Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Domyślnie zasady grupy są dziedziczone i skumulowane i mają wpływ na wszystkie komputery i użytkowników w kontenerze usługi Active Directory (AD) i jego elementach podrzędnych. Ustawienia zasad związanych z komputerem zastępują ustawienia zasad związanych z użytkownikiem.
Obiekty zasad grupy (GPO) są przetwarzane w następującej kolejności:
- Lokalny obiekt zasad grupy jest stosowany.
- Obiekty zasad grupy połączone z witrynami są stosowane.
- Obiekty zasad grupy połączone z domenami są stosowane.
- Obiekty zasad grupy (GPO) połączone z jednostkami organizacyjnymi (OU) są stosowane. W zagnieżdżonej strukturze jednostek organizacyjnych obiekty zasad grupy połączone z nadrzędnymi jednostkami organizacyjnymi są stosowane jako pierwsze, a następnie obiekty zasad grupy połączone z podrzędnymi jednostkami organizacyjnymi.
Wskazówka
Sekwencja przetwarzania GPO ma kluczowe znaczenie, ponieważ każde kolejne stosowanie zasad może zastąpić ustawienia stosowane przez wcześniejsze zasady.
Domyślną metodą dziedziczenia jest ocena zasad grupy rozpoczynających się od najwyższego nadrzędnego kontenera usługi AD. Kontener usługi AD najbliżej komputera lub użytkownika zastępuje zasady grupy ustawione w kontenerze usługi AD wyższego poziomu. Dziedziczenie jest ignorowane po ustawieniu opcji wymuszania dla tego łącza obiektu zasad grupy lub po zablokowaniu dziedziczenia. Zasady lokalnej grupy są przetwarzane przed zasadami grupowymi opartymi na domenie. Ustawienia zasad z obiektów zasad grupy połączonych z kontenerami usługi Active Directory zastępują ustawienia zasad lokalnych.
Można połączyć więcej niż jeden obiekt zasad grupy z kontenerem Active Directory. Link obiektu zasad grupy z najniższą kolejnością linków na liście linków obiektów zasad grupy ma pierwszeństwo domyślnie.
Jak działa przetwarzanie zasad grupowych
Zasady grupy dla ustawień komputera są stosowane podczas uruchamiania komputera. Zasady grupy są stosowane podczas logowania użytkowników. To wstępne przetwarzanie zasad może być również określane jako polityka pierwszoplanowa.
Przetwarzanie zasad grupy na pierwszym planie może być synchroniczne lub asynchroniczne. W trybie synchronicznym komputer nie kończy uruchamiania systemu, dopóki polityki komputera nie zostaną pomyślnie zastosowane. Proces logowania użytkownika nie zostanie ukończony, dopóki zasady użytkownika nie zostaną pomyślnie zastosowane. W trybie asynchronicznym, jeśli nie ma żadnych zmian zasad wymagających synchronicznego przetwarzania, komputer może ukończyć sekwencję uruchamiania przed ukończeniem stosowania zasad komputera. Pulpit może być również dostępny dla użytkownika przed zakończeniem stosowania zasad użytkownika w trybie asynchronicznym. Następnie system okresowo stosuje (odświeża) zasady grupy w tle. Podczas odświeżania ustawienia zasad są stosowane asynchronicznie.
Wszystkie przetwarzanie zasad należy wykonać w ciągu 60 minut. Nie ma metody modyfikowania tego limitu czasu.
Po początkowym przetwarzaniu zasad grupy (zwanej również stosowaniem zasad pierwszego planu), system okresowo stosuje (odświeża) zasady grupy w tle systemu operacyjnego. Podczas odświeżania ustawienia zasad są stosowane asynchronicznie.
Domyślnie odświeżanie odbywa się co 90 minut. System może dodać losowy czas do 30 minut do interwału odświeżania. Te wartości domyślne można zmienić przy użyciu ustawienia zasad grupy w rozszerzeniu Szablony administracyjne na zasady grupy. Ustawienie wartości na zero minut powoduje ustawienie częstotliwości odświeżania na siedem sekund. Nie wszystkie rozszerzenia zasad grupy są przetwarzane podczas odświeżania w tle. Na przykład przetwarzanie przekierowania folderów odbywa się tylko wtedy, gdy użytkownik zaloguje się. Ponadto przetwarzanie zasad instalacji oprogramowania odbywa się tylko wtedy, gdy komputer jest uruchamiany i kiedy użytkownik loguje się.
Mimo że system przetwarza rozszerzenia skryptów dla zasad grupy podczas odświeżania w tle, poszczególne skrypty są uruchamiane tylko wtedy, gdy komputer zostanie uruchomiony i wyłączony, a użytkownik loguje się i wyloguje.
