Por que gpedit e as entradas de registro correspondentes não são sincronizadas?
11
Estou no Windows 10 Pro. Percebi que quando aplico algumas políticas via gpedit, as entradas correspondentes são criadas no registro. Se eu desfazer, as entradas também serão removidas do registro.
Portanto, eu esperava que funcionasse de maneira inversa também, mas se eu definir manualmente a mesma política via registro, as entradas correspondentes do gpedit ainda serão exibidas como "não configuradas".
Estou esquecendo de algo? a política do gpedit é algo mais do que uma entrada de registro? então ... onde eles estão armazenados?
Como as alterações feitas no editor de política de grupo afetam o que você vê no registro, é perfeitamente lógico supor que o inverso também é verdadeiro. No entanto, não funciona dessa maneira.
As configurações de diretiva de grupo local (que é o que eu acredito que você se refere na sua postagem) são armazenadas nos registry.polarquivos localizados em C:\Windows\system32\GroupPolicy. Esses arquivos substituem as chaves correspondentes no registro sempre que o sistema executa uma atualização de diretiva de grupo. Na verdade, o editor nunca lê o registro para ver quais configurações ele contém.
Uma atualização de diretiva de grupo é acionada sempre que um dos seguintes eventos ocorre:
Em um intervalo de atualização agendado regularmente (a cada 90 minutos, por padrão)
Um evento de logon ou logoff do usuário (somente política de usuário)
Uma reinicialização do computador (somente política de computador)
Uma atualização acionada manualmente via gpupdate
Um comando de atualização de política emitido por um administrador do controlador de domínio (se o computador ingressou no domínio).
É importante lembrar que, se o computador ingressar no domínio, as políticas de domínio serão aplicadas após o processamento dos arquivos de política de grupo local (o que significa que algumas configurações podem ser substituídas pela política de domínio). Você não poderá ver políticas de domínio no editor de política de grupo local.
Resumo agradável (+1). Eu apenas acrescentaria que gpupdate /forceàs vezes pode funcionar de maneira mais confiável.
dxiv
3
@dxiv; Isso acontece porque o sistema armazena em cache a política e tenta aplicar apenas as configurações que foram alteradas desde a última vez em que uma atualização foi feita. / force faz reaplicar todas as configurações. Parece mais confiável, porque você geralmente só fazer um gpupdate quando você tem um problema, e esse problema é geralmente porque o cache é ruim :-)
Wes Sayeed
9
Funciona assim por três razões:
A Diretiva de Grupo foi criada com o "envio" de um controlador de domínio do Active Directory em mente. Máquinas não se destinam a controlar a diretiva de volta ao controlador de domínio.
A noção de diretivas e do Active Directory foi desenvolvida em uma época em que as conexões dial-up eram muito comuns e a banda larga não. Para que as alterações no registro espelhem de volta para um controlador de domínio nessa situação, provavelmente consumiriam muita largura de banda muito limitada, e situações em que os sistemas conversavam ocasionalmente com um controlador de domínio por meio de sessões dial-up aqui e não eram inéditas no diretório NT4 dias em que acredito.
Você provavelmente notou que muitas políticas têm uma configuração "Não configurado", "Ativado" ou "Desativado". A Diretiva de Grupo possui a configuração "Não configurado" para permitir que a configuração local permaneça intocada pela diretiva. Isso significa especificamente que você, um aplicativo ou um administrador local pode modificar as entradas relevantes do registro e uma política não as altera. Você pode não querer controlar todos os aspectos do sistema por meio de políticas.
Portanto, o registro local e uma diretiva de grupo não são sincronizados da máquina-> AD por design. A diretiva de grupo local gpedit.mscfunciona da mesma maneira, mesmo que não esteja sendo sincronizada com nenhum controlador de domínio.
Penso que o seu segundo ponto, embora tecnicamente correto, seja de importância mínima. Os domínios do AD e do Windows em geral nunca foram projetados para serem usados em linhas de discagem, apenas LANs. Seus outros pontos são, no entanto, pontuais.
precisa
Eu só lembro que você pode ou poderia especificar "SMTP" como um lugar protocolo para AD sincronização ...
LawrenceC
SMTP? Protocolo Simples de Transferência de Correio ? Essa é uma camada de transporte de email, não tem nada a ver com discagem versus LAN. provavelmente era outra coisa. SLIP ou PPP, talvez?
Mas isso não especifica a conexão discada, apenas um protocolo da camada de aplicativo usado sobre o que está fornecendo sua conectividade IP. "Protocolo de replicação usado pela replicação do Active Directory por transporte IP" - veja, ele não é um provedor de IP próprio. Para uma conexão discada que seria PPP ou SLIP.
gpupdate /force
às vezes pode funcionar de maneira mais confiável.Funciona assim por três razões:
A Diretiva de Grupo foi criada com o "envio" de um controlador de domínio do Active Directory em mente. Máquinas não se destinam a controlar a diretiva de volta ao controlador de domínio.
A noção de diretivas e do Active Directory foi desenvolvida em uma época em que as conexões dial-up eram muito comuns e a banda larga não. Para que as alterações no registro espelhem de volta para um controlador de domínio nessa situação, provavelmente consumiriam muita largura de banda muito limitada, e situações em que os sistemas conversavam ocasionalmente com um controlador de domínio por meio de sessões dial-up aqui e não eram inéditas no diretório NT4 dias em que acredito.
Você provavelmente notou que muitas políticas têm uma configuração "Não configurado", "Ativado" ou "Desativado". A Diretiva de Grupo possui a configuração "Não configurado" para permitir que a configuração local permaneça intocada pela diretiva. Isso significa especificamente que você, um aplicativo ou um administrador local pode modificar as entradas relevantes do registro e uma política não as altera. Você pode não querer controlar todos os aspectos do sistema por meio de políticas.
Portanto, o registro local e uma diretiva de grupo não são sincronizados da máquina-> AD por design. A diretiva de grupo local
gpedit.msc
funciona da mesma maneira, mesmo que não esteja sendo sincronizada com nenhum controlador de domínio.fonte