppenrichtlinienobjekt, das für ein Objekt gilt (Computerkonto oder Benutzerkonto).Gruppenrichtlinien können an vier separaten Punkten innerhalb einer Domänenstruktur (Lokal, Standort, Domäne und Organisationseinheit (OU)) angewendet werden und werden nacheinander in der Rangfolge für jeden Schritt angewendet.
Die In-Scope-Gruppenrichtlinienobjekte für ein Konto bestehen also aus allen lokalen Richtlinien-Gruppenrichtlinienobjekten, allen Standort-Gruppenrichtlinienobjekten, allen Domänen-Gruppenrichtlinienobjekten und allen Gruppenrichtlinienobjekten, die mit jeder Organisationseinheit im Pfad des Kontoobjekts verknüpft sind. In jeder Phase, in der ein neues Gruppenrichtlinienobjekt angewendet wird, werden alle widersprüchlichen Einstellungen mit seinen eigenen Einstellungen überschrieben; Der endgültige Satz angewendeter Richtlinien wird als resultierende Gruppe von Richtlinien (RSOP) bezeichnet und kann auf einem Clientgerät über die RSoP angezeigt werden.msc-Konsole.
Alle Gruppenrichtlinienobjekte, denen Zugriffsrechte verweigert oder die über die WMI-Filterung herausgefiltert wurden, gelten als außerhalb des Geltungsbereichs
Warum Loopback
Die Option Loopback-Verarbeitungsmodus für Benutzergruppenrichtlinien, die im Knoten Computerkonfiguration eines Gruppenrichtlinienobjekts verfügbar ist, ist ein nützliches Werkzeug, um sicherzustellen, dass bestimmte Benutzereinstellungen auf bestimmten Computern angewendet werden.
Im Wesentlichen Loopback-Verarbeitung ändert die Standard-Gruppenrichtlinienverarbeitung in einer Weise, die Benutzerkonfigurationseinstellungen angewendet werden können, basierend auf dem Computer Gruppenrichtlinienobjektbereich bei der Anmeldung. Dies bedeutet, dass Benutzerkonfigurationsoptionen auf alle Benutzer angewendet werden können, die sich an einem bestimmten Computer anmelden.
Verwendung von Loopback
Häufige Szenarien, in denen diese Richtlinie verwendet wird, umfassen öffentlich zugängliche Terminals, Maschinen, die als Anwendungskioske fungieren, Terminalserver und jede andere Umgebung, in der die Benutzereinstellungen vom Computerkonto anstelle des Benutzerkontos festgelegt werden sollten.
Wo Loopback aktiviert werden soll
Die Einstellung befindet sich im Knoten Computerkonfiguration eines Gruppenrichtlinienobjekts:
Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinie > Loopback der Benutzergruppenrichtlinie verarbeitungsmodus
Ersetzen oder Zusammenführen
Wenn diese Option aktiviert ist, müssen Sie auswählen, in welchem Modus die Loopback-Verarbeitung ausgeführt werden soll. Ersetzen oder Zusammenführen.
Replace-Modus wird vollständig verwerfen die Benutzereinstellungen, die normalerweise für alle Benutzer, die sich an einem Computer mit Loopback-Verarbeitung und ersetzen Sie sie mit den Benutzereinstellungen, die auf das Computerkonto statt gelten.
Merge-Modus werden die Benutzereinstellungen, die für alle Benutzer, die sich an einer Maschine Anwendung Loopback-Verarbeitung wie gewohnt gelten gelten und dann die Benutzereinstellungen, die auf das Computerkonto gelten, im Falle eines Konflikts zwischen den beiden, wird das Computerkonto Benutzereinstellungen überschreiben die Benutzerkonto Benutzereinstellungen.Wenn sich ein Benutzer anmeldet, sammelt die Funktion GetGPOList normalerweise eine Liste aller Gruppenrichtlinienobjekte im Gültigkeitsbereich und ordnet sie zur Verarbeitung in der Rangfolge an.
Wenn die Loopback-Verarbeitung im Zusammenführungsmodus aktiviert ist, sammelt die Funktion GetGPOList auch alle Gruppenrichtlinienobjekte im Gültigkeitsbereich für das Computerkonto und hängt sie an die Liste der für das Benutzerkonto gesammelten Gruppenrichtlinienobjekte an.
