a Little on Standard Group policy Processing
Before we loopback processing works it may be beneficial to have a quick refresh on how standard group policy processing works.
Group Policy Objects (GPO) é uma coleção de configurações de política configuráveis que são organizadas como um único objeto e contêm Políticas de configuração de computador que são aplicadas aos computadores durante a inicialização e políticas de configuração do usuário que são aplicadas aos usuários durante o logon.
tudo sobre escopo
O termo em escopo é usado para se referir a qualquer GPO que se aplica a um objeto (conta de computador ou conta de usuário).as Políticas de grupo podem ser aplicadas em quatro pontos separados dentro de uma estrutura de domínio (Local, Site, domínio e unidade organizacional (OU)) e são aplicadas uma após a outra em ordem de precedência para cada passo.assim, a GPOs de escopo para uma conta consiste de todas as GPOs de política Local, todas as GPOs de Site, todas as GPOs de domínio e todas as GPOs ligadas a cada OU no caminho do objeto de conta. Em cada fase um novo GPO se aplica ele irá sobrepor qualquer configuração conflitante com suas próprias configurações; o conjunto final de políticas aplicadas é conhecido como o conjunto resultante de políticas (RSoP) e pode ser visto em um dispositivo cliente através do RSoP.consola msc.
Qualquer GPO que foi negado aplicar direitos ou filtrados através de filtros WMI é considerado Fora do escopo
Por Loopback
A Diretiva de Grupo do Usuário modo de processamento de loopback opção disponível no nó configuração do computador de um Objeto de Diretiva de Grupo é uma ferramenta útil para assegurar determinadas configurações de usuário são aplicadas em determinados computadores.essencialmente o processamento loopback muda o processamento padrão de política de grupo de uma forma que permite que as configurações de configuração do usuário sejam aplicadas com base no escopo de computadores GPO durante o logon. Isto significa que as opções de configuração do usuário podem ser aplicadas a todos os usuários que se conectam a um computador específico.
quando usar Loopback
cenários comuns onde esta política é usada incluem terminais acessíveis ao público, máquinas atuando como quiosques de Aplicação, servidores de terminal e qualquer outro ambiente onde as configurações do usuário devem ser determinadas pela conta do computador em vez da conta do Usuário.
Onde Activar Loopback
A definição é encontrada no nó Configuração do Computador do GPO:
Configuração do Computador > Modelos Administrativos > Sistema > Política de Grupo > Diretiva de Grupo do Usuário modo de processamento de loopback
Substituir ou Mesclar
Quando Ativado, você deve selecionar o modo de processamento de loopback vai operar; Substituir ou Mesclar.
O modo de substituição irá descartar completamente as configurações do usuário que normalmente se aplicam a qualquer usuário conectando-se a uma máquina aplicando o processamento de loopback e substituí-los com as configurações do usuário que se aplicam à conta do computador em vez disso.
Merge mode irá aplicar a configuração do utilizador que se aplica a qualquer utilizador que se ligue a uma máquina que aplique o processamento de loopback como normal e, em seguida, irá aplicar a configuração do utilizador que se aplica à conta do computador; no caso de um conflito entre os dois, a configuração do Utilizador da conta do computador irá sobrepor a configuração do Utilizador da conta do utilizador.
Como Obras de Loopback
processamento de Loopback afeta a maneira na qual a função GetGPOList opera, normalmente, quando um usuário faz logon a função GetGPOList recolhe uma lista de todos no âmbito GPOs e organiza-las em ordem de prioridade para o processamento. quando o processamento loopback é ativado no modo Merge, a função GetGPOList também coleta todos os GPOs de escopo para a conta do computador e os adiciona à lista de GPOs coletados para a conta do Usuário, estes então correm como maior precedência do que os GPOs do Usuário.quando o processamento loopback é ativado no modo substituição, a função GetGPOList não recolhe os usuários no scope GPOs.assim, sem loopback habilitado, o processamento de políticas se parece um pouco com isso:
1. Políticas de nó de computador de todos os GPOs em escopo para o objeto de conta de computador são aplicadas durante o arranque (no Local normal, Site, domínio, ou ordem).
2. Políticas de nós de usuário de todos os GPOs em escopo para o objeto de conta de usuário são aplicadas durante o logon (no Local normal, Site, domínio, ou ordem).
And, with loopback processing enabled (in Merge Mode):
1. Políticas de nó de computador de todos os GPOs em escopo para o objeto de conta de computador são aplicadas durante o arranque (no Local normal, Site, domínio, ou ordem), as opções do computador que o processamento loopback (modo de junção) está habilitado.
2. Políticas de nós de usuário de todos os GPOs em escopo para o objeto de conta de usuário são aplicadas durante o logon (no Local normal, Site, domínio, ou ordem).
3. Como o computador está rodando em loopback (Merge Mode), então aplica todas as Políticas de nó de usuário de todas as GPOs em escopo para o objeto de conta de computador durante o logon (Local, Site, domínio e OU), se qualquer dessas configurações entrar em conflito com o que foi aplicado durante o PASSO 2. Então a configuração da conta do computador terá precedência.
And, with loopback processing enabled (in Replace Mode):
1. Políticas de nó de computador de todos os GPOs em escopo para o objeto de conta de computador são aplicadas durante o arranque (no Local normal, Site, domínio, ou ordem), as opções do computador que o processamento loopback (modo de substituição) está habilitado.
2. Políticas de nó de usuário de todos os GPOs em escopo para o objeto de conta de usuário não são aplicadas durante o logon (como o computador está executando o processamento loopback no modo substituição nenhuma lista de GPOs de usuário foi coletada).
3. Como o computador está rodando em loopback (modo de substituição), então aplica todas as Políticas de nós de usuário de todas as GPOs em escopo para o objeto de conta de computador durante o logon (Local, Site, domínio e OU).
Mas eu não quero qualquer pessoa que fizer logon para obter estas Definições
Se você deseja adicionar uma excepção a esta regra, por exemplo, tem usado de processamento de loopback para proteger um servidor de terminal usando o modo de substituição, mas gostaria de garantir que os administradores de servidor de não receber as definições; em seguida, você pode definir um grupo de segurança que contém as contas de Administradores na página de delegação do GPO(s), enquanto visto a partir da consola de gerenciamento de Política de grupo (GPMC) como negar para a opção Aplicar Política de grupo. Isto terá que ser definido para todas as GPOs que contenham configurações de usuário que você deseja negar que estão em escopo para a conta do computador.
Em conclusão
Por isso tudo o que precisa de fazer para garantir que a configuração do nó do utilizador que deseja configurada no processamento de loopback se aplica; é garantir que a configuração do nó do usuário está em um GPO que está em escopo para o objeto da conta do computador (e que ele tem precedência sobre qualquer GPO concorrente).