Un poco sobre el Procesamiento de directivas de grupo estándar
Antes de analizar cómo funciona el procesamiento de bucle invertido, puede ser beneficioso tener una actualización rápida sobre cómo funciona el procesamiento de directivas de grupo estándar.Los objetos de directiva de grupo (GPO) son una colección de configuraciones de directiva configurables que se organizan como un único objeto y contienen directivas de configuración de equipo que se aplican a los equipos durante el inicio y directivas de configuración de usuario que se aplican a los usuarios durante el inicio de sesión.
Todo sobre el ámbito
El término en ámbito se utiliza para referirse a cualquier GPO que se aplique a un objeto (cuenta de equipo o cuenta de usuario).Las directivas de grupo se pueden aplicar en cuatro puntos separados dentro de una estructura de dominio (Local, Sitio, Dominio y Unidad Organizativa (OU)) y se aplican una tras otra en orden de precedencia para cada paso.
Por lo tanto, los GPO de ámbito de una cuenta consisten en todos los GPO de directiva local, todos los GPO de Sitio, todos los GPO de dominio y todos los GPO vinculados a cada unidad organizativa en la ruta de acceso del objeto de cuenta. En cada etapa que se aplique un nuevo GPO, sobrescribirá cualquier configuración conflictiva con su propia configuración; el conjunto final de políticas aplicado se conoce como el Conjunto de políticas Resultante (RSoP) y se puede ver en un dispositivo cliente a través del RSoP.consola msc.
Cualquier GPO al que se le hayan denegado los derechos de aplicación o filtrado a través del filtrado de WMI se considera fuera de alcance
Por qué Loopback
La opción de modo de procesamiento de bucle invertido de directiva de grupo de usuarios disponible en el nodo de configuración del equipo de un objeto de directiva de grupo es una herramienta útil para garantizar que se apliquen determinadas configuraciones de usuario en equipos especificados.
Esencialmente, el procesamiento de bucle invertido cambia el procesamiento de directivas de grupo estándar de una manera que permite aplicar los ajustes de configuración de usuario en función del ámbito de GPO de los equipos durante el inicio de sesión. Esto significa que las opciones de configuración de usuario se pueden aplicar a todos los usuarios que inicien sesión en un equipo específico.
Cuándo usar Loopback
Los escenarios comunes en los que se utiliza esta directiva incluyen terminales de acceso público, máquinas que actúan como quioscos de aplicaciones, servidores de terminales y cualquier otro entorno en el que la configuración del usuario deba ser determinada por la cuenta del equipo en lugar de por la cuenta de usuario.
Dónde habilitar el bucle invertido
La configuración se encuentra dentro del nodo de Configuración del equipo de un GPO:
Configuración del equipo > Plantillas administrativas > Sistema > Directiva de grupo > Modo de procesamiento de bucle invertido de directiva de grupo de usuarios
Reemplazar o Fusionar
Cuando está habilitado, debe seleccionar en qué modo funcionará el procesamiento de bucle invertido; Reemplazar o Fusionar.El modo de reemplazo descartará por completo la configuración de usuario que normalmente se aplica a cualquier usuario que inicie sesión en una máquina que aplique el procesamiento de bucle invertido y la reemplazará con la configuración de usuario que se aplica a la cuenta del equipo.El modo de combinación aplicará la configuración de usuario que se aplica a cualquier usuario que inicie sesión en una máquina que aplique el procesamiento de bucle invertido de forma normal y, a continuación, aplicará la configuración de usuario que se aplica a la cuenta de equipo; en caso de conflicto entre los dos, la configuración de usuario de la cuenta de equipo sobrescribirá la configuración de usuario de la cuenta de usuario.
Cómo funciona el bucle invertido
El procesamiento de bucle invertido afecta a la forma en que funciona la función GetGPOList, normalmente cuando un usuario inicia sesión en la función GetGPOList recopila una lista de todos los GPO de ámbito y los organiza en orden de prioridad para el procesamiento.