Podczas odświeżania zasad rozszerzenie po stronie klienta domyślnie ponownie stosuje ustawienia zasad tylko wtedy, gdy wykryje zmianę w jednym z obiektów zasad grupy lub na liście obiektów zasad grupy. To zachowanie jest ze względów wydajności.
Wymuszone zasady grup polityki
Ustal, czy istnieją jakiekolwiek ustawienia zasad, które muszą być zawsze wymuszane dla określonych grup użytkowników lub komputerów. Utwórz obiekty zasad grupy zawierające te ustawienia zasad, połącz je z odpowiednią witryną, domeną lub jednostką organizacyjną i wyznacz te łącza jako wymuszane. Ustawiając tę opcję, wymuszasz ustawienia zasad dla obiektów zasad grupy na wyższym poziomie, zapobiegając zastępowaniu ich przez zasady obiektów zasad grupy w kontenerach usługi Active Directory na niższym poziomie. Jeśli na przykład zdefiniujesz określony obiekt zasad grupy na poziomie domeny i ustawisz wymuszoną opcję, zasady, które zawiera obiekt zasad grupy, mają zastosowanie do wszystkich jednostek organizacyjnych w tej domenie. Obiekty zasad grupy połączone z jednostkami organizacyjnymi niższego poziomu nie mogą zastąpić wymuszonej zasady grupy domeny. Jeśli wiele obiektów zasad grupy jest połączonych w tej samej lokacji, domenie lub jednostki organizacyjnej i mają wymuszony zestaw opcji, najwyższy zestaw linków obiektu zasad grupy do wymuszania ma pierwszeństwo.
Blokuj dziedziczenie
W konsoli zarządzania zasadami grupy (GPMC), dziedziczenie zasad bloku lub dziedziczenie bloku odwołuje się do funkcji, która wpływa na kolejność przetwarzania zasad grupy. Każda domena i jednostka organizacyjna w usłudze AD ma atrybut GPOptions , który można skonfigurować do blokowania dziedziczenia. Spowoduje to zatrzymanie ustawień zasad stosowanych na poziomie lokalnym, lokacji, domeny i wyższej jednostki organizacyjnej, które mają wpływ na komputery lub użytkowników w ramach jednostki organizacyjnej. Jednak mimo że zablokowane dziedziczenie ustawień uniemożliwia stosowanie większości ustawień do jednostki organizacyjnej, nie wpływa to na ustawienia stosowane za pośrednictwem obiektów zasad grupy z opcją wymuszoną. Jest wymuszone jako właściwość łącza i zyskuje pierwszeństwo nad dziedziczeniem zasad blokowych, właściwością kontenerową.
Ustawienia zasad połączone z domeną są zwykle stosowane do wszystkich komputerów i użytkowników w domenie, niezależnie od ich nadrzędnej jednostki organizacyjnej. Używając GPMC, możesz zablokować dziedziczenie w domenie lub jednostce organizacyjnej, aby zatrzymać stosowanie domyślnych ustawień zasad grupy. Blokowanie dziedziczenia na poziomie domeny uniemożliwia ustawienia obiektów zasad grupy połączonych z witryną usługi AD z zastosowaniem do domeny, jednocześnie blokując na poziomie jednostki organizacyjnej, uniemożliwia ustawienia obiektów zasad grupy połączonych z lokacjami i domenami wpływającymi na te jednostki organizacyjne.
Oprócz blokowania dziedziczenia:
- Sam obiekt zasad grupy może być całkowicie wyłączony
- Grupa Obiektów Zasad może mieć wyłączone ustawienia komputera
- Obiekt zasad grupy (GPO) może mieć wyłączone ustawienia użytkownika
- Obiekt zasad grupy może mieć wyłączone wszystkie jego ustawienia
Rozszerzenia po stronie klienta preferencji zasad grupy
Rozszerzenia po stronie klienta preferencji zasad grupy mają własne unikatowe metody przetwarzania. W ramach jednego obiektu zasad grupy można skonfigurować co najmniej jeden element preferencji dla określonego rozszerzenia preferencji zasad grupy do przetwarzania. Na przykład pojedynczy obiekt zasad grupy może zawierać wiele elementów preferencji mapowania dysku.
Podczas przetwarzania zasad grupy infrastruktura przechodzi przez serię rozszerzeń. Dla każdego rozszerzenia zawiera ona istotne informacje, w tym listę obiektów zasad grupy ze zmianami i obiektami zasad grupy, które nie mają już zastosowania do użytkownika lub komputera. Infrastruktura udostępnia również szczegółowe informacje dotyczące kontekstu, takie jak to, czy połączenie sieciowe jest uznawane za powolne. Rozszerzenie preferencji zasad grupy wykorzystuje informacje o zmienionych i leżących poza zakresem obiektach zasad grupy do przetwarzania swoich ustawień.
