Поделиться через


Обработка групповой политики

По умолчанию групповая политика наследуется и накапливается, и она влияет на все компьютеры и пользователей в контейнере Active Directory (AD) и его дочерних элементах. Параметры политики, связанные с компьютером, переопределяют параметры политики, связанные с пользователем.

Объекты групповой политики обрабатываются в следующем порядке:

  1. Применяется локальный объект групповой политики.
  2. Применяются объекты групповой политики, связанные с сайтами.
  3. Применяются объекты групповой политики, связанные с доменами.
  4. Применяются объекты групповой политики, связанные с подразделениями (ПОДРАЗДЕЛЕНИЯ). В вложенной структуре организационных подразделений, объекты групповой политики, связанные с родительскими организационными подразделениями, применяются сначала, а затем объекты групповой политики, связанные с дочерними организационными подразделениями.

Подсказка

Последовательность обработки групповой политики имеет решающее значение, так как каждое последующее приложение политики может переопределить параметры, применяемые предыдущими политиками.

Метод наследования по умолчанию заключается в оценке групповой политики, начиная с самого высокого родительского контейнера AD. Контейнер AD, ближайший к компьютеру или пользователю, переопределяет групповую политику в контейнере AD более высокого уровня. Наследование игнорируется, когда для этой ссылки объекта групповой политики (GPO) установлен принудительный параметр или когда применяется параметр блокировки наследования. Локальная групповая политика обрабатывается раньше доменных политик. Параметры политики из объектов групповой политики, связанных с контейнерами Active Directory, переопределяют параметры локальной политики.

Вы можете связать более одного объекта групповой политики с контейнером Active Directory. Ссылка на объект групповой политики, имеющая самый низкий порядок в списке ссылок объектов групповой политики, имеет приоритет по умолчанию.

Как работает обработка групповой политики

Групповая политика для параметров компьютера применяется при запуске компьютера. Групповая политика применяется при входе для пользователей. Эта начальная обработка политики также может называться приложением политики переднего плана.

Обработка групповой политики на переднем плане может быть синхронной или асинхронной. В синхронном режиме компьютер не завершает запуск системы до тех пор, пока политика компьютера не будет применена успешно. Процесс входа пользователя не завершается до тех пор, пока политика пользователя не будет применена успешно. В асинхронном режиме, если нет изменений политики, требующих синхронной обработки, компьютер может завершить начальную последовательность до завершения применения политики компьютера. Рабочий стол также может быть доступен пользователю, прежде чем приложение политики пользователя будет завершено в асинхронном режиме. Затем система периодически применяет (обновляет) групповую политику в фоновом режиме. Во время обновления параметры политики применяются асинхронно.

Все действия по обработке политик должны выполняться в течение 60 минут. Нет способа изменить этот период времени ожидания.

После первоначальной обработки групповой политики (также называемого приложением политики переднего плана), система периодически применяет (обновляет) групповую политику в фоновом режиме. Во время обновления параметры политики применяются асинхронно.

По умолчанию обновление выполняется каждые 90 минут. Система может добавить случайное время до 30 минут в интервал обновления. Эти значения по умолчанию можно изменить с помощью параметра групповой политики в расширении административных шаблонов на групповую политику. Установка значения на ноль минут приводит к тому, что скорость обновления устанавливается на семь секунд. Во время фонового обновления обрабатываются не все расширения групповой политики. Например, обработка перенаправления папок происходит только в том случае, если пользователь входит в систему. Кроме того, обработка политики установки программного обеспечения происходит только при запуске компьютера и при входе пользователя.

Несмотря на то что система обрабатывает расширения скриптов для групповой политики во время фонового обновления, отдельные скрипты выполняются только при запуске и завершении работы компьютера, а также при входе и выходе пользователя из системы.

При обновлении политики по умолчанию расширение на стороне клиента применяет параметры политики только в том случае, если он обнаруживает изменение одного из своих объектов групповой политики или его списка объектов групповой политики. Это поведение связано с причинами производительности.

Принудительные объекты групповой политики

Определите, есть ли какие-либо параметры политики, которые всегда должны быть применены для определенных групп пользователей или компьютеров. Создайте объекты групповой политики, содержащие эти параметры политики, свяжите их с соответствующим сайтом, доменом или подразделением и обозначьте их как принудительные. Задав этот параметр, вы применяете политики GPO более высокого уровня, предотвращая их переопределение объектами GPO в контейнерах AD нижнего уровня. Например, если вы определяете конкретный объект групповой политики на уровне домена и задаете принудительный параметр, политики, содержащиеся в объекте групповой политики, применяются ко всем подразделениям в этом домене. Объекты групповой политики, связанные с подразделениями нижнего уровня, не могут переопределить принудительную групповую политику домена. Если несколько объектов групповой политики связаны с одним сайтом, доменом или подразделением и установлен параметр принудительного применения, то ссылка с самым высоким приоритетом для объектов групповой политики, установленная для принудительного применения, имеет приоритет.

