Текст:
Вроде бы уже говорено-переговорено о групповых политиках (ГП) - сотни, если не тысячи статей и форумов. И про loopback processing тоже достаточно написано и все равно возникают вопросы. Попытаюсь окончательно закрыть тему, тем более, что на самом деле все достаточно просто.
Начнем с путаницы которую вносит перевод термина loopback processing. В русифицированной Windows написано так "Режим обработки замыкания пользовательской групповой политики" - хрен поймешь, что хотели сказать. И практически во всех русскоязычных статьях в той или иной форме повторяется "обработка замыкания". На самом деле loobpack - это возврат к началу цикла. То есть, смысл в том, что выполняется дополнительный цикл при обработке ГП.
Перед тем как углубляться в дальнейшие разъяснения про дополнительный цикл обработки, позволю себе напомнить, в каком порядке происходит обычная обработка ГП. Это старая добрая последовательность:
1. local group policy
2. site
3. domain
4. OU
или LSDOU, что проще запоминается.
Мы не будем усложнять изложение блокировкой наследования, группами безопасности, WMI фильтрами и нацеливанием на уровень элемента. В дальнейшем будем считать, что все ГП применяются на Authenticated Users (куда входят и объекты Компьютер). Допустим в Active Directory создана структура OU и пользователь1 выполняет вход на сервер1:
.jpg)
Обычная обработка ГП для пользователь1 пройдет в следующем порядке:
1. локальная политика на сервер1
2. ГП прилинкованные к сайту
3. ГП прилинкованные к домену
4. ГП прилинкованные к OU Root
5. ГП прилинкованные к OU пользователи
6 ГП прилинкованные к OU отдел1
Будет применен список ГП основанный на местоположении объекта пользователь1 (Конфигурация пользователя).
Включим на сервер1 loopback processing. Для этого можно воспользоваться gpedit.msc или доменной ГП. Настройка расположена в Computer Configuration/Administrative Templates/System/Group Policy и называется Configure user Group Policy loopback processing mode. В русифицированном варианте параметр называется Режим обработки замыкания пользовательской групповой политики (или Настройка режима обработки замыкания пользовательской групповой политики) , а расположение соответственно Конфигурация компьютера\Административные шаблоны\Система\Групповая политика. В результате Конфигурация пользователя из ГП применяемых к объекту сервер1 будет применена к объекту пользователь1.
Немного подробнее, loopback processing имеет два режима Merge (Слияние) и Replace (Замена).
Режим Слияние.
Именно к этому режиму и относится название loopback. В режиме слияния к объекту пользователь1 сначала применится список ГП (Конфигурация пользователя) основанный на расположении объекта пользователь1 (пункты 1-6), а затем список ГП (опять таки Конфигурация пользователя) основанный на расположении объекта сервер1 (пункты 7-11).
Порядок применения ГП к пользователь1 будет следующим:
1. локальная политика на сервер1
2. ГП прилинкованные к сайту
3. ГП прилинкованные к домену
4. ГП прилинкованные к OU Root
5. ГП прилинкованные к OU Пользователи
6. ГП прилинкованные к OU отдел1
7. ГП прилинкованные к сайту
8. ГП прилинкованные к домену
9. ГП прилинкованные к OU Root
10. ГП прилинкованные к OU компьютеры
11. ГП прилинкованные к OU терминальные сервера
Теперь наглядно понятно откуда взялся термин loopback.
Режим Замены.
В данном режиме к объекту пользователь1 применится только список ГП (Конфигурация пользователя) основанный на расположении объекта сервер1 (пункты 1,7-11):
1. локальная политика на сервер1
7. ГП прилинкованные к сайту
8. ГП прилинкованные к домену
9. ГП прилинкованные к OU Root
10. ГП прилинкованные к OU компьютеры
11. ГП прилинкованные к OU терминальные сервера
Еще раз подчеркну, loopback processing как и любая настройка в Administrative Templates представляет собой просто параметр вносимый в реестр. Поэтому loopback processing относится НЕ только к той политике в которой он сконфигурирован. Loopback processing относится к порядку обработки всех ГП на данном сервере.
P.S. Использовать loopback processing как и другие модификаторы стандартной обработки ГП не рекомендуется. Каждое изменение стандартного поведения усложняет сопровождение системы и устранение неполадок. При проектировании любой системы нужно придерживаться принципа минимальной достаточности. И будет вам счастье.
Комментарии
Спасибо!
Опубликовано пользователем Рогембаум (не проверено)
Спасибо!
ТС написано не плохо, но в
Опубликовано пользователем абырволк (не проверено)
ТС написано не плохо, но в вашем примере вы забыли упомянуть, что политика отработает только после перезагрузки хоста, думаю для новичков эта информация будет полезна (А то как я будете еще час блуждать на форумах и ютубе где собсно я и понял как это работает)
P.S Возможно вам стоит как раз таки на ютуб и выложить ваш пример для наглядности, а то увы инфа только на английском
P.S.S Ни к чему не принуждаю просто советаю,
За инфу вам спасибо!
Групповые политики
Опубликовано пользователем manager
Групповые политики применяются не только при перезапуске компьютера. Привожу описание обновления групповых политик прямо от Микрософт:
Групповые политики автоматически обновляются при перезагрузке компьютера или при входе пользователя в систему. Дополнительно, групповые политики периодически обновлются каждые 90 минут со случайным смещением 30 минут.
Также можно вызвать обновление политик командой gpupdate /force
Это в двух словах, но есть множество не всегда очевидных моментов.
Например, скрипты которые запускаются при старте компьютера или входе пользователя. В этом случае, непосредственно при обновлении групповой политики (автоматическом или ручном) в реестр будут внесены требуемые записи. Но сами скрипты не отработают до перезагрузки или входа пользователя в систему.
Например, политика установлена доменной группой. Если мы добавим пользователя в группу и вызовем gpupdate /force ничего не произойдет. Дело в том, что токен пользователя содержащий SIDы его групп обновляется по умолчанию раз в 10 часов или при входе в систему. Поэтому после внесения пользователя в группу, политика применится только при следующем входе.
Чтобы не разбираться во множестве таких ньюансов вызванных сложностью системы групповых политик, обычно советуют просто перегрузить компьютер.
Насчет youtube - не хватает времени. И там большой минус - все сказанное внутри видео не может быть проиндексировано поисковыми системами.
Добавить комментарий.