ฉันใช้ Windows 10 Pro ฉันสังเกตเห็นว่าเมื่อฉันใช้นโยบายบางอย่างผ่าน gpedit รายการที่เกี่ยวข้องจะถูกสร้างขึ้นในรีจิสทรี หากฉันเลิกทำรายการจะถูกลบออกจากรีจิสทรีด้วย
ดังนั้นฉันจึงคาดหวังว่ามันจะทำงานในลักษณะอื่นเช่นกัน แต่ถ้าฉันตั้งค่านโยบายเดียวกันผ่านทางรีจิสทรีด้วยตนเองรายการ gpedit ที่เกี่ยวข้องยังคงแสดงเป็น "ไม่ได้กำหนดค่า"
ฉันพลาดอะไรไปรึเปล่า? นโยบาย gpedit เป็นอะไรมากกว่ารายการรีจิสทรี? ดังนั้น ... พวกเขาเก็บไว้ที่ไหน
คำตอบ:
เนื่องจากการเปลี่ยนแปลงที่คุณทำในตัวแก้ไขนโยบายกลุ่มส่งผลกระทบต่อสิ่งที่คุณเห็นในรีจิสทรีจึงเป็นเหตุผลอย่างสมบูรณ์ที่จะสมมติว่าการย้อนกลับนั้นเป็นจริงเช่นกัน อย่างไรก็ตามมันใช้งานไม่ได้
ท้องถิ่นการตั้งค่านโยบายกลุ่ม (ซึ่งเป็นสิ่งที่ผมเชื่อว่าคุณจะหมายถึงในโพสต์ของคุณ) จะถูกเก็บไว้ในไฟล์ที่อยู่ในregistry.pol C:\Windows\system32\GroupPolicyไฟล์เหล่านี้เขียนทับคีย์ที่เกี่ยวข้องในรีจิสทรีทุกครั้งที่ระบบทำการรีเฟรชนโยบายกลุ่ม ตัวแก้ไขไม่เคยอ่านรีจิสทรีเพื่อดูการตั้งค่าที่มีอยู่
การรีเฟรชนโยบายกลุ่มจะถูกเรียกใช้เมื่อใดก็ตามที่มีเหตุการณ์ใดเหตุการณ์หนึ่งต่อไปนี้เกิดขึ้น:
gpupdateสิ่งสำคัญคือต้องจำไว้ว่าหากคอมพิวเตอร์เข้าร่วมโดเมนนโยบายโดเมนจะถูกนำไปใช้หลังจากประมวลผลไฟล์นโยบายกลุ่มโลคัล (หมายถึงการตั้งค่าบางอย่างอาจถูกเขียนทับโดยนโยบายโดเมน) คุณจะไม่สามารถเห็นนโยบายโดเมนในตัวแก้ไขนโยบายกลุ่มภายใน
มันทำงานได้เช่นนี้ด้วยเหตุผลสามประการ:
นโยบายกลุ่มได้รับการออกแบบโดย "ส่ง" จากตัวควบคุมโดเมน Active Directory ในใจ เครื่องไม่ได้มีไว้เพื่อควบคุมนโยบายกลับไปยังตัวควบคุมโดเมน
แนวคิดของนโยบายและ Active Directory ได้รับการพัฒนาในช่วงเวลาที่การเชื่อมต่อผ่านสายโทรศัพท์เป็นเรื่องปกติและบรอดแบนด์ไม่ได้ สำหรับการเปลี่ยนแปลงรีจิสทรีเพื่อสะท้อนกลับไปยังตัวควบคุมโดเมนในสถานการณ์นี้อาจใช้แบนด์วิดท์ จำกัด มากและสถานการณ์ที่ระบบจะพูดคุยกับตัวควบคุมโดเมนเป็นครั้งคราวผ่านการเรียกผ่านสายโทรศัพท์ที่นี่เท่านั้นและไม่เคยได้ยินมาก่อนใน ฉันเชื่อว่า NT4 วัน
คุณอาจสังเกตเห็นว่านโยบายจำนวนมากมีการตั้งค่า "ไม่ได้กำหนดค่า", "เปิดใช้งาน" หรือ "ปิดใช้งาน" นโยบายกลุ่มมีการตั้งค่า "ไม่ได้กำหนดค่า" เพื่อให้การตั้งค่าในเครื่องยังคงไม่ถูกแตะต้องตามนโยบาย ซึ่งหมายความว่าคุณแอปพลิเคชันหรือผู้ดูแลระบบในพื้นที่สามารถแก้ไขรายการรีจิสตรีที่เกี่ยวข้องได้และนโยบายจะไม่เปลี่ยนแปลง คุณอาจไม่ต้องการควบคุมทุกแง่มุมของระบบผ่านนโยบาย
ดังนั้นนโยบายโลคัลและนโยบายกลุ่มจึงไม่ซิงค์จากเครื่อง -> โฆษณาตามการออกแบบ นโยบายกลุ่มโลคัลที่gpedit.mscทำงานในลักษณะเดียวกันแม้ว่าจะไม่ได้ซิงค์กับตัวควบคุมโดเมนใด ๆ
gpupdate /forceอาจทำงานได้อย่างน่าเชื่อถือมากขึ้นบางครั้ง