Блокирование наследования

В консоли управления групповыми политиками (GPMC) блокировка наследования — это функция, влияющая на порядок обработки групповых политик. Каждый домен и подразделение в AD имеют атрибут GPOptions , который можно настроить для блокировки наследования. Это предотвращает влияние параметров политики, применяемых на локальном уровне, уровне сайта, домена и более высоких уровнях организационных единиц, на компьютеры или пользователей внутри этой организационной единицы. Однако при заблокированном наследовании большинство параметров не применяется к организации, это не влияет на параметры, применяемые через объекты групповой политики с установленным параметром. "Принудительный параметр ссылки имеет приоритет над наследованием параметра блокировки, который является свойством контейнера."

Параметры политики, связанные с доменом, обычно применяются ко всем компьютерам и пользователям в домене независимо от родительского подразделения. С помощью GPMC можно заблокировать наследование в домене или подразделении, чтобы остановить применение обычных параметров групповой политики. Блокировка наследования на уровне домена останавливает применение настроек из объектов групповой политики, связанных с сайтом AD, к домену, в то время как блокировка на уровне Организационной единицы (OU) предотвращает применение настроек из объектов групповой политики, связанных с сайтами и доменами, к этим OU.

Помимо блокировки наследования:

  • Сам объект групповой политики может быть полностью отключен
  • Объект групповой политики может отключить параметры компьютера.
  • Объект групповой политики может отключить параметры пользователя
  • Объект групповой политики может иметь все его параметры отключены

Расширения политики группы на стороне клиента

Расширения предпочтений групповой политики имеют собственные уникальные методы обработки. В рамках одного объекта групповой политики можно настроить один или несколько элементов для определенного расширения предпочтений групповой политики для обработки. Например, один объект групповой политики может содержать несколько элементов настроек карты дисков.

Во время обработки групповой политики система проходит цикл через ряд расширений. Для каждого расширения предоставляется важная информация, включая список объектов групповой политики с изменениями и объектов групповой политики, которые больше не применимы к пользователю или компьютеру. Инфраструктура также предоставляет общие сведения о контексте, например, считается ли сетевое подключение медленным. Расширение предпочтения групповой политики использует сведения об измененных и устаревших объектах групповой политики для обработки его параметров.

Клиентские расширения обрабатывают элементы предпочтения последовательно, начиная с верхней части списка. Результат обработки каждого элемента предпочтения зависит от его настроенного действия, а таргетинг на уровне элемента может препятствовать применению элемента. Расширение обрабатывает каждый элемент до тех пор, пока он не завершит список или не остановится из-за параметров конфигурации, таких как остановка обработки элементов в этом расширении, если ошибка возникает в этом элементе или применить один раз и не применяйте повторно. После обработки всех элементов предпочтения управление возвращается в службу групповой политики.

Фильтрация групповой политики

Вы можете фильтровать применение объекта групповой политики с помощью фильтров безопасности или фильтров инструментария управления Windows (WMI).

Фильтрация безопасности позволяет уточнить, какие пользователи и компьютеры получают и применяют параметры политики в объекте групповой политики. Фильтрация групп безопасности определяет, применяется ли объект групповой политики к группам, пользователям или компьютерам. Фильтрация групп безопасности не может использоваться выборочно для различных параметров политики в объекте групповой политики.

WMI позволяет использовать WMI-запрос для фильтрации применения групповой политики. При использовании фильтрации WMI объект групповой политики применяется к объектам безопасности, которые соответствуют условиям запроса WMI. Каждый объект групповой политики может быть связан с одним фильтром WMI; однако один и тот же фильтр WMI может быть связан с несколькими групповыми политиками. Прежде чем связать фильтр WMI с объектом групповой политики, необходимо создать фильтр. Фильтр WMI оценивается на целевом компьютере во время обработки групповых политик. Объект групповой политики применяется только в том случае, если фильтр WMI оценивается как true.

Режим обработки обратного цикла

Режим обратной обработки применяет параметры конфигурации пользователей из объектов групповой политики, назначенные компьютеру, независимо от того, кто вошел в систему. Обработка обратного цикла либо объединит, либо заменит параметры пользователя из объектов групповой политики, назначенных пользователю. Этот параметр политики подходит в определенных тесно управляемых средах с специальными компьютерами, такими как аудитории, общедоступные киоски и зоны приема.

