trochę o standardowym przetwarzaniu zasad grupowych
zanim przyjrzymy się, jak działa przetwarzanie loopback, warto szybko odświeżyć Zasady standardowego przetwarzania zasad grupowych .
Group Policy Objects (GPO) to zbiór konfigurowalnych ustawień zasad, które są zorganizowane jako pojedynczy obiekt i zawierają zasady konfiguracji komputera, które są stosowane do komputerów podczas uruchamiania i zasady konfiguracji użytkownika, które są stosowane do użytkowników podczas logowania.
wszystko o zakresie
termin zakres jest używany w odniesieniu do dowolnego GPO, który odnosi się do obiektu (konta komputera lub konta użytkownika).
zasady grupy mogą być stosowane w czterech oddzielnych punktach w ramach struktury domenowej (lokalnej, witryny, domeny i jednostki organizacyjnej (OU)) i są stosowane jeden po drugim w kolejności pierwszeństwa dla każdego kroku.
Tak więc GPO w zakresie dla konta składają się ze wszystkich GPO zasad lokalnych, wszystkich GPO witryny, wszystkich GPO domeny i wszystkich GPO powiązanych z każdym OU w ścieżce obiektu konta. Na każdym etapie stosuje się nowy GPO, który nadpisuje wszelkie sprzeczne ustawienia własnymi ustawieniami; końcowy zestaw zastosowanych zasad jest znany jako Wynikowy zestaw zasad (RSoP) i może być wyświetlany na urządzeniu klienckim za pośrednictwem RSoP.konsola msc.
wszelkie dane GPO, które zostały odrzucone lub odfiltrowane za pomocą filtrowania WMI, są uważane za poza zakresem
dlaczego pętla zwrotna
opcja trybu przetwarzania pętli zwrotnej zasad grupy użytkowników dostępna w węźle konfiguracji komputera obiektu zasad grupy jest użytecznym narzędziem do zapewnienia stosowania pewnych ustawień użytkownika na określonych komputerach.
zasadniczo przetwarzanie loopback zmienia standardowe przetwarzanie zasad grupy w sposób, który pozwala na zastosowanie ustawień konfiguracji użytkownika w oparciu o zakres GPO komputera podczas logowania. Oznacza to, że opcje konfiguracji użytkownika mogą być stosowane do wszystkich użytkowników, którzy logują się do określonego komputera.
kiedy używać pętli zwrotnej
typowe scenariusze, w których ta zasada jest używana, obejmują ogólnodostępne terminale, maszyny działające jako kioski aplikacji, serwery terminali i każde inne środowisko, w którym ustawienia użytkownika powinny być określane przez konto komputera zamiast konta użytkownika.
Gdzie włączyć Loopback
ustawienie znajduje się w węźle konfiguracji komputera GPO:
Konfiguracja komputera > Szablony administracyjne > System > Polityka grupy > zasady grupy użytkowników tryb przetwarzania pętli
zastąp lub Scal
gdy jest włączona, musisz wybrać, w którym trybie będzie działać przetwarzanie pętli; zastąp lub Scal.
tryb wymiany całkowicie odrzuci ustawienia użytkownika, które zwykle mają zastosowanie do wszystkich użytkowników logujących się na komputerze stosującym przetwarzanie pętli zwrotnej i zastąpi je ustawieniami użytkownika, które mają zastosowanie do konta komputera.
tryb scalania zastosuje ustawienia użytkownika, które mają zastosowanie do wszystkich użytkowników logujących się do komputera stosującego przetwarzanie pętli pętli jak zwykle, a następnie zastosuje ustawienia użytkownika, które mają zastosowanie do konta komputera; w przypadku konfliktu między tymi dwoma ustawieniami użytkownik konta komputera zastąpi ustawienia użytkownika konta użytkownika.
