Litt Om Standard Group policy Processing
Før vi ser på hvordan loopback processing fungerer, kan det være fordelaktig å få en rask oppdatering på hvordan standard group policy processing fungerer.GRUPPEPOLICYOBJEKTER (GPO) Er en samling konfigurerbare policyinnstillinger som er organisert som et enkelt objekt og inneholder Datamaskinkonfigurasjonspolicyer som brukes på datamaskiner under Oppstart og Brukerkonfigurasjonspolicyer som brukes på brukere under pålogging.
All about Scope
begrepet i omfang brukes til å referere til ALLE GPO som gjelder for et objekt (datamaskinkonto eller brukerkonto).
Gruppepolicyer kan brukes på fire separate punkter i en domenestruktur (Lokal, Nettsted, Domene og Organisasjonsenhet (OU)) og brukes etter hverandre i forrang rekkefølge for hvert trinn.
så i omfang Gpoer for en konto består av Alle Lokale policy Gpoer, Alle Område Gpoer, Alle Domene Gpoer og Alle Gpoer knyttet til hver OU i banen til kontoobjektet. På hvert trinn en ny GPO gjelder det vil overskrive eventuelle motstridende innstillinger med sine egne innstillinger; det endelige settet med retningslinjer som brukes er kjent som Den Resulterende Sett Med Retningslinjer (RSoP) og kan vises på en klient enhet via RSoP.msc konsoll.
ETHVERT GPO som har blitt nektet å bruke rettigheter eller filtrert ut via Wmi-Filtrering, anses Å Være Utenfor rekkevidde
Hvorfor Loopback
alternativet For Brukergruppepolicy loopback-behandlingsmodus som er tilgjengelig i datakonfigurasjonsnoden til Et Gruppepolicyobjekt, er et nyttig verktøy for å sikre at visse brukerinnstillinger brukes på bestemte datamaskiner.
i Hovedsak loopback-behandling endrer standard gruppepolicybehandling på en måte som gjør at brukerkonfigurasjonsinnstillinger kan brukes basert på datamaskinens GPO-omfang under pålogging. Dette betyr at brukerkonfigurasjonsalternativer kan brukes på alle brukere som logger på en bestemt datamaskin.Vanlige scenarier der denne policyen brukes, inkluderer offentlig tilgjengelige terminaler, maskiner som fungerer som applikasjonskiosker, terminalservere og ethvert annet miljø der brukerinnstillingene skal bestemmes av datamaskinkontoen i stedet for brukerkontoen.
Hvor Å Aktivere Loopback
innstillingen er funnet i Datamaskinens konfigurasjonsnode for ET GPO:
Datamaskinkonfigurasjon> Administrative Maler> System> Gruppepolicy> div>brukergruppepolicy Loopback processing mode
erstatt eller flett
når aktivert MÅ du VELGE hvilken modus loopback Processing skal operere i; erstatt eller flett.Erstatt-modus vil fullstendig forkaste brukerinnstillingene som normalt gjelder for brukere som logger på en maskin som bruker tilbakekoblingsbehandling, og erstatte dem med brukerinnstillingene som gjelder for datamaskinkontoen i stedet.Flettemodus vil bruke brukerinnstillingene som gjelder for alle brukere som logger på en maskin som bruker tilbakekoblingsbehandling som normalt, og deretter vil bruke brukerinnstillingene som gjelder for datamaskinkontoen; i tilfelle en konflikt mellom de to, vil brukerinnstillingene for datamaskinkontoen overskrive brukerinnstillingene for brukerkontoen.
Slik Fungerer Loopback
Loopback-behandling påvirker Måten GetGPOList-funksjonen fungerer på, vanligvis når en bruker logger På GetGPOList-funksjonen, samler en liste over alle gpoer i omfang og ordner dem i rekkefølge for behandling.
Når tilbakekoblingsbehandling er aktivert I Flettemodus, Samler GetGPOList-funksjonen også inn alle gpoer i omfang for datamaskinkontoen og legger dem til i listen Over Gpoer som er samlet inn for brukerkontoen.
Når tilbakekoblingsbehandling er aktivert I Erstatt modus, Samler Ikke GetGPOList-funksjonen brukerne i områdegpoer.
så, uten loopback aktivert, ser policybehandling litt ut som dette:
1. Datamaskinnodepolicyer fra Alle Gpoer i området for datamaskinkontoobjektet brukes under oppstart (i normal Lokal, Område, Domene, ou-rekkefølge).
2. Bruker Node policyer fra Alle Gpoer i omfang for brukerkontoobjektet brukes under pålogging (i normal Lokal, Område, Domene, ou rekkefølge).
Og, med loopback behandling aktivert (I Flettemodus):
1. Datamaskinnodepolicyer fra alle Gpoer i området for datamaskinkontoobjektet brukes under oppstart (i normal Lokal, Område, Domene, OU-rekkefølge), er datamaskinflaggene som tilbakekoblingsbehandling (Flettemodus) aktivert.
2. Bruker Node policyer fra Alle Gpoer i omfang for brukerkontoobjektet brukes under pålogging (i normal Lokal, Område, Domene, ou rekkefølge).
3. Når datamaskinen kjører i loopback (Flettemodus), gjelder den deretter Alle Bruker Node-policyer fra alle Gpoer i området for datamaskinkontoobjektet under pålogging (Lokalt, Område, Domene og OU), hvis noen av disse innstillingene er i konflikt med det som ble brukt i trinn 2. Deretter vil datamaskinkontoinnstillingen ha forrang.
Ja, med loopback behandling aktivert (I Erstatt Modus):
1. Datamaskinnodepolicyer fra alle Gpoer i området for datamaskinkontoobjektet brukes under oppstart (i normal Lokal, Område, Domene, OU-rekkefølge), er datamaskinflaggene som tilbakekoblingsbehandling (Erstatt Modus) aktivert.
2. Bruker Node policyer fra Alle Gpoer i området for brukerkontoobjektet brukes ikke under pålogging (som datamaskinen kjører loopback behandling I Erstatt modus ingen liste over bruker Gpoer er samlet).
3. Når datamaskinen kjører i loopback (Erstatt Modus), gjelder den deretter Alle Bruker Node-policyer fra alle Gpoer i området for datamaskinkontoobjektet under pålogging (Lokal, Område, Domene og OU).Hvis du vil legge til et unntak fra denne regelen, har du for eksempel brukt loopback-behandling for å sikre en terminalserver ved hjelp av erstatt modus, men ønsker å sikre at serveradministratorene ikke mottar innstillingene; deretter kan du angi en sikkerhetsgruppe som inneholder administratorkontoene i delegering-fanen i GPO(ene) mens den vises fra Gpmc (Group Policy Management Console) som Deny for Alternativet Bruk gruppepolicy. Dette må angis for Alle Gpoer som inneholder brukerinnstillingene du ønsker å nekte som er i omfang for datamaskinkontoen.
I Konklusjonen
så alt du trenger å gjøre for å sikre At Brukeren Node innstillingen du ønsker konfigurert i loopback behandling gjelder; er sikre At Bruker Node-innstillingen er I ET GPO som er i omfang for datamaskinkontoobjektet (og at det har forrang over alle konkurrerende Gpoer).