Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
По умолчанию групповая политика наследуется и накапливается, и она влияет на все компьютеры и пользователей в контейнере Active Directory и его дочерних элементах. Параметры политики, связанные с компьютером, переопределяют параметры политики, связанные с пользователем.
Объекты групповой политики обрабатываются в следующем порядке:
- Применяется локальный объект групповой политики.
- Применяются объекты групповой политики, связанные с сайтами.
- Применяются объекты групповой политики, связанные с доменами.
- Применяются объекты групповой политики, связанные с организационными единицами. Для вложенных подразделений (OUS) объекты групповой политики, связанные с родительскими подразделениями, применяются перед применением объектов групповой политики, связанных с дочерними подразделениями.
Подсказка
Последовательность обработки групповой политики имеет решающее значение, так как каждое последующее приложение политики может переопределить параметры, применяемые предыдущими политиками.
Метод наследования по умолчанию — оценить групповую политику, начиная с самого высокого родительского контейнера Active Directory. Контейнер Active Directory, ближайший к компьютеру или пользователю, переопределяет групповую политику в контейнере Active Directory более высокого уровня. Наследование игнорируется, когда для этой ссылки объекта групповой политики (GPO) установлен принудительный параметр или когда применяется параметр блокировки наследования. Локальная групповая политика обрабатывается раньше доменных политик. Параметры политики из объектов групповой политики, связанных с контейнерами Active Directory, переопределяют параметры локальной политики.
Вы можете связать несколько объектов групповой политики с контейнером Active Directory. Ссылка на объект групповой политики, имеющая самый низкий порядок в списке ссылок объектов групповой политики, имеет приоритет по умолчанию.
Как работает групповая политика
Групповая политика для параметров компьютера применяется при запуске компьютера. Групповая политика применяется при входе для пользователей. Эта начальная обработка политики также может называться приложением политики переднего плана.
Обработка групповой политики на переднем плане может быть синхронной или асинхронной. В синхронном режиме компьютер не завершает запуск системы до тех пор, пока политика компьютера не будет применена успешно. Процесс входа пользователя не завершается до тех пор, пока политика пользователя не будет применена успешно. В асинхронном режиме, если нет изменений политики, требующих синхронной обработки, компьютер может завершить начальную последовательность до завершения применения политики компьютера. Рабочий стол также может быть доступен пользователю, прежде чем приложение политики пользователя будет завершено в асинхронном режиме. Затем система периодически применяет (обновляет) групповую политику в фоновом режиме. Во время обновления параметры политики применяются асинхронно.
Все действия по обработке политик должны выполняться в течение 60 минут. Нет способа изменить этот период времени ожидания.
После первоначальной обработки групповой политики (также называемого приложением политики переднего плана), система периодически применяет (обновляет) групповую политику в фоновом режиме. Во время обновления параметры политики применяются асинхронно.
По умолчанию обновление выполняется каждые 90 минут. Система может добавить случайное время до 30 минут в интервал обновления. Эти значения по умолчанию можно изменить с помощью параметра групповой политики в расширении административных шаблонов на групповую политику. Установка значения на ноль минут приводит к тому, что скорость обновления устанавливается на семь секунд. Во время фонового обновления обрабатываются не все расширения групповой политики. Например, обработка перенаправления папок происходит только в том случае, если пользователь входит в систему. Кроме того, обработка политики установки программного обеспечения происходит только при запуске компьютера и при входе пользователя.
Несмотря на то что система обрабатывает расширения скриптов для групповой политики во время фонового обновления, отдельные скрипты выполняются только при запуске и завершении работы компьютера, а также при входе и выходе пользователя из системы.
При обновлении политики по умолчанию расширение на стороне клиента применяет параметры политики только в том случае, если он обнаруживает изменение одного из своих объектов групповой политики или его списка объектов групповой политики. Это поведение связано с причинами производительности.
