Групповая политика loopback processing

Вроде бы уже говорено-переговорено о групповых политиках (ГП) - сотни, если не тысячи статей и форумов. И про loopback processing тоже достаточно написано и все равно возникают вопросы. Попытаюсь окончательно закрыть тему, тем более, что на самом деле все достаточно просто.

Начнем с путаницы которую вносит перевод термина loopback processing. В русифицированной Windows написано так "Режим обработки замыкания пользовательской групповой политики" - хрен поймешь, что хотели сказать. И практически во всех русскоязычных статьях в той или иной форме повторяется "обработка замыкания". На самом деле loobpack - это возврат к началу цикла. То есть, смысл в том, что выполняется дополнительный цикл при обработке ГП.

Перед тем как углубляться в дальнейшие разъяснения про дополнительный цикл обработки, позволю себе напомнить, в каком порядке происходит обычная обработка ГП. Это старая добрая последовательность:

1. local group policy

2. site

3. domain

4. OU

или LSDOU, что проще запоминается.

Мы не будем усложнять изложение блокировкой наследования, группами безопасности, WMI фильтрами и нацеливанием на уровень элемента. В дальнейшем будем считать, что все ГП применяются на Authenticated Users (куда входят и объекты Компьютер). Допустим в Active Directory создана структура OU и пользователь1 выполняет вход на сервер1:

Обычная обработка ГП для пользователь1 пройдет в следующем порядке:

1. локальная политика на сервер1

2. ГП прилинкованные к сайту

3. ГП прилинкованные к домену

4. ГП прилинкованные к OU Root

5. ГП прилинкованные к OU пользователи

6 ГП прилинкованные к OU отдел1

Будет применен список ГП основанный на местоположении объекта пользователь1 (Конфигурация пользователя).

Включим на сервер1 loopback processing. Для этого можно воспользоваться gpedit.msc или доменной ГП. Настройка расположена в Computer Configuration/Administrative Templates/System/Group Policy и называется Configure user Group Policy loopback processing mode. В русифицированном варианте параметр называется Режим обработки замыкания пользовательской групповой политики (или Настройка режима обработки замыкания пользовательской групповой политики) , а расположение соответственно Конфигурация компьютера\Административные шаблоны\Система\Групповая политика. В результате Конфигурация пользователя из ГП применяемых к объекту сервер1 будет применена к объекту пользователь1.

Немного подробнее, loopback processing имеет два режима Merge (Слияние) и Replace (Замена).

Режим Слияние.

Именно к этому режиму и относится название loopback. В режиме слияния к объекту пользователь1 сначала применится список ГП (Конфигурация пользователя) основанный на расположении объекта пользователь1 (пункты 1-6), а затем список ГП (опять таки Конфигурация пользователя) основанный на расположении объекта сервер1 (пункты 7-11).

Порядок применения ГП к пользователь1 будет следующим:

1. локальная политика на сервер1

2. ГП прилинкованные к сайту

3. ГП прилинкованные к домену

4. ГП прилинкованные к OU Root

5. ГП прилинкованные к OU Пользователи

6. ГП прилинкованные к OU отдел1

7. ГП прилинкованные к сайту

8. ГП прилинкованные к домену

9. ГП прилинкованные к OU Root

10. ГП прилинкованные к OU компьютеры

11. ГП прилинкованные к OU терминальные сервера

Теперь наглядно понятно откуда взялся термин loopback.

Режим Замены.

В данном режиме к объекту пользователь1 применится только список ГП (Конфигурация пользователя) основанный на расположении объекта сервер1 (пункты 1,7-11):

1. локальная политика на сервер1

7. ГП прилинкованные к сайту

8. ГП прилинкованные к домену

9. ГП прилинкованные к OU Root

10. ГП прилинкованные к OU компьютеры

11. ГП прилинкованные к OU терминальные сервера

Еще раз подчеркну, loopback processing как и любая настройка в Administrative Templates представляет собой просто параметр вносимый в реестр. Поэтому loopback processing относится НЕ только к той политике в которой он сконфигурирован. Loopback processing относится к порядку обработки всех ГП на данном сервере.

P.S. Использовать loopback processing как и другие модификаторы стандартной обработки ГП не рекомендуется. Каждое изменение стандартного поведения усложняет сопровождение системы и устранение неполадок. При проектировании любой системы нужно придерживаться принципа минимальной достаточности. И будет вам счастье.

 

Добавить комментарий.

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступны HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
CAPTCHA на основе изображений
Введите символы, которые показаны на картинке.


Если содержимое сайта помогло вам или просто понравилось - просьба поддержать проект материально.