Een beetje over Standaard Groepsbeleid Processing
voordat we kijken naar hoe loopback processing werkt, kan het nuttig zijn om snel te vernieuwen Hoe standaard Groepsbeleid processing werkt.
groepsbeleidsobjecten (GPO) zijn een verzameling configureerbare beleidsinstellingen die als één object zijn georganiseerd en Computerconfiguratiebeleid bevatten dat tijdens het opstarten op computers wordt toegepast en gebruikersconfiguratiebeleid dat tijdens het aanmelden op gebruikers wordt toegepast.
Alles Over bereik
De term in bereik wordt gebruikt om te verwijzen naar een groepsbeleidsobject dat van toepassing is op een object (computeraccount of gebruikersaccount).
groepsbeleid kan worden toegepast op vier afzonderlijke punten binnen een domeinstructuur (lokaal, Site, domein en organisatie-eenheid (OU)) en worden de een na de ander toegepast in rangorde voor elke stap.
De groepsbeleidsobjecten in bereik voor een account bestaan dus uit alle groepsbeleidsobjecten van lokaal beleid, alle groepsbeleidsobjecten van de Site, alle groepsbeleidsobjecten van het domein en alle groepsbeleidsobjecten die zijn gekoppeld aan elke organisatie-eenheid in het pad van het accountobject. In elke fase wordt een nieuw groepsbeleidsobject toegepast dat conflicterende instellingen overschrijft met zijn eigen instellingen; de uiteindelijke beleidsreeks die wordt toegepast, staat bekend als de resulterende Beleidsreeks (Rsop) en kan via de RSoP op een clientapparaat worden bekeken.msc console.
Alle groepsbeleidsobjecten die geen rechten kunnen toepassen of die zijn uitgefilterd via WMI-Filtering, worden geacht buiten het bereik te vallen
waarom Loopback
de optie voor loopback-verwerkingsmodus van gebruikers in het knooppunt Computerconfiguratie van een groepsbeleidsobject een nuttig hulpmiddel is om ervoor te zorgen dat bepaalde gebruikersinstellingen op opgegeven computers worden toegepast.
in wezen loopback processing verandert de standaard groepsbeleidsverwerking op een manier die het mogelijk maakt Gebruikersconfiguratie-instellingen toe te passen op basis van de computers GPO scope tijdens het aanmelden. Dit betekent dat gebruikersconfiguratieopties kunnen worden toegepast op alle gebruikers die zich bij een specifieke computer aanmelden.
Wanneer Loopback moet worden gebruikt
veelvoorkomende scenario ‘ s waarin dit beleid wordt gebruikt zijn onder meer openbare terminals, machines die fungeren als applicatiekiosken, terminalservers en elke andere omgeving waar de gebruikersinstellingen moeten worden bepaald door het computeraccount in plaats van het gebruikersaccount.
Waar Loopback inschakelen
De instelling bevindt zich binnen het knooppunt Computerconfiguratie van een GPO:
Computerconfiguratie > Beheersjablonen > systeem > Groepsbeleid > Groepsbeleid>gebruikersgroepbeleid loopback processing mode
vervangen of samenvoegen
Indien ingeschakeld moet u selecteren in welke modus loopback verwerking zal werken; vervangen of samenvoegen.
Replace mode zal de gebruikersinstellingen die normaal van toepassing zijn op alle gebruikers die zich aanmelden bij een machine die loopback processing toepast volledig negeren en vervangen door de gebruikersinstellingen die van toepassing zijn op het computeraccount.
Samenvoegmodus zal de gebruikersinstellingen toepassen die van toepassing zijn op alle gebruikers die zich aanmelden bij een machine die loopback processing toepast als normaal en vervolgens de gebruikersinstellingen toepassen die van toepassing zijn op het computeraccount; in het geval van een conflict tussen de twee, zullen de gebruikersinstellingen van het computeraccount de gebruikersinstellingen van het gebruikersaccount overschrijven.