Wenn die Loopback-Verarbeitung im Ersetzungsmodus aktiviert ist, sammelt die Funktion GetGPOList die Benutzer nicht in Bereichsrichtlinienobjekten.
Ohne Loopback sieht die Richtlinienverarbeitung also ein wenig so aus:
1. Computerknotenrichtlinien aus allen Gruppenrichtlinienobjekten im Gültigkeitsbereich für das Computerkontoobjekt werden beim Start angewendet (in der normalen Reihenfolge Lokal, Standort, Domäne, Organisationseinheit).
2. Benutzerknotenrichtlinien aus allen Gruppenrichtlinienobjekten im Gültigkeitsbereich für das Benutzerkontoobjekt werden während der Anmeldung angewendet (in der normalen Reihenfolge Lokal, Standort, Domäne, Organisationseinheit).
Und bei aktivierter Loopback-Verarbeitung (im Merge-Modus):
1. Computerknotenrichtlinien aus allen Gruppenrichtlinienobjekten im Bereich für das Computerkontoobjekt werden beim Start angewendet (in der normalen Reihenfolge Lokal, Standort, Domäne, Organisationseinheit).
2. Benutzerknotenrichtlinien aus allen Gruppenrichtlinienobjekten im Gültigkeitsbereich für das Benutzerkontoobjekt werden während der Anmeldung angewendet (in der normalen Reihenfolge Lokal, Standort, Domäne, Organisationseinheit).
3. Da der Computer im Loopback-Modus (Zusammenführungsmodus) ausgeführt wird, werden alle Benutzerknotenrichtlinien aller Gruppenrichtlinienobjekte im Gültigkeitsbereich für das Computerkontoobjekt während der Anmeldung (Lokal, Standort, Domäne und Organisationseinheit) angewendet, wenn eine dieser Einstellungen im Widerspruch zu den in Schritt 2 angewendeten Einstellungen steht. Dann hat die Einstellung des Computerkontos Vorrang.
Und bei aktivierter Loopback-Verarbeitung (im Ersetzungsmodus):
1. Computerknotenrichtlinien aus allen Gruppenrichtlinienobjekten im Bereich für das Computerkontoobjekt werden während des Starts angewendet (in der normalen Reihenfolge Lokal, Standort, Domäne, Organisationseinheit).
2. Benutzerknotenrichtlinien aus allen Gruppenrichtlinienobjekten im Gültigkeitsbereich für das Benutzerkontenobjekt werden während der Anmeldung nicht angewendet (da der Computer die Loopback-Verarbeitung im Ersetzungsmodus ausführt, wurde keine Liste der Benutzer-Gruppenrichtlinienobjekte erfasst).
3. Da der Computer im Loopback-Modus (Ersetzungsmodus) ausgeführt wird, werden während der Anmeldung alle Benutzerknotenrichtlinien aller Gruppenrichtlinienobjekte im Gültigkeitsbereich für das Computerkontoobjekt (Lokal, Standort, Domäne und Organisationseinheit) angewendet.
Aber ich möchte nicht, dass jeder, der sich anmeldet, diese Einstellungen erhält
Wenn Sie eine Ausnahme zu dieser Regel hinzufügen möchten, haben Sie beispielsweise die Loopback-Verarbeitung verwendet, um einen Terminalserver im Ersetzungsmodus zu sichern, möchten aber sicherstellen, dass die Serveradministratoren die Einstellungen nicht erhalten; anschließend können Sie eine Sicherheitsgruppe mit den Administratorkonten auf der Registerkarte Delegierung der Gruppenrichtlinienobjekte festlegen, während Sie in der Gruppenrichtlinienverwaltungskonsole (GPMC) als Verweigern für die Option Gruppenrichtlinie anwenden angezeigt werden. Dies muss für alle Gruppenrichtlinienobjekte festgelegt werden, die Benutzereinstellungen enthalten, die Sie ablehnen möchten und die für das Computerkonto gelten.
Abschließend
Alles, was Sie tun müssen, um sicherzustellen, dass die Einstellung des Benutzerknotens, die Sie in der Loopback-Verarbeitung konfigurieren möchten, angewendet wird; stellen Sie sicher, dass sich die Benutzerknoteneinstellung in einem Gruppenrichtlinienobjekt befindet, das für das Computerkontoobjekt gilt (und Vorrang vor konkurrierenden Gruppenrichtlinienobjekten hat).
