Mengapa gpedit dan entri registri terkait tidak disinkronkan?
11
Saya menggunakan Windows 10 Pro. Saya perhatikan bahwa ketika saya menerapkan beberapa kebijakan melalui gpedit, entri yang sesuai dibuat di registri. Jika saya membatalkan, entri juga dihapus dari registri.
Jadi saya berharap untuk bekerja sebaliknya juga, tetapi jika saya secara manual mengatur kebijakan yang sama melalui registri, entri gpedit yang sesuai masih ditampilkan sebagai "tidak dikonfigurasi".
Apakah saya melewatkan sesuatu? Apakah kebijakan gpedit lebih dari sekadar entri registri? jadi ... di mana mereka disimpan?
Karena perubahan yang Anda buat di editor kebijakan grup memengaruhi apa yang Anda lihat di registri, sangat logis untuk mengasumsikan bahwa kebalikannya juga benar. Namun, tidak berfungsi seperti itu.
Pengaturan kebijakan grup lokal (yang menurut saya merujuk pada pos Anda) disimpan dalam registry.polfile yang berlokasi di C:\Windows\system32\GroupPolicy. File-file ini menimpa kunci yang sesuai dalam registri setiap kali sistem melakukan refresh kebijakan grup. Editor tidak pernah benar-benar membaca registri untuk melihat pengaturan apa yang dikandungnya.
Penyegaran kebijakan grup dipicu setiap kali salah satu peristiwa berikut terjadi:
Pada interval penyegaran terjadwal secara teratur (setiap 90 menit secara default)
Logon pengguna atau peristiwa logoff (hanya kebijakan pengguna)
Reboot komputer (hanya kebijakan komputer)
Penyegaran yang dipicu secara manual via gpupdate
Perintah refresh kebijakan yang dikeluarkan oleh admin dari pengontrol domain (jika komputer bergabung dengan domain).
Penting untuk diingat bahwa jika komputer bergabung dengan domain, kebijakan domain akan diterapkan setelah file kebijakan grup lokal diproses (artinya beberapa pengaturan mungkin ditimpa oleh kebijakan domain). Anda tidak akan dapat melihat kebijakan domain di editor kebijakan grup lokal.
Ikhtisar bagus (+1). Saya hanya menambahkan bahwa gpupdate /forcekadang-kadang dapat bekerja lebih andal.
dxiv
3
@dxiv; Itu terjadi karena sistem cache kebijakan dan mencoba menerapkan hanya pengaturan yang telah berubah sejak terakhir kali refresh dilakukan. / force membuatnya menerapkan kembali semua pengaturan. Tampaknya lebih dapat diandalkan karena Anda biasanya hanya melakukan gpupdate ketika Anda memiliki masalah, dan masalah itu biasanya karena cache buruk :-)
Wes Sayeed
9
Ini berfungsi seperti ini karena tiga alasan:
Kebijakan Grup dirancang dengan "mendorong" dari pengontrol domain direktori aktif dalam pikiran. Mesin tidak dimaksudkan untuk mengontrol kebijakan kembali ke pengontrol domain.
Gagasan tentang kebijakan dan Direktori Aktif dikembangkan pada saat koneksi dial-up sangat umum dan broadband tidak. Untuk perubahan registri untuk mencerminkan kembali ke pengontrol domain dalam situasi ini mungkin akan mengkonsumsi banyak bandwidth yang sangat terbatas, dan situasi di mana sistem hanya akan sesekali berbicara dengan pengontrol domain melalui sesi dial-up di sini dan di sana tidak pernah terdengar di NT4 hari saya percaya.
Anda mungkin memperhatikan banyak kebijakan memiliki pengaturan "Tidak Dikonfigurasi", "Diaktifkan", atau "Dinonaktifkan." Kebijakan Grup memiliki pengaturan "Tidak Dikonfigurasi" untuk memungkinkan pengaturan lokal tetap tidak tersentuh oleh kebijakan. Ini secara khusus berarti Anda, aplikasi, atau administrator lokal dapat memodifikasi entri registri yang relevan dan kebijakan tidak akan mengubahnya. Anda mungkin tidak ingin mengontrol setiap aspek sistem melalui kebijakan.
Jadi registri lokal dan kebijakan grup tidak disinkronkan dari mesin-> AD oleh desain. Kebijakan grup lokal gpedit.mscberfungsi dengan cara yang sama meskipun tidak disinkronkan ke pengontrol domain apa pun.
Saya pikir poin kedua Anda, meskipun secara teknis benar, adalah impor minimal. Domain AD dan Windows secara umum tidak pernah dimaksudkan untuk digunakan melalui saluran dialup, hanya LAN. Poin Anda yang lain sangat tepat.
Jamie Hanrahan
Saya hanya ingat bahwa Anda dapat atau dapat menetapkan "SMTP" sebagai protokol di suatu tempat untuk sinkronisasi AD ...
LawrenceC
SMTP? Protokol Transfer Surat Sederhana ? Itu lapisan transport surat, tidak ada hubungannya dengan dialup vs LAN. itu mungkin sesuatu yang lain. SLIP atau PPP, mungkin?
Tapi itu tidak menentukan dialup, hanya protokol lapisan aplikasi yang digunakan atas apa pun yang menyediakan konektivitas IP Anda. "Protokol replikasi yang digunakan oleh replikasi Direktori Aktif melalui transportasi IP" - lihat, itu bukan penyedia IP sendiri. Untuk koneksi dialup yang akan PPP atau SLIP.
gpupdate /force
kadang-kadang dapat bekerja lebih andal.Ini berfungsi seperti ini karena tiga alasan:
Kebijakan Grup dirancang dengan "mendorong" dari pengontrol domain direktori aktif dalam pikiran. Mesin tidak dimaksudkan untuk mengontrol kebijakan kembali ke pengontrol domain.
Gagasan tentang kebijakan dan Direktori Aktif dikembangkan pada saat koneksi dial-up sangat umum dan broadband tidak. Untuk perubahan registri untuk mencerminkan kembali ke pengontrol domain dalam situasi ini mungkin akan mengkonsumsi banyak bandwidth yang sangat terbatas, dan situasi di mana sistem hanya akan sesekali berbicara dengan pengontrol domain melalui sesi dial-up di sini dan di sana tidak pernah terdengar di NT4 hari saya percaya.
Anda mungkin memperhatikan banyak kebijakan memiliki pengaturan "Tidak Dikonfigurasi", "Diaktifkan", atau "Dinonaktifkan." Kebijakan Grup memiliki pengaturan "Tidak Dikonfigurasi" untuk memungkinkan pengaturan lokal tetap tidak tersentuh oleh kebijakan. Ini secara khusus berarti Anda, aplikasi, atau administrator lokal dapat memodifikasi entri registri yang relevan dan kebijakan tidak akan mengubahnya. Anda mungkin tidak ingin mengontrol setiap aspek sistem melalui kebijakan.
Jadi registri lokal dan kebijakan grup tidak disinkronkan dari mesin-> AD oleh desain. Kebijakan grup lokal
gpedit.msc
berfungsi dengan cara yang sama meskipun tidak disinkronkan ke pengontrol domain apa pun.sumber