Perché gpedit e le voci di registro corrispondenti non sono sincronizzate?

Sono su Windows 10 Pro. Ho notato che quando applico alcuni criteri tramite gpedit, le voci corrispondenti vengono create nel registro. Se annullo, anche le voci vengono rimosse dal registro.

Quindi mi aspettavo che funzionasse anche al contrario, ma se imposto manualmente lo stesso criterio tramite il registro, le voci gpedit corrispondenti verranno comunque visualizzate come "non configurato".

Mi sto perdendo qualcosa? la politica gpedit è qualcosa di più di una voce di registro? quindi ... dove sono memorizzati?

Poiché le modifiche apportate nell'editor dei criteri di gruppo influiscono su ciò che si vede nel registro, è perfettamente logico supporre che sia vero anche il contrario. Tuttavia, non funziona in questo modo.

Le impostazioni dei criteri di gruppo locali (che è ciò a cui ti riferisci nel tuo post) sono archiviate in registry.polfile situati in C:\Windows\system32\GroupPolicy. Questi file sovrascrivono le chiavi corrispondenti nel registro ogni volta che il sistema esegue un aggiornamento dei criteri di gruppo. L'editor non legge mai effettivamente il registro per vedere quali impostazioni contiene.

Un aggiornamento di criteri di gruppo viene attivato ogni volta che si verifica uno dei seguenti eventi:

• A intervalli di aggiornamento programmati regolarmente (ogni 90 minuti per impostazione predefinita)
• Un evento di accesso o disconnessione dell'utente (solo criteri utente)
• Un riavvio del computer (solo criteri del computer)
• Un aggiornamento attivato manualmente tramite gpupdate
• Un comando di aggiornamento dei criteri emesso da un amministratore dal controller di dominio (se il computer fa parte del dominio).

È importante ricordare che se il computer è unito al dominio, i criteri di dominio verranno applicati dopo l'elaborazione dei file dei criteri di gruppo locali (il che significa che alcune impostazioni potrebbero essere sovrascritte dai criteri di dominio). Non sarà possibile visualizzare i criteri di dominio nell'editor dei criteri di gruppo locale.

Funziona così per tre motivi:

• Criteri di gruppo è progettato tenendo a mente "l'invio" da un controller di dominio di Active Directory. I computer non sono destinati a controllare i criteri sul controller di dominio.

• La nozione di politiche e Active Directory è stata sviluppata in un'epoca in cui le connessioni remote erano molto comuni e la banda larga no. Poiché le modifiche al Registro di sistema per il mirroring su un controller di dominio in questa situazione consumerebbero probabilmente molta larghezza di banda molto limitata, e situazioni in cui i sistemi parlerebbero occasionalmente a un controller di dominio solo attraverso sessioni di accesso remoto qui e non vi erano NT4 giorni credo.

• Probabilmente hai notato che molti dei criteri hanno un'impostazione "Non configurato", "Abilitato" o "Disabilitato". Criteri di gruppo ha l'impostazione "Non configurato" per consentire alle impostazioni locali di non essere toccate dai criteri. Ciò significa in particolare che tu, un'applicazione o un amministratore locale puoi modificare le voci di registro pertinenti e una politica non le modificherà. Potresti non voler controllare ogni aspetto del sistema attraverso la politica.

Quindi il registro locale e una politica di gruppo non si sincronizzano da macchina-> AD di progettazione. I criteri di gruppo locali gpedit.mscfunzionano allo stesso modo anche se non si sincronizzano con nessun controller di dominio.