Perché gpedit e le voci di registro corrispondenti non sono sincronizzate?


11

Sono su Windows 10 Pro. Ho notato che quando applico alcuni criteri tramite gpedit, le voci corrispondenti vengono create nel registro. Se annullo, anche le voci vengono rimosse dal registro.

Quindi mi aspettavo che funzionasse anche al contrario, ma se imposto manualmente lo stesso criterio tramite il registro, le voci gpedit corrispondenti verranno comunque visualizzate come "non configurato".

Mi sto perdendo qualcosa? la politica gpedit è qualcosa di più di una voce di registro? quindi ... dove sono memorizzati?

Risposte:


12

Poiché le modifiche apportate nell'editor dei criteri di gruppo influiscono su ciò che si vede nel registro, è perfettamente logico supporre che sia vero anche il contrario. Tuttavia, non funziona in questo modo.

Le impostazioni dei criteri di gruppo locali (che è ciò a cui ti riferisci nel tuo post) sono archiviate in registry.polfile situati in C:\Windows\system32\GroupPolicy. Questi file sovrascrivono le chiavi corrispondenti nel registro ogni volta che il sistema esegue un aggiornamento dei criteri di gruppo. L'editor non legge mai effettivamente il registro per vedere quali impostazioni contiene.

Un aggiornamento di criteri di gruppo viene attivato ogni volta che si verifica uno dei seguenti eventi:

  • A intervalli di aggiornamento programmati regolarmente (ogni 90 minuti per impostazione predefinita)
  • Un evento di accesso o disconnessione dell'utente (solo criteri utente)
  • Un riavvio del computer (solo criteri del computer)
  • Un aggiornamento attivato manualmente tramite gpupdate
  • Un comando di aggiornamento dei criteri emesso da un amministratore dal controller di dominio (se il computer fa parte del dominio).

È importante ricordare che se il computer è unito al dominio, i criteri di dominio verranno applicati dopo l'elaborazione dei file dei criteri di gruppo locali (il che significa che alcune impostazioni potrebbero essere sovrascritte dai criteri di dominio). Non sarà possibile visualizzare i criteri di dominio nell'editor dei criteri di gruppo locale.


Rundown piacevole (+1). Aggiungo solo che a volte gpupdate /forcepuò funzionare in modo più affidabile.
DX

3
@dxiv; Ciò accade perché il sistema memorizza nella cache i criteri e tenta di applicare solo le impostazioni modificate dall'ultima volta in cui è stato eseguito un aggiornamento. / force rende riapplicare tutte le impostazioni. Sembra più affidabile perché di solito fai una gpupdate quando hai un problema, e quel problema è di solito perché la cache è cattiva :-)
Wes Sayeed

9

Funziona così per tre motivi:

  • Criteri di gruppo è progettato tenendo a mente "l'invio" da un controller di dominio di Active Directory. I computer non sono destinati a controllare i criteri sul controller di dominio.

  • La nozione di politiche e Active Directory è stata sviluppata in un'epoca in cui le connessioni remote erano molto comuni e la banda larga no. Poiché le modifiche al Registro di sistema per il mirroring su un controller di dominio in questa situazione consumerebbero probabilmente molta larghezza di banda molto limitata, e situazioni in cui i sistemi parlerebbero occasionalmente a un controller di dominio solo attraverso sessioni di accesso remoto qui e non vi erano NT4 giorni credo.

  • Probabilmente hai notato che molti dei criteri hanno un'impostazione "Non configurato", "Abilitato" o "Disabilitato". Criteri di gruppo ha l'impostazione "Non configurato" per consentire alle impostazioni locali di non essere toccate dai criteri. Ciò significa in particolare che tu, un'applicazione o un amministratore locale puoi modificare le voci di registro pertinenti e una politica non le modificherà. Potresti non voler controllare ogni aspetto del sistema attraverso la politica.

Quindi il registro locale e una politica di gruppo non si sincronizzano da macchina-> AD di progettazione. I criteri di gruppo locali gpedit.mscfunzionano allo stesso modo anche se non si sincronizzano con nessun controller di dominio.


2
Penso che il tuo secondo punto, sebbene tecnicamente corretto, abbia un'importanza minima. I domini AD e Windows in generale non sono mai stati pensati per essere utilizzati su linee di accesso remoto, solo LAN. I tuoi altri punti sono comunque esatti.
Jamie Hanrahan,

Ricordo solo che puoi o potresti specificare "SMTP" come protocollo da qualche parte per la sincronizzazione AD ...
LawrenceC

SMTP? Simple Mail Transfer Protocol? Questo è un livello di trasporto della posta, non ha nulla a che fare con dialup vs LAN. probabilmente era qualcos'altro. SLIP o PPP, forse?
Jamie Hanrahan,

1
Questo è ciò a cui mi riferivo: technet.microsoft.com/en-us/library/cc961766.aspx
LawrenceC

Ma ciò non specifica la connessione remota, ma solo un protocollo a livello di applicazione utilizzato su tutto ciò che fornisce la connettività IP. "Protocollo di replica utilizzato dalla replica di Active Directory sul trasporto IP" - vedi, non è un provider IP a sé stante. Per una connessione dialup che sarebbe PPP o SLIP.
Jamie Hanrahan,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.