組策略系列(三)組策略應用(處理)過程
瞭解了組策略的基本概念後,我們對GPMC、GPO、GPT、GPlink、GPID都有了初步的認識,但是大家一定會有個疑問,當客戶端應用組策略的時候,是靠一種什麼機制去應用組策略的呢?比如不同ou裏的計算機,當機器開機的時候,他怎麼去識別他所需要應用的組策略的,因爲不同的ou有不同的組策略,它怎麼樣進行識別的?怎麼去判斷組策略已經修改而需要應用的呢?應用時去哪裏能準確地找到這個GPT模板來應用呢?搞清楚這個過程,對於今後的排錯是十分有好處的,現在帶着這些疑問,我帶着大家實際圖解解開這個“謎團”
組策略在處理時過程分爲兩個部分。
第一部分是組策略基礎結構處理過程。在這一階段,Windows 組策略客戶端向其最近的域控制器進行查詢以確定 DC 的鏈接速度是多少、在 Active Directory 層次結構中處於什麼位置(即客戶端是哪個站點、域和 OU 的成員),以及哪些 GPO 適用於該計算機或當前登錄的用,並創建一個GPO列表;
第二部分客戶端擴展 (CSE) 處理過程。在 CSE 階段,各個註冊的 CSE 都會對那些已在其區域內實現了設置的 GPO 的列表進行處理。
具體步驟爲:
1)慢速鏈接檢測過程,客戶端對其站點內的域控制器執行慢速鏈接檢測以確定鏈接速度,如果計算得出的鏈接速度低於某個閾值(默認是 500Kb/s),則認爲鏈接過慢,這時,將在註冊表標記爲慢速連接,那麼某些 CSE(例如“軟件安裝”、“文件夾重定向”以及“Internet Explorer 維護”)將不會運行。如果大於閥值,則在註冊表標記爲非慢速連接,並將執行所有的組策略內容。
2)客戶端從本地註冊表中讀取CSE狀態信息,並讀取GPO的版本屬性,在下一步將與域控上的GPO版本屬性對比是否是最後處理過的,如果域控上的版本數字更大,說明該GPO是更新過的,需要在本地執行。
3)客戶端使用LDAP在它於活動目錄層次結構中所處的位置搜索容器對象在活動目錄中的GPlink屬性,然後根據結果,建立一個必須進行處理評估的GPO的列表;
4)每個 GPO 將評估其版本號、在 SYSVOL 中 GPO 的“組策略模板”(GPT) 部分的路徑以及在該 GPO 中實現了哪些 CSE。
5)各個 CSE 都按照在 順序運行,並且如果 GPO 自上個處理循環以來曾被更改過(在覈心處理過程期間確定),則會對實現該 CSE 的 GPO 進行處理。如果修改過(DC上的版本高),則讀取相應GPT並應用。
打開該GPT文件夾可看到相應的GPT模板了
還有一點需要知道的是,在什麼情況下版本號會更改,更改條件爲:
· 應用到用戶或計算機的 GPO 列表發生改變(添加或刪除了 GPO)
· 用戶或計算機的安全組成員身份發生改變
· 關聯到 GPO 的 WMI 篩選器發生改變(添加或刪除了 WMI 篩選器)
如果滿足上述任一更改條件,客戶端都將在該循環中重新處理策略。
組策略系列(一)概覽
組策略系列(二)基本概念
組策略系列(三)爲您深入解析組策略應用過程
組策略系列(四)進階學習
組策略系列(五)軟件部署
組策略系列(六)工具
組策略系列(七)自定義編寫ADM模板