ทำไม gpedit และรายการรีจิสตรีที่เกี่ยวข้องไม่ซิงโครไนซ์?


11

ฉันใช้ Windows 10 Pro ฉันสังเกตเห็นว่าเมื่อฉันใช้นโยบายบางอย่างผ่าน gpedit รายการที่เกี่ยวข้องจะถูกสร้างขึ้นในรีจิสทรี หากฉันเลิกทำรายการจะถูกลบออกจากรีจิสทรีด้วย

ดังนั้นฉันจึงคาดหวังว่ามันจะทำงานในลักษณะอื่นเช่นกัน แต่ถ้าฉันตั้งค่านโยบายเดียวกันผ่านทางรีจิสทรีด้วยตนเองรายการ gpedit ที่เกี่ยวข้องยังคงแสดงเป็น "ไม่ได้กำหนดค่า"

ฉันพลาดอะไรไปรึเปล่า? นโยบาย gpedit เป็นอะไรมากกว่ารายการรีจิสทรี? ดังนั้น ... พวกเขาเก็บไว้ที่ไหน

คำตอบ:


12

เนื่องจากการเปลี่ยนแปลงที่คุณทำในตัวแก้ไขนโยบายกลุ่มส่งผลกระทบต่อสิ่งที่คุณเห็นในรีจิสทรีจึงเป็นเหตุผลอย่างสมบูรณ์ที่จะสมมติว่าการย้อนกลับนั้นเป็นจริงเช่นกัน อย่างไรก็ตามมันใช้งานไม่ได้

ท้องถิ่นการตั้งค่านโยบายกลุ่ม (ซึ่งเป็นสิ่งที่ผมเชื่อว่าคุณจะหมายถึงในโพสต์ของคุณ) จะถูกเก็บไว้ในไฟล์ที่อยู่ในregistry.pol C:\Windows\system32\GroupPolicyไฟล์เหล่านี้เขียนทับคีย์ที่เกี่ยวข้องในรีจิสทรีทุกครั้งที่ระบบทำการรีเฟรชนโยบายกลุ่ม ตัวแก้ไขไม่เคยอ่านรีจิสทรีเพื่อดูการตั้งค่าที่มีอยู่

การรีเฟรชนโยบายกลุ่มจะถูกเรียกใช้เมื่อใดก็ตามที่มีเหตุการณ์ใดเหตุการณ์หนึ่งต่อไปนี้เกิดขึ้น:

  • ตามช่วงเวลาการรีเฟรชตามกำหนดเวลา (ทุก ๆ 90 นาทีโดยค่าเริ่มต้น)
  • เหตุการณ์การเข้าสู่ระบบของผู้ใช้หรือออกจากระบบ (นโยบายผู้ใช้เท่านั้น)
  • รีคอมพิวเตอร์ (นโยบายคอมพิวเตอร์เท่านั้น)
  • รีเฟรชที่เรียกด้วยตนเองผ่าน gpupdate
  • คำสั่งรีเฟรชนโยบายที่ออกโดยผู้ดูแลระบบจากตัวควบคุมโดเมน (หากคอมพิวเตอร์เข้าร่วมโดเมน)

สิ่งสำคัญคือต้องจำไว้ว่าหากคอมพิวเตอร์เข้าร่วมโดเมนนโยบายโดเมนจะถูกนำไปใช้หลังจากประมวลผลไฟล์นโยบายกลุ่มโลคัล (หมายถึงการตั้งค่าบางอย่างอาจถูกเขียนทับโดยนโยบายโดเมน) คุณจะไม่สามารถเห็นนโยบายโดเมนในตัวแก้ไขนโยบายกลุ่มภายใน


Nice rundown (+1) ฉันแค่เพิ่มที่gpupdate /forceอาจทำงานได้อย่างน่าเชื่อถือมากขึ้นบางครั้ง
dxiv

3
@dxiv; สิ่งนี้เกิดขึ้นเนื่องจากระบบแคชนโยบายและพยายามใช้การตั้งค่าที่เปลี่ยนแปลงตั้งแต่ครั้งสุดท้ายที่มีการรีเฟรช / force ทำให้การตั้งค่าทั้งหมดใช้ใหม่ ดูเหมือนว่ามีความน่าเชื่อถือมากขึ้นเพราะคุณมักจะทำ gpupdate เมื่อคุณมีปัญหาและปัญหาที่มักจะเป็นเพราะแคชไม่ดี :-)
เวสสตรีท Sayeed