Rozszerzenia po stronie klienta przetwarzają elementy preferencji sekwencyjnie od góry do dołu listy. Wynik przetwarzania każdego elementu preferencji zależy od skonfigurowanej akcji, a targetowanie na poziomie elementu może uniemożliwić zastosowanie danego elementu. Rozszerzenie przetwarza każdy element do momentu ukończenia listy lub zatrzymania z powodu ustawień konfiguracji, takich jak Zatrzymaj przetwarzanie elementów w tym rozszerzeniu, jeśli wystąpi błąd w tym elemencie lub Zastosuj raz i nie zastosuj ponownie. Po przetworzeniu wszystkich elementów preferencji kontrola powróci do usługi Zasad grupy.
Filtrowanie zasad grupy
Można filtrować, czy obiekt zasad grupy ma zastosowanie przy użyciu filtrowania zabezpieczeń, czy filtrów instrumentacji zarządzania Windows (WMI).
Filtrowanie zabezpieczeń umożliwia dostosowanie, które użytkownicy i komputery mają otrzymywać i stosować ustawienia zasad w obiekcie zasad grupy (GPO). Filtrowanie grup zabezpieczeń określa, czy zasady grupy mają zastosowanie do grup, użytkowników lub komputerów. Filtrowanie grup zabezpieczeń nie może być używane selektywnie w przypadku różnych ustawień zasad w obiekcie zasad grupy.
Usługa WMI umożliwia użycie zapytania WMI do filtrowania zastosowania zasad grupy. Podczas korzystania z filtrowania WMI polityka grupowa stosuje się do podmiotów zabezpieczeń, które spełniają warunki zapytania WMI. Każdy obiekt zasad grupy można powiązać z jednym filtrem WMI; z kolei ten sam filtr WMI można powiązać z wieloma obiektami zasad grupy. Zanim można połączyć filtr WMI z obiektem zasad grupy, należy najpierw utworzyć filtr. Filtr WMI jest oceniany podczas przetwarzania zasad grupy na komputerze docelowym. Obiekt zasad grupy ma zastosowanie tylko wtedy, gdy filtr usługi WMI zwróci wartość true.
Tryb przetwarzania sprzężenia zwrotnego
Tryb przetwarzania zwrotnego stosuje ustawienia użytkownika Obiektów Zasad Grupy przypisanych do komputera niezależnie od tego, kto się loguje. Przetwarzanie sprzężenia zwrotnego spowoduje scalenie lub zastąpienie ustawień użytkownika pochodzących z obiektów zasad grupy przypisanych do użytkownika. To ustawienie zasad jest odpowiednie w niektórych ściśle zarządzanych środowiskach ze specjalnymi komputerami, takimi jak klasy, kioski publiczne i obszary odbioru.
Można na przykład włączyć to ustawienie zasad na określonym serwerze, aby dostosować ustawienia użytkownika na podstawie używanego komputera. Po włączeniu ustawienia zasad trybu przetwarzania sprzężenia zwrotnego system stosuje ustawienia zasad użytkownika na podstawie konfiguracji komputera, niezależnie od tego, kto się loguje. Zapewnia to spójne ustawienia zasad użytkowania dla wszystkich użytkowników na komputerze, zgodnie z tym, jak określone są przez obiekty zasad grupy tego komputera.
Włączając ustawienie zasad przetwarzania sprzężenia zwrotnego w obiekcie zasad grupy, można skonfigurować ustawienia zasad użytkownika na podstawie komputera, na którym się logują. Bez przetwarzania sprzężenia zwrotnego, gdy obiekty zasad grupy stosują obiekt komputera, przetworzone zostaną tylko ustawienia konfiguracji komputera. Obiekty GPO zastosowane do użytkowników będą przetwarzać tylko ustawienia użytkownika. Po włączeniu ustawienia zasad trybu przetwarzania sprzężenia zwrotnego należy upewnić się, że ustawienia Konfiguracja komputera i Konfiguracja użytkownika w GPO (obiekcie zasad grupy) są włączone. Te ustawienia zasad są stosowane niezależnie od tego, który użytkownik loguje się.
Można skonfigurować ustawienie zasad sprzężenia zwrotnego przy użyciu konsoli zarządzania zasadami grupy do edytowania obiektu zasad grupy i włączenia ustawienia zasad trybu przetwarzania sprzężenia zwrotnego zasad grupy użytkownika w obszarze Konfiguracja komputera\Zasady\Szablony administracyjne\System\Zasady grupy. Dostępne są dwie opcje:
Tryb scalania: W tym trybie lista obiektów zasad grupy dla użytkownika jest zbierana podczas procesu logowania. Następnie zostanie stworzona lista obiektów zasad grupy dla komputera. Następnie lista obiektów zasad grupy dla komputera zostanie dodana na końcu obiektów zasad grupy dla użytkownika. W związku z tym obiekty zasad grupy komputera mają wyższy priorytet niż obiekty zasad grupy użytkownika. Jeśli ustawienia zasad powodują konflikt, stosowane są ustawienia zasad użytkownika znajdujące się w obiektach zasad grup w komputerze, zamiast jego normalnych ustawień zasad.