Принудительные объекты групповой политики
Определите, есть ли какие-либо параметры политики, которые всегда должны быть применены для определенных групп пользователей или компьютеров. Создайте объекты групповой политики, содержащие эти параметры политики, свяжите их с соответствующим сайтом, доменом или подразделением и обозначьте их как принудительные. Установив этот параметр, вы обеспечиваете соблюдение параметров политики GPO более высокого уровня, предотвращая их переопределение объектами групповой политики (GPO) в контейнерах Active Directory более низкого уровня. Например, если вы определяете конкретный объект групповой политики на уровне домена и задаете принудительный параметр, политики, содержащиеся в объекте групповой политики, применяются ко всем подразделениям в этом домене. Объекты групповой политики, связанные с подразделениями нижнего уровня, не могут переопределить принудительную групповую политику домена. Если несколько объектов групповой политики связаны с одним сайтом, доменом или подразделением и установлен параметр принудительного применения, то ссылка с самым высоким приоритетом для объектов групповой политики, установленная для принудительного применения, имеет приоритет.
Блокирование наследования
Вы можете использовать параметр блокировки наследования на уровне организационной единицы (OU), чтобы остановить применение параметров на локальном, уровне сайта, домена и более высоких уровнях OU. Блокировка наследования предотвращает влияние родительского наследования на конфигурацию компьютеров или пользователей в организационной единице. Хотя заблокированное наследование останавливает параметры, которые обычно применяются к компьютерам и пользователям в организационной единице (OU), этот параметр не блокирует параметры, примененные через объекты групповой политики (GPO), связанные с параметром принудительного применения. Принудительное применение — это свойство ссылки, а наследование политики блокировки — это свойство контейнера. Принудительное применение имеет приоритет над наследованием заблокированной политики.
Кроме того, можно отключить параметры политики в самом объекте групповой политики четырьмя другими способами.
- Объект групповой политики можно отключить
- Объект групповой политики может отключить параметры компьютера.
- Настройки пользователя отключены
- Все его параметры отключены
Фильтрация групповой политики
Вы можете фильтровать применение объекта групповой политики с помощью фильтров безопасности или фильтров инструментария управления Windows (WMI).
Фильтрация безопасности позволяет уточнить, какие пользователи и компьютеры получают и применяют параметры политики в объекте групповой политики. Фильтрация групп безопасности определяет, применяется ли объект групповой политики к группам, пользователям или компьютерам. Фильтрация групп безопасности не может использоваться выборочно для различных параметров политики в объекте групповой политики.
WMI позволяет использовать WMI-запрос для фильтрации применения групповой политики. При использовании фильтрации WMI объект групповой политики применяется к объектам безопасности, которые соответствуют условиям запроса WMI. Каждый объект групповой политики может быть связан с одним фильтром WMI; однако один и тот же фильтр WMI может быть связан с несколькими групповыми политиками. Прежде чем связать фильтр WMI с объектом групповой политики, необходимо создать фильтр. Фильтр WMI оценивается на целевом компьютере во время обработки групповых политик. Объект групповой политики применяется только в том случае, если фильтр WMI оценивается как true.
Режим обработки обратного цикла
Режим обратной обработки применяет параметры конфигурации пользователей из объектов групповой политики, назначенные компьютеру, независимо от того, кто вошел в систему. Обработка обратного цикла либо объединит, либо заменит параметры пользователя из объектов групповой политики, назначенных пользователю. Этот параметр политики подходит в определенных тесно управляемых средах с специальными компьютерами, такими как аудитории, общедоступные киоски и зоны приема.
Например, этот параметр политики можно включить на определенном сервере для настройки параметров пользователя на основе используемого компьютера. Если включить параметр политики режима обработки возврата, система применяет пользовательские параметры политики на основе конфигурации компьютера, независимо от того, кто входит в систему. Это гарантирует согласованность параметров политики пользователей для всех пользователей на компьютере, как определено компьютерными GPO.
Включив параметр политики обратной обработки в объекте групповой политики, можно настроить параметры политики пользователя, используя компьютер, в который они вошли. Без обратной обработки групповые политики (GPO), применяемые к объекту компьютера, будут применять только параметры конфигурации компьютера. Объекты групповой политики, применяемые к пользователям, будут обрабатывать только параметры настройки пользователей. Если включить параметр политики режима обработки цикла, необходимо убедиться, что параметры конфигурации компьютера и конфигурации пользователя в объекте групповой политики включены. Эти параметры политики применяются независимо от того, какие пользователи входят в систему.