Например, этот параметр политики можно включить на определенном сервере для настройки параметров пользователя на основе используемого компьютера. Если включить параметр политики режима обработки возврата, система применяет пользовательские параметры политики на основе конфигурации компьютера, независимо от того, кто входит в систему. Это гарантирует согласованность параметров политики пользователей для всех пользователей на компьютере, как определено компьютерными GPO.

Включив параметр политики обратной обработки в объекте групповой политики, можно настроить параметры политики пользователя, используя компьютер, в который они вошли. Без обратной обработки групповые политики (GPO), применяемые к объекту компьютера, будут применять только параметры конфигурации компьютера. Объекты групповой политики, применяемые к пользователям, будут обрабатывать только параметры настройки пользователей. Если включить параметр политики режима обработки цикла, необходимо убедиться, что параметры конфигурации компьютера и конфигурации пользователя в объекте групповой политики включены. Эти параметры политики применяются независимо от того, какие пользователи входят в систему.

Вы можете настроить параметр политики, используя GPMC для редактирования GPO и включения параметра политики обработки в режиме обратной связи для групповой политики пользователя в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика. Доступны следующие два параметра.

  • Режим слияния. В этом режиме список объектов групповой политики для пользователя собирается во время входа. Затем происходит сбор списка объектов групповой политики для компьютера. Затем список объектов групповой политики для компьютера добавляется в конец списка объектов групповой политики для пользователя. В результате объекты групповой политики компьютера имеют более высокий приоритет, чем объекты групповой политики пользователя. Если параметры политики конфликтуют, параметры политики пользователей в GPOS компьютера применяются, а не обычные параметры политики пользователя.

  • Режим замены: в данном режиме список объектов групповой политики для пользователя не собирается. Вместо этого используется только список GPO, основанных на объекте компьютера. Параметры конфигурации пользователей из этого списка применяются к пользователю.

Обновление групповой политики

Основными механизмами обновления групповой политики являются запуск и вход. Групповая политика также регулярно обновляется в других интервалах. Интервал обновления политики влияет на то, как быстро применяются изменения для объектов групповой политики. По умолчанию клиенты и серверы проверяют изменения групповых политик с интервалом каждые 90 минут с случайным смещением до 30 минут. Изменения параметров групповой политики могут быть не сразу доступны на рабочих столах пользователей, так как изменения в объекте групповой политики должны сначала реплицироваться на соответствующий контроллер домена.

Контроллеры домена проверяют изменения политики компьютера каждые пять минут. Эту частоту опроса можно изменить с помощью одного из этих параметров политики, интервала обновления групповой политики для компьютеров, интервал обновления групповой политики для контроллеров домена или интервал обновления групповой политики для пользователей. Сокращение частоты между обновлениями не рекомендуется из-за потенциального увеличения сетевого трафика и большей нагрузки на контроллеры домена.

Компоненты групповой политики хранятся как в AD, так и в папке SYSVOL контроллеров домена. Репликация объекта групповой политики на другие контроллеры домена выполняется двумя независимыми механизмами:

  • Встроенная система репликации управляет репликацией AD. По умолчанию репликация обычно занимает менее одной минуты между контроллерами домена на одном сайте. Этот процесс может быть медленнее, если сеть медленнее, чем локальная сеть.

  • Репликация распределенной файловой системы (DFSR) управляет репликацией папки SYSVOL. На сайтах репликация выполняется каждые 15 минут. Если контроллеры домена находятся на разных сайтах, процесс репликации выполняется с заданными интервалами на основе топологии сайта и расписания, наименьший интервал составляет 15 минут.

Инициирование обновления групповой политики

При необходимости можно активировать обновление групповой политики вручную следующим образом:

  • На локальном компьютере введите gpupdate.exe из командной строки. Выполнение gpupdate.exe запускает обновление политики для компьютера, на котором выполняется команда.

  • Используйте командлет PowerShell Invoke-GPUpdate. Этот командлет можно использовать для активации обновления локального компьютера или активации обновления удаленного компьютера.

  • Используйте GPMC для инициирования обновления политик группы на уровне организационной единицы, щелкнув правой кнопкой мыши на ОЕ и выбрав "Обновление политик группы".

Оптимизация обработки групповой политики

Чтобы сократить время, необходимое для обработки объекта групповой политики, рассмотрите использование этих шагов.

  • Если объект групповой политики содержит только параметры конфигурации компьютера или пользовательских параметров, отключите часть параметра политики, которая не применяется. При этой оптимизации целевой компьютер не сканирует те части объекта групповой политики, которые вы отключили, что сокращает время обработки.

  • Объединение небольших объектов групповой политики для формирования консолидированной групповой политики. Эта оптимизация уменьшает количество объектов групповой политики, применяемых к пользователю или компьютеру. Применение меньшего количества объектов групповой политики к пользователю или компьютеру может сократить время запуска или входа в систему и упростить устранение неполадок в структуре политики.