Hoe Loopback werkt
Loopback processing beïnvloedt de manier waarop de GetGPOList functie werkt, normaal gesproken wanneer een gebruiker logt op de GetGPOList functie een lijst verzamelt van alle groepsbeleidsobjecten in scope en deze rangschikt in volgorde van verwerking.
wanneer loopback processing is ingeschakeld in de Merge mode verzamelt de GetGPOList functie ook alle groepsbeleidsobjecten voor het computeraccount en voegt ze toe aan de lijst met groepsbeleidsobjecten die voor het gebruikersaccount zijn verzameld, deze worden dan uitgevoerd als hogere prioriteit dan de groepsbeleidsobjecten voor gebruikers.
als loopback processing is ingeschakeld in de modus vervangen, verzamelt de functie GetGPOList geen gebruikers in de GPO ‘ s van scope.
zonder loopback ziet de beleidsverwerking er dus een beetje als volgt uit:
1. Computerknooppuntbeleidsregels van alle groepsbeleidsobjecten in het bereik van het computeraccountobject worden toegepast tijdens het opstarten (in de normale lokale, Site -, domein-of OU-volgorde).
2. Gebruikersknooppuntbeleid van alle groepsbeleidsobjecten in het bereik van het gebruikersaccountobject wordt toegepast tijdens het aanmelden (in de normale lokale, Site -, domein-of OU-volgorde).
en, met loopback processing ingeschakeld (in Merge Mode):
1. Computerknooppuntenbeleid van alle groepsbeleidsobjecten in het bereik van het computeraccountobject wordt toegepast tijdens het opstarten (in de normale lokale, Site -, domein-of OU-volgorde), waarbij de computervlaggen die loopback-verwerking (Samenvoegmodus) uitvoeren, zijn ingeschakeld.
2. Gebruikersknooppuntbeleid van alle groepsbeleidsobjecten in het bereik van het gebruikersaccountobject wordt toegepast tijdens het aanmelden (in de normale lokale, Site -, domein-of OU-volgorde).
3. Aangezien de computer wordt uitgevoerd in loopback (modus samenvoegen), worden vervolgens alle beleidsregels voor Gebruikersknooppunten van alle groepsbeleidsobjecten toegepast die tijdens het aanmelden (lokaal, Site, domein en organisatie-eenheid) voor het computeraccountobject gelden, als een van deze instellingen in strijd is met wat tijdens stap 2 is toegepast. Vervolgens heeft de instelling computeraccount voorrang.
en, met loopback processing ingeschakeld (in Vervangen modus):
1. Computerknooppuntenbeleid van alle groepsbeleidsobjecten in het bereik van het computeraccountobject wordt toegepast tijdens het opstarten (in de normale Local -, Site -, Domain-of OU-volgorde), waarbij de computervlaggen die doorloopback-verwerking (vervang-modus) worden verwerkt, zijn ingeschakeld.
2. Gebruikersknooppuntbeleid van alle groepsbeleidsobjecten in het bereik van het gebruikersaccountobject wordt niet toegepast tijdens het aanmelden (omdat op de computer loopback-verwerking wordt uitgevoerd in de modus vervangen, is geen lijst met groepsbeleidsobjecten van gebruikers verzameld).
3. Aangezien de computer wordt uitgevoerd in loopback (modus vervangen), worden vervolgens alle beleidsregels voor Gebruikersknooppunten van alle groepsbeleidsobjecten toegepast die tijdens het aanmelden voor het computeraccountobject (lokaal, Site, domein en organisatie-eenheid) in het bereik zijn.
maar Ik wil niet dat iedereen die zich aanmeldt deze instellingen krijgt
Als u een uitzondering op deze regel wilt toevoegen, bijvoorbeeld u hebt loopback processing gebruikt om een terminal server te beveiligen met de replace mode, maar u wilt er zeker van zijn dat de serverbeheerders de instellingen niet ontvangen; vervolgens kunt u een beveiligingsgroep met de administrators-accounts instellen op het tabblad delegeren van het groepsbeleidsobject(en), terwijl deze wordt bekeken vanuit de Console Groepsbeleidsbeheer (GPMC) als weigeren voor de optie Groepsbeleid toepassen. Dit moet worden ingesteld voor alle groepsbeleidsobjecten die gebruikersinstellingen bevatten die u wilt weigeren en die in scope zijn voor het computeraccount.
Tot slot
alles wat u moet doen om ervoor te zorgen dat de instelling voor Gebruikersknooppunten die u wilt instellen in loopback processing van toepassing is; zorg ervoor dat de instelling Gebruikersknooppunt zich bevindt in een groepsbeleidsobject dat in het bereik van het computeraccountobject ligt (en dat deze instelling voorrang heeft op concurrerende groepsbeleidsobjecten).