Jak działa loopback
przetwarzanie Loopback wpływa na sposób działania funkcji GetGPOList, zwykle gdy użytkownik loguje się do funkcji GetGPOList zbiera listę wszystkich GPO w zakresie i porządkuje je w kolejności pierwszeństwa do przetwarzania.
gdy przetwarzanie pętli zwrotnej jest włączone w trybie scalania, funkcja GetGPOList zbiera również wszystkie GPO w zakresie dla konta komputera i dołącza je do listy GPO zebranych dla konta użytkownika, które następnie działają jako wyższe pierwszeństwo niż GPO użytkowników.
gdy przetwarzanie loopback jest włączone w trybie Replace, funkcja GetGPOList nie zbiera użytkowników w GPO scope.
tak więc, bez włączonej pętli zwrotnej, przetwarzanie zasad wygląda trochę tak:
1. Zasady węzła komputera ze wszystkich GPO w zakresie dla obiektu konta komputera są stosowane podczas uruchamiania (w normalnym lokalnym, witrynie, domenie, zamówieniu OU).
2. Zasady węzła użytkownika ze wszystkich GPO w zakresie dla obiektu konta użytkownika są stosowane podczas logowania (w normalnym lokalnym, witrynie, domenie, zamówieniu OU).
oraz, z włączonym przetwarzaniem pętli zwrotnej (w trybie scalania):
1. Zasady węzła komputera ze wszystkich GPO w zakresie dla obiektu konta komputera są stosowane podczas uruchamiania (w normalnym lokalnym, witrynie, domenie, zamówieniu OU), komputer oznacza, że przetwarzanie pętli zwrotnej (tryb scalania) jest włączone.
2. Zasady węzła użytkownika ze wszystkich GPO w zakresie dla obiektu konta użytkownika są stosowane podczas logowania (w normalnym lokalnym, witrynie, domenie, zamówieniu OU).
3. Ponieważ komputer działa w pętli zwrotnej (tryb scalania), stosuje on wszystkie zasady węzła użytkownika ze wszystkich GPO w zakresie dla obiektu konta komputera podczas logowania (lokalny, witryna, Domena i OU), jeśli którekolwiek z tych ustawień jest sprzeczne z tym, co zostało zastosowane w Kroku 2. Wtedy ustawienie konta komputera będzie miało pierwszeństwo.
oraz, z włączonym przetwarzaniem pętli zwrotnej (w trybie wymiany):
1. Zasady węzła komputera ze wszystkich GPO w zakresie dla obiektu konta komputera są stosowane podczas uruchamiania (w normalnym lokalnym, witrynie, domenie, zamówieniu OU), komputer oznacza, że przetwarzanie pętli zwrotnej (tryb zastępowania) jest włączone.
2. Zasady węzła użytkownika ze wszystkich GPO w zakresie dla obiektu konta użytkownika nie są stosowane podczas logowania (ponieważ komputer jest uruchomiony przetwarzanie pętli zwrotnej w trybie wymiany nie została zebrana lista GPO użytkownika).
3. Ponieważ komputer jest uruchomiony w trybie loopback (Replace Mode), stosuje on wszystkie zasady węzła użytkownika ze wszystkich GPO w zakresie dla obiektu konta komputera podczas logowania (lokalny, witryna, Domena i OU).
ale nie chcę, aby wszyscy, którzy się logują, dostali te ustawienia
Jeśli chcesz dodać wyjątek do tej reguły,na przykład użyłeś przetwarzania pętli zwrotnej do zabezpieczenia serwera terminali za pomocą trybu wymiany, ale chciałbyś upewnić się, że administratorzy serwera nie otrzymają ustawień; następnie możesz ustawić grupę zabezpieczeń zawierającą konta administratorów na karcie delegacja w GPO (- ach), podczas gdy przeglądana jest z konsoli zarządzania zasadami grupy (GPMC) jako odmowa dla opcji Zastosuj zasady grupy. Będzie to musiało być ustawione dla wszystkich GPO, które zawierają ustawienia użytkownika, które chcesz odmówić, które są w zakresie dla konta komputera.
Podsumowując
więc wszystko, co musisz zrobić, aby zapewnić ustawienie węzła Użytkownika, które chcesz skonfigurować w przetwarzaniu pętli, ma zastosowanie; upewnij się, że ustawienie węzła użytkownika znajduje się w GPO, które jest w zakresie obiektu konta komputera (i że ma pierwszeństwo przed wszystkimi konkurencyjnymi GPO).