Tryb zastępowania: W tym trybie nie jest gromadzona lista grupowych obiektów zasad (GPOs) dla użytkownika. Tylko lista obiektów zasad grupy, tworzona na podstawie obiektu komputera, jest używana. Ustawienia konfiguracji użytkownika z tej listy są stosowane do użytkownika.
Odświeżanie zasad grupy
Podstawowe mechanizmy odświeżania zasad grupy są podczas uruchamiania i logowania. Zasady grupy są również regularnie odświeżane w innych odstępach czasu. Interwał odświeżania zasad wpływa na szybkość stosowania zmian w obiektach zasad grupy. Domyślnie klienci i serwery sprawdzają zmiany obiektów zasad grupy co 90 minut, z losowym przesunięciem sięgającym do 30 minut. Zmiany ustawień zasad grupy mogą nie być natychmiast dostępne na komputerach użytkowników, ponieważ zmiany w zasadach grupy muszą najpierw zostać zreplikowane do odpowiedniego kontrolera domeny.
Kontrolery domeny sprawdzają zmiany zasad komputera co pięć minut. Tę częstotliwość sondowania można zmienić przy użyciu jednego z tych ustawień zasad, interwał odświeżania zasad grupy dla komputerów, interwał odświeżania zasad grupy dla kontrolerów domeny lub interwał odświeżania zasad grupy dla użytkowników. Skrócenie częstotliwości między odświeżeniami nie jest zalecane ze względu na potencjalny wzrost ruchu sieciowego i większe obciążenie na kontrolerach domeny.
Składniki GPO są przechowywane zarówno w AD, jak i w folderze SYSVOL kontrolerów domeny. Replikacja GPO do innych kontrolerów domeny odbywa się za pomocą dwóch niezależnych mechanizmów.
Wbudowany system replikacji kontroluje replikację Active Directory. Domyślnie replikacja trwa zwykle krócej niż minutę między kontrolerami domeny w tej samej lokacji. Ten proces może być wolniejszy, jeśli sieć jest wolniejsza niż sieć LAN.
Replikacja rozproszonego systemu plików (DFSR) kontroluje replikację folderu SYSVOL. W obrębie lokacji replikacja odbywa się co 15 minut. Jeśli kontrolery domeny znajdują się w różnych lokacjach, proces replikacji odbywa się w ustalonych odstępach czasu na podstawie topologii lokacji i harmonogramu, najniższy interwał wynosi 15 minut.
Uruchomienie aktualizacji zasad grupy
W razie potrzeby można ręcznie wymusić odświeżenie zasad grupy w następujący sposób:
Z komputera lokalnego wprowadź polecenie
gpupdate.exe
z wiersza polecenia. Uruchomieniegpupdate.exe
wyzwala odświeżanie zasad dla komputera, na którym jest uruchamiane polecenie.Invoke-GPUpdate
Użyj polecenia cmdlet programu PowerShell. Tego polecenia cmdlet można użyć do wyzwolenia odświeżania komputera lokalnego lub wyzwolenia odświeżania komputera zdalnego.Użyj GPMC, aby wyzwolić odświeżenie zasad grupy na poziomie jednostki organizacyjnej (OU), klikając prawym przyciskiem myszy jednostka organizacyjna i wybierając Aktualizacja zasad grupy.
Optymalizowanie przetwarzania obiektu zasad grupy
Aby skrócić czas wymagany do przetworzenia obiektu zasad grupy, rozważ użycie następujących elementów.
Jeśli zasady GPO zawierają tylko konfigurację komputera lub ustawienia konfiguracji użytkownika, wyłącz część ustawień polityki, która nie ma zastosowania. Dzięki tej optymalizacji komputer docelowy nie skanuje części obiektu zasad grupy, które wyłączasz, co skraca czas przetwarzania.
Aby utworzyć skonsolidowany obiekt zasad grupy, połącz mniejsze obiekty zasad grupy. Ta optymalizacja ogranicza liczbę obiektów zasad grupy, które są stosowane do użytkownika lub komputera. Zastosowanie mniejszej liczby obiektów zasad grupy do użytkownika lub komputera może skrócić czas uruchamiania lub logowania i ułatwić rozwiązywanie problemów ze strukturą zasad.