Dlaczego gpedit i odpowiednie wpisy rejestru nie są synchronizowane?

11

Jestem na Windows 10 Pro. Zauważyłem, że kiedy stosuję niektóre zasady za pomocą gpedit, odpowiednie wpisy są tworzone w rejestrze. Jeśli cofnę, wpisy zostaną również usunięte z rejestru.

Spodziewałem się więc, że zadziała to również na odwrót, ale jeśli ręcznie ustawię te same zasady za pomocą rejestru, odpowiednie wpisy gpedit nadal będą wyświetlane jako „nieskonfigurowane”.

Czy coś brakuje? czy zasada gpedit to coś więcej niż wpis rejestru? więc ... gdzie są przechowywane?

Dr Gianluigi Zane Zanettini
źródło

Odpowiedzi:

12

Ponieważ zmiany, które wprowadzasz w edytorze zasad grupy, wpływają na to, co widzisz w rejestrze, logiczne jest założenie, że odwrotność jest również prawdą. Jednak to nie działa w ten sposób.

Ustawienia lokalnych zasad grupy (do których myślę, że odnosisz się w swoim poście) są przechowywane w registry.polplikach znajdujących się w C:\Windows\system32\GroupPolicy. Pliki te zastępują odpowiednie klucze w rejestrze za każdym razem, gdy system przeprowadza odświeżanie zasad grupy. Edytor nigdy nie czyta rejestru, aby zobaczyć, jakie zawiera ustawienia.

Odświeżanie zasad grupy jest uruchamiane za każdym razem, gdy wystąpi jedno z następujących zdarzeń:

  • W regularnych odstępach czasu odświeżania (domyślnie co 90 minut)
  • Zdarzenie logowania lub wylogowania użytkownika (tylko zasady użytkownika)
  • Ponowne uruchomienie komputera (tylko zasady komputera)
  • Odświeżanie uruchamiane ręcznie za pośrednictwem gpupdate
  • Polecenie odświeżenia zasad wydane przez administratora z kontrolera domeny (jeśli komputer jest przyłączony do domeny).

Należy pamiętać, że jeśli komputer jest przyłączony do domeny, zasady domeny zostaną zastosowane po przetworzeniu plików lokalnych zasad grupy (co oznacza, że ​​niektóre ustawienia mogą zostać zastąpione przez zasady domeny). W lokalnym edytorze zasad grupy nie będzie można zobaczyć zasad domeny.

Wes Sayeed
źródło
Ładne podsumowanie (+1). Dodam tylko, że gpupdate /forceczasami może działać bardziej niezawodnie.
dxiv
3
@dxiv; Dzieje się tak, ponieważ system buforuje zasady i próbuje zastosować tylko ustawienia, które zmieniły się od czasu ostatniego odświeżenia. / force powoduje, że ponownie zastosuje wszystkie ustawienia. Wydaje się to bardziej niezawodne, ponieważ zwykle robisz gpupdate tylko wtedy, gdy masz problem, a ten problem zwykle wynika z tego, że pamięć podręczna jest zła :-)
Wes Sayeed
9

Działa to w ten sposób z trzech powodów:

  • Zasady grupy zostały zaprojektowane z myślą o „wypychaniu” z kontrolera domeny Active Directory. Komputery nie mają na celu kontrolowania zasad z powrotem do kontrolera domeny.

  • Pojęcie zasad i usługi Active Directory zostało opracowane w czasach, gdy połączenia telefoniczne były bardzo powszechne, a łącza szerokopasmowe nie. W przypadku zmian rejestru, aby powrócić do kopii lustrzanej kontrolera domeny, w tej sytuacji prawdopodobnie zużyłoby dużo bardzo ograniczonej przepustowości, a sytuacje, w których systemy tylko sporadycznie rozmawiałyby z kontrolerem domeny poprzez sesje dial-up tutaj i nie były niespotykane w NT4 dni wierzę.

  • Prawdopodobnie zauważyłeś, że wiele zasad ma ustawienie „Nieskonfigurowane”, „Włączone” lub „Wyłączone”. Zasady grupy mają ustawienie „Nieskonfigurowane”, dzięki czemu ustawienie lokalne pozostaje niezmienione przez zasady. Oznacza to w szczególności, że Ty, aplikacja lub lokalny administrator możesz modyfikować odpowiednie wpisy rejestru, a zasady tego nie zmienią. Możesz nie chcieć kontrolować każdego aspektu systemu za pomocą zasad.

Tak więc rejestr lokalny i zasady grupy nie synchronizują się z komputerem-> AD zgodnie z projektem. Lokalne zasady grupy gpedit.mscdziałają w ten sam sposób, nawet jeśli nie są synchronizowane z żadnym kontrolerem domeny.

LawrenceC
źródło
2
Myślę, że twój drugi punkt, choć poprawny technicznie, ma minimalne znaczenie. Domeny AD i Windows w ogóle nigdy nie były przeznaczone do używania przez linie telefoniczne, tylko LAN. Twoje pozostałe punkty są jednak natychmiastowe.
Jamie Hanrahan,
Pamiętam tylko, że można gdzieś określić „SMTP” jako protokół synchronizacji AD…
LawrenceC
SMTP? Prosty protokół przesyłania poczty ? To warstwa transportu poczty, nie ma ona nic wspólnego z połączeniem telefonicznym z siecią LAN. to prawdopodobnie było coś innego. Może SLIP czy PPP?
Jamie Hanrahan
1
Do tego miałem na myśli: technet.microsoft.com/en-us/library/cc961766.aspx
LawrenceC
Ale to nie określa połączenia telefonicznego, tylko protokół warstwy aplikacji używany w stosunku do tego, co zapewnia łączność IP. „Protokół replikacji używany przez replikację Active Directory w transporcie IP” - zobacz, nie jest on własnym dostawcą IP. W przypadku połączenia telefonicznego, które byłoby PPP lub SLIP.
Jamie Hanrahan