Cuando el procesamiento de bucle invertido está habilitado en el modo de combinación, la función GetGPOList también recopila todos los GPO de ámbito para la cuenta del equipo y los anexa a la lista de GPO recopilados para la cuenta de usuario, estos se ejecutan con mayor prioridad que los GPO de usuarios.
Cuando el procesamiento de bucle invertido está habilitado en el modo de reemplazo, la función GetGPOList no recopila a los usuarios en los GPO de ámbito.
Por lo tanto, sin loopback habilitado, el procesamiento de políticas se parece un poco a esto:
1. Las directivas de nodo de equipo de todos los GPO del ámbito del objeto cuenta de equipo se aplican durante el inicio (en el orden Local, Sitio, Dominio y unidad organizativa normal).
2. Las directivas de nodo de usuario de todos los GPO del ámbito del objeto de cuenta de usuario se aplican durante el inicio de sesión (en el orden Local, Sitio, Dominio y unidad organizativa normal).
Y, con el procesamiento de bucle invertido habilitado (en modo de fusión):
1. Las directivas de nodo de equipo de todos los GPO en el ámbito del objeto cuenta de equipo se aplican durante el inicio (en el orden Local, Sitio, Dominio, OU normal), el equipo indica que el procesamiento de bucle invertido (Modo de fusión) está habilitado.
2. Las directivas de nodo de usuario de todos los GPO del ámbito del objeto de cuenta de usuario se aplican durante el inicio de sesión (en el orden Local, Sitio, Dominio y unidad organizativa normal).
3. A medida que el equipo se ejecuta en bucle invertido (Modo de fusión), aplica todas las directivas de nodo de usuario de todos los GPO del ámbito para el objeto cuenta de equipo durante el inicio de sesión (Local, Sitio, Dominio y unidad organizativa), si alguna de estas configuraciones entra en conflicto con lo que se aplicó durante el paso 2. A continuación, la configuración de la cuenta de equipo tendrá prioridad.
Y, con el procesamiento de bucle invertido habilitado (en modo de reemplazo):
1. Las directivas de nodo de equipo de todos los GPO en el ámbito del objeto cuenta de equipo se aplican durante el inicio (en el orden Local, Sitio, Dominio, OU normal), el equipo indica que el procesamiento de bucle invertido (Modo de reemplazo) está habilitado.
2. Las directivas de nodo de usuario de todos los GPO del ámbito del objeto cuenta de usuario no se aplican durante el inicio de sesión (como el equipo está ejecutando el procesamiento de bucle invertido en modo de reemplazo, no se ha recopilado ninguna lista de GPO de usuario).
3. A medida que el equipo se ejecuta en bucle invertido (Modo de reemplazo), aplica todas las directivas de nodo de usuario de todos los GPO del ámbito para el objeto cuenta de equipo durante el inicio de sesión (Local, Sitio, Dominio y unidad organizativa).
Pero no quiero que todos los que inicien sesión obtengan esta configuración
Si desea agregar una excepción a esta regla, por ejemplo, ha utilizado el procesamiento de bucle invertido para proteger un servidor de terminales utilizando el modo de reemplazo, pero desea asegurarse de que los administradores del servidor no reciban la configuración; a continuación, puede establecer un grupo de seguridad que contenga las cuentas de administradores en la ficha delegación de los GPO(s) mientras se visualiza desde la Consola de Administración de Directivas de grupo (GPMC) como Denegación para la opción Aplicar directiva de grupo. Esto tendrá que configurarse para todos los GPO que contengan configuraciones de usuario que desee denegar y que estén dentro del alcance de la cuenta del equipo.
En conclusión
Todo lo que necesita hacer para asegurarse de que se aplique la configuración de nodo de usuario que desea configurar en el procesamiento de bucle invertido; es asegurarse de que la configuración de nodo de usuario esté en un GPO que esté en el ámbito del objeto cuenta de equipo (y que tenga prioridad sobre cualquier GPO de la competencia).
