Un po ‘ sull’elaborazione dei criteri di gruppo standard
Prima di esaminare come funziona l’elaborazione del loopback potrebbe essere utile avere un rapido aggiornamento su come funziona l’elaborazione dei criteri di gruppo standard.
Gli oggetti Criteri di gruppo (GPO) sono un insieme di impostazioni di criteri configurabili organizzate come un singolo oggetto e contengono criteri di configurazione del computer applicati ai computer durante l’avvio e criteri di configurazione utente applicati agli utenti durante l’accesso.
Tutto sull’ambito
Il termine ambito viene utilizzato per riferirsi a qualsiasi GPO che si applica a un oggetto (account computer o account utente).
I criteri di gruppo possono essere applicati in quattro punti separati all’interno di una struttura di dominio (Locale, Sito, Dominio e Unità organizzativa (OU)) e vengono applicati uno dopo l’altro in ordine di precedenza per ogni passaggio.
Quindi i GPO in ambito per un account sono costituiti da tutti i GPO della politica locale, tutti i GPO del sito, tutti i GPO del dominio e tutti i GPO collegati a ciascuna OU nel percorso dell’oggetto account. In ogni fase si applica un nuovo GPO che sovrascriverà tutte le impostazioni in conflitto con le proprie impostazioni; il set finale di politiche applicate è noto come il Set risultante di politiche (RSoP) e può essere visualizzato su un dispositivo client tramite RSoP.console msc.
Qualsiasi GPO a cui sono stati negati i diritti di applicazione o filtrati tramite il filtro WMI è considerato Fuori ambito
Perché Loopback
L’opzione Modalità di elaborazione loopback Criteri di gruppo utente disponibile nel nodo di configurazione computer di un oggetto Criteri di gruppo è uno strumento utile per garantire che determinate impostazioni utente vengano applicate su computer specificati.
Essenzialmente l’elaborazione loopback modifica l’elaborazione standard dei criteri di gruppo in un modo che consente di applicare le impostazioni di configurazione dell’utente in base all’ambito GPO dei computer durante l’accesso. Ciò significa che le opzioni di configurazione utente possono essere applicate a tutti gli utenti che accedono a un computer specifico.
Quando utilizzare il Loopback
Gli scenari comuni in cui viene utilizzato questo criterio includono terminali pubblici accessibili, macchine che fungono da chioschi di applicazioni, terminal server e qualsiasi altro ambiente in cui le impostazioni utente devono essere determinate dall’account computer anziché dall’account utente.
Dove per Attivare il Loopback
L’impostazione si trova all’interno del Computer nodo Configurazione di un oggetto criteri di gruppo:
Configurazione Computer > Modelli Amministrativi > Sistema > Criteri di Gruppo > Utente di Criteri di Gruppo modalità di elaborazione loopback
Sostituire o Merge
Quando è Abilitata, è necessario selezionare la modalità di elaborazione loopback vi operano; Sostituire o Unire.
La modalità Sostituisci scarterà completamente le impostazioni utente che normalmente si applicano a tutti gli utenti che accedono a una macchina che applica l’elaborazione di loopback e le sostituirà con le impostazioni utente che si applicano invece all’account del computer.
La modalità Unione applicherà le impostazioni utente che si applicano a tutti gli utenti che accedono a una macchina applicando l’elaborazione di loopback come normale e quindi applicherà le impostazioni utente che si applicano all’account computer; in caso di conflitto tra i due, le impostazioni utente dell’account computer sovrascriveranno le impostazioni utente dell’account utente.
Come funziona il loopback
L’elaborazione del loopback influisce sul modo in cui funziona la funzione GetGPOList, normalmente quando un utente accede alla funzione GetGPOList raccoglie un elenco di tutti i GPO nell’ambito e li organizza in ordine di precedenza per l’elaborazione.
Quando l’elaborazione di loopback è abilitata in modalità Unione, la funzione GetGPOList raccoglie anche tutti i GPO nell’ambito per l’account del computer e li aggiunge all’elenco dei GPO raccolti per l’account utente, questi vengono quindi eseguiti con precedenza maggiore rispetto ai GPO degli utenti.
Quando l’elaborazione di loopback è abilitata in modalità di sostituzione, la funzione GetGPOList non raccoglie gli utenti in GPO di ambito.
Quindi, senza loopback abilitato, l’elaborazione dei criteri assomiglia un po ‘ a questo:
1. I criteri dei nodi Computer di tutti i GPO nell’ambito dell’oggetto account computer vengono applicati durante l’avvio (nel normale ordine Locale, Sito, Dominio, OU).
2. I criteri dei nodi utente di tutti i GPO nell’ambito dell’oggetto account utente vengono applicati durante l’accesso (nel normale ordine Locale, Sito, Dominio, OU).
E, con l’elaborazione di loopback abilitata (in modalità Unione):
1. I criteri dei nodi computer di tutti i GPO nell’ambito dell’oggetto account computer vengono applicati durante l’avvio (nel normale ordine Locale, Sito, Dominio, OU), il computer segnala che l’elaborazione di loopback (modalità di unione) è abilitata.
2. I criteri dei nodi utente di tutti i GPO nell’ambito dell’oggetto account utente vengono applicati durante l’accesso (nel normale ordine Locale, Sito, Dominio, OU).
3. Poiché il computer è in esecuzione in loopback (modalità di unione), applica tutte le politiche dei nodi utente da tutti i GPO nell’ambito dell’oggetto account computer durante l’accesso (Locale, Sito, Dominio e OU), se una di queste impostazioni è in conflitto con quanto applicato durante il passaggio 2. Quindi l’impostazione dell’account del computer avrà la precedenza.
E, con l’elaborazione di loopback abilitata (in modalità Sostituisci):
1. I criteri dei nodi computer di tutti i GPO nell’ambito dell’oggetto account computer vengono applicati durante l’avvio (nel normale ordine Locale, Sito, Dominio, OU), il computer segnala che l’elaborazione di loopback (modalità Sostituzione) è abilitata.
2. I criteri dei nodi utente di tutti i GPO nell’ambito dell’oggetto account utente non vengono applicati durante l’accesso (poiché il computer sta eseguendo l’elaborazione di loopback in modalità Sostituzione non è stato raccolto alcun elenco di GPO utente).
3. Poiché il computer è in esecuzione in loopback (modalità di sostituzione), applica tutte le policy del nodo utente da tutti i GPO nell’ambito dell’oggetto account computer durante l’accesso (locale, Sito, dominio e OU).
Ma non voglio che tutti coloro che si connettono ottengano queste Impostazioni
Se si desidera aggiungere un’eccezione a questa regola, ad esempio si è utilizzato l’elaborazione di loopback per proteggere un terminal server utilizzando la modalità replace ma si desidera assicurarsi che gli amministratori del server non ricevano le impostazioni; quindi è possibile impostare un gruppo di sicurezza contenente gli account amministratori nella scheda delega del GPO(s) mentre visualizzato dalla Console di gestione criteri di gruppo (GPMC) come Nega per l’opzione Applica criteri di gruppo. Questo dovrà essere impostato per tutti i GPO che contengono le impostazioni utente che si desidera negare che sono nell’ambito dell’account del computer.
In conclusione
Quindi tutto ciò che devi fare per assicurarti che si applichi l’impostazione del Nodo utente che desideri configurare nell’elaborazione di loopback; è assicurarsi che l’impostazione del nodo utente si trovi in un GPO nell’ambito dell’oggetto account computer (e che abbia la precedenza su qualsiasi GPO concorrente).