lite om Standard Group policy Processing
innan vi tittar på hur loopback processing fungerar kan det vara fördelaktigt att ha en snabb uppdatering om hur standard group policy processing fungerar.
grupprincipobjekt (GPO) är en samling konfigurerbara principinställningar som är organiserade som ett enda objekt och innehåller datorkonfigurationspolicyer som tillämpas på datorer under start och användarkonfigurationspolicyer som tillämpas på användare under inloggning.
allt om omfattning
termen i omfattning används för att hänvisa till alla GPO som gäller för ett objekt (datorkonto eller användarkonto).
grupppolicyer kan tillämpas på fyra separata punkter inom en domänstruktur (lokal, webbplats, domän och organisationsenhet (OU)) och tillämpas efter varandra i prioritetsordning för varje steg.
så i omfattning GPO för ett konto består av alla lokala policy GPO, alla webbplats GPO, alla domän GPO och alla GPO kopplade till varje OU i sökvägen till kontoobjektet. I varje steg en ny GPO tillämpar det kommer att skriva över eventuella motstridiga inställningar med sina egna inställningar; Den slutliga uppsättningen av principer tillämpas kallas den resulterande uppsättning principer (RSoP) och kan ses på en klientenhet via RSoP.MSC konsol.
Alla GPO som har nekats tillämpa rättigheter eller filtrerats ut via WMI-filtrering anses vara utanför tillämpningsområdet
Varför Loopback
alternativet Användargruppspolicy loopback processing mode tillgängligt i datorkonfigurationsnoden för ett grupprincipobjekt är ett användbart verktyg för att säkerställa att vissa användarinställningar tillämpas på angivna datorer.
i huvudsak loopback bearbetning ändrar standard grupprincip bearbetning på ett sätt som gör att användarkonfigurationsinställningar som ska tillämpas baserat på datorer GPO omfattning under inloggning. Detta innebär att användarkonfigurationsalternativ kan tillämpas på alla användare som loggar in på en viss dator.
När du ska använda Loopback
vanliga scenarier där denna policy används inkluderar offentliga tillgängliga terminaler, maskiner som fungerar som applikationskiosker, terminalservrar och alla andra miljöer där användarinställningarna ska bestämmas av datorkontot istället för användarkontot.
var för att aktivera Loopback
inställningen finns i Datorkonfigurationsnoden för en GPO:
Datorkonfiguration > Administrativa mallar > System > grupppolicy > grupppolicy>div > Användargruppspolicy Loopback processing mode
Ersätt eller sammanfoga
när det är aktiverat måste du välja vilket läge loopback processing ska fungera i; Ersätt eller sammanfoga.
Replace-läget kommer helt att kassera användarinställningarna som normalt gäller för alla användare som loggar in på en maskin som använder loopback-bearbetning och ersätter dem med användarinställningarna som gäller för datorkontot istället.
Sammanslagningsläge kommer att tillämpa användarinställningarna som gäller för alla användare som loggar in på en maskin som använder loopback-bearbetning som vanligt och sedan tillämpa användarinställningarna som gäller för datorkontot; i händelse av en konflikt mellan de två kommer datorkontoanvändarinställningarna att skriva över användarkontoanvändarinställningarna.
Hur Loopback fungerar
Loopback-bearbetning påverkar hur GetGPOList-funktionen fungerar, normalt när en användare loggar in på GetGPOList-funktionen samlar in en lista över alla i scope GPO: er och ordnar dem i prioritetsordning för bearbetning.
När loopback-bearbetning är aktiverad i Sammanfogningsläge samlar GetGPOList-funktionen också alla i omfattning GPO för datorkontot och lägger till dem i listan över GPO som samlats in för användarkontot, dessa körs sedan som högre prioritet än användarnas GPO.
När loopback-bearbetning är aktiverad i Ersättningsläge samlar GetGPOList-funktionen inte in användarna i Scope GPO: er.
så, utan loopback aktiverad, ser policybehandling lite ut så här:
1. Datornodpolicyer från alla GPO: er i omfattning för datorkontoobjektet tillämpas vid start (i normal lokal, webbplats, domän, OU-ordning).
2. Användarnodpolicyer från alla GPO: er som omfattas av användarkontoobjektet tillämpas under inloggningen (i normal lokal, webbplats, domän, OU-ordning).
och med loopback-bearbetning aktiverad (i Sammanfogningsläge):
1. Datornodpolicyer från alla GPO: er i omfattning för datorkontoobjektet tillämpas under start (i normal lokal, webbplats, domän, OU-ordning), datorflaggorna som loopback-bearbetning (Sammanfogningsläge) är aktiverat.
2. Användarnodpolicyer från alla GPO: er som omfattas av användarkontoobjektet tillämpas under inloggningen (i normal lokal, webbplats, domän, OU-ordning).
3. Eftersom datorn körs i loopback (Merge Mode) tillämpar den sedan alla användarnodpolicyer från alla GPO: er i utrymme för datorkontoobjektet under inloggningen (lokal, webbplats, domän och OU), om någon av dessa inställningar strider mot vad som tillämpades under Steg 2. Då kommer datorns kontoinställning att ha företräde.
och med loopback-bearbetning aktiverad (i Ersättningsläge):
1. Datornodpolicyer från alla GPO: er i omfattning för datorkontoobjektet tillämpas under start (i normal lokal, webbplats, domän, OU-ordning), datorflaggorna som loopback-bearbetning (Ersättningsläge) är aktiverat.
2. Användarnodpolicyer från alla GPO: er som omfattas av användarkontoobjektet tillämpas inte under inloggningen (eftersom datorn kör loopback-bearbetning i Ersättningsläge har ingen lista över GPO: er för användare samlats in).
3. Eftersom datorn körs i loopback (ersätt-läge) tillämpar den sedan alla användarnodpolicyer från alla GPO: er i utrymme för datorkontoobjektet under inloggning (lokal, webbplats, domän och OU).
men jag vill inte att alla som loggar in ska få dessa inställningar
om du vill lägga till ett undantag från denna regel, har du till exempel använt loopback-bearbetning för att säkra en terminalserver med ersättningsläge men vill se till att serveradministratörerna inte får inställningarna; sedan kan du ställa in en säkerhetsgrupp som innehåller administratörskonton på fliken delegering i GPO(er) medan den visas från Grupprinciphanteringskonsolen (GPMC) som Neka för alternativet Tillämpa grupprincip. Detta måste ställas in för alla GPO: er som innehåller användarinställningar som du vill neka som finns i utrymme för datorkontot.
Sammanfattningsvis
så allt du behöver göra för att säkerställa att Användarnodinställningen du vill ha konfigurerad i loopback-bearbetning gäller; är Se till att Användarnodinställningen är i en GPO som är i utrymme för datorkontoobjektet (och att det har företräde framför konkurrerande GPO).