9

มันทำงานได้เช่นนี้ด้วยเหตุผลสามประการ:

  • นโยบายกลุ่มได้รับการออกแบบโดย "ส่ง" จากตัวควบคุมโดเมน Active Directory ในใจ เครื่องไม่ได้มีไว้เพื่อควบคุมนโยบายกลับไปยังตัวควบคุมโดเมน

  • แนวคิดของนโยบายและ Active Directory ได้รับการพัฒนาในช่วงเวลาที่การเชื่อมต่อผ่านสายโทรศัพท์เป็นเรื่องปกติและบรอดแบนด์ไม่ได้ สำหรับการเปลี่ยนแปลงรีจิสทรีเพื่อสะท้อนกลับไปยังตัวควบคุมโดเมนในสถานการณ์นี้อาจใช้แบนด์วิดท์ จำกัด มากและสถานการณ์ที่ระบบจะพูดคุยกับตัวควบคุมโดเมนเป็นครั้งคราวผ่านการเรียกผ่านสายโทรศัพท์ที่นี่เท่านั้นและไม่เคยได้ยินมาก่อนใน ฉันเชื่อว่า NT4 วัน

  • คุณอาจสังเกตเห็นว่านโยบายจำนวนมากมีการตั้งค่า "ไม่ได้กำหนดค่า", "เปิดใช้งาน" หรือ "ปิดใช้งาน" นโยบายกลุ่มมีการตั้งค่า "ไม่ได้กำหนดค่า" เพื่อให้การตั้งค่าในเครื่องยังคงไม่ถูกแตะต้องตามนโยบาย ซึ่งหมายความว่าคุณแอปพลิเคชันหรือผู้ดูแลระบบในพื้นที่สามารถแก้ไขรายการรีจิสตรีที่เกี่ยวข้องได้และนโยบายจะไม่เปลี่ยนแปลง คุณอาจไม่ต้องการควบคุมทุกแง่มุมของระบบผ่านนโยบาย

ดังนั้นนโยบายโลคัลและนโยบายกลุ่มจึงไม่ซิงค์จากเครื่อง -> โฆษณาตามการออกแบบ นโยบายกลุ่มโลคัลที่gpedit.mscทำงานในลักษณะเดียวกันแม้ว่าจะไม่ได้ซิงค์กับตัวควบคุมโดเมนใด ๆ


2
ฉันคิดว่าจุดที่สองของคุณในขณะที่ถูกต้องทางเทคนิคมีการนำเข้าน้อยที่สุด โดเมนโฆษณาและ Windows โดยทั่วไปไม่เคยมีเจตนาจะใช้ผ่านสายโทรศัพท์ในตอนแรกเท่านั้น LANs จุดอื่น ๆ ของคุณเป็นแบบจุด
เจมี่ Hanrahan

ฉันเพิ่งจำได้ว่าคุณสามารถหรือสามารถระบุ "SMTP" เป็นโปรโตคอลที่ไหนสักแห่งสำหรับการซิงค์โฆษณา ...
LawrenceC

SMTP? Simple Mail Transfer Protocol? นั่นคือเลเยอร์การส่งเมล แต่ไม่มีอะไรเกี่ยวข้องกับ dialup vs LAN มันอาจเป็นอย่างอื่น SLIP หรือ PPP อาจจะ?
เจมี่ Hanrahan

1
นี่คือสิ่งที่ฉันหมายถึง: technet.microsoft.com/en-us/library/cc961766.aspx
LawrenceC

แต่นั่นไม่ได้ระบุการเรียกเลขหมายเพียงแค่โปรโตคอลชั้นแอปพลิเคชันที่ใช้กับสิ่งที่ให้การเชื่อมต่อ IP ของคุณ "โพรโทคอลการจำลองแบบที่ใช้โดยการจำลองแบบ Active Directory บนการขนส่ง IP" - ดูไม่ใช่ผู้ให้บริการ IP ของตนเอง สำหรับการเชื่อมต่อผ่านสายโทรศัพท์ที่จะเป็น PPP หรือ SLIP
เจมี่ Hanrahan
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.