Параметр настройки обратного цикла можно настроить с помощью Консоли управления групповыми политиками для редактирования GPO и включения параметра политики режима обработки групповой политики пользователя в разделе Компьютерная конфигурация\Политики\Административные шаблоны\Система\Групповая политика. Доступны следующие два параметра.
Режим слияния. В этом режиме список объектов групповой политики для пользователя собирается во время входа. Затем происходит сбор списка объектов групповой политики для компьютера. Затем список объектов групповой политики для компьютера добавляется в конец списка объектов групповой политики для пользователя. В результате объекты групповой политики компьютера имеют более высокий приоритет, чем объекты групповой политики пользователя. Если параметры политики конфликтуют, параметры политики пользователей в GPOS компьютера применяются, а не обычные параметры политики пользователя.
Режим замены: в данном режиме список объектов групповой политики для пользователя не собирается. Вместо этого используется только список GPO, основанных на объекте компьютера. Параметры конфигурации пользователей из этого списка применяются к пользователю.
Обновление групповой политики
Основными механизмами обновления групповой политики являются запуск и вход. Групповая политика также регулярно обновляется в других интервалах. Интервал обновления политики влияет на то, как быстро применяются изменения для объектов групповой политики. По умолчанию клиенты и серверы проверяют изменения групповых политик с интервалом каждые 90 минут с случайным смещением до 30 минут. Изменения параметров групповой политики могут быть не сразу доступны на рабочих столах пользователей, так как изменения в объекте групповой политики должны сначала реплицироваться на соответствующий контроллер домена.
Контроллеры домена проверяют изменения политики компьютера каждые пять минут. Эту частоту опроса можно изменить с помощью одного из этих параметров политики, интервала обновления групповой политики для компьютеров, интервал обновления групповой политики для контроллеров домена или интервал обновления групповой политики для пользователей. Сокращение частоты между обновлениями не рекомендуется из-за потенциального увеличения сетевого трафика и большей нагрузки на контроллеры домена.
Компоненты объекта групповой политики хранятся как в Active Directory, так и в папке SYSVOL контроллеров домена. Репликация объекта групповой политики на другие контроллеры домена выполняется двумя независимыми механизмами:
Встроенная система репликации Active Directory управляет репликацией Active Directory. По умолчанию репликация обычно занимает менее одной минуты между контроллерами домена на одном сайте. Этот процесс может быть медленнее, если сеть медленнее, чем локальная сеть.
Репликация распределенной файловой системы (DFSR) управляет репликацией папки SYSVOL. На сайтах репликация выполняется каждые 15 минут. Если контроллеры домена находятся на разных сайтах, процесс репликации выполняется с заданными интервалами на основе топологии сайта и расписания, наименьший интервал составляет 15 минут.
Инициирование обновления групповой политики
При необходимости можно активировать обновление групповой политики вручную следующим образом:
На локальном компьютере введите
gpupdate.exeиз командной строки. Выполнениеgpupdate.exeзапускает обновление политики для компьютера, на котором выполняется команда.Используйте командлет PowerShell
Invoke-GPUpdate. Этот командлет можно использовать для активации обновления локального компьютера или активации обновления удаленного компьютера.Используйте консоль управления групповыми политиками, чтобы активировать обновление групповой политики на уровне подразделения, щелкнув подразделение правой кнопкой мыши и выбрав "Обновить групповую политику".
Оптимизация обработки групповой политики
Чтобы сократить время, необходимое для обработки объекта групповой политики, рассмотрите использование этих шагов.
Если объект групповой политики содержит только параметры конфигурации компьютера или пользовательских параметров, отключите часть параметра политики, которая не применяется. При этой оптимизации целевой компьютер не сканирует те части объекта групповой политики, которые вы отключили, что сокращает время обработки.
Объединение небольших объектов групповой политики для формирования консолидированной групповой политики. Эта оптимизация уменьшает количество объектов групповой политики, применяемых к пользователю или компьютеру. Применение меньшего количества объектов групповой политики к пользователю или компьютеру может сократить время запуска или входа в систему и упростить устранение неполадок в структуре политики.