Warum werden gpedit und die entsprechenden Registry-Einträge nicht synchronisiert?

1870
Dr. Gianluigi Zane Zanettini

Ich bin unter Windows 10 Pro. Mir ist aufgefallen, dass bei der Anwendung einiger Richtlinien über gpedit die entsprechenden Einträge in der Registrierung erstellt werden. Wenn ich rückgängig mache, werden die Einträge ebenfalls aus der Registrierung entfernt.

Ich habe also erwartet, dass es auch anders herum funktioniert, aber wenn ich die gleiche Richtlinie manuell über die Registrierung einstelle, werden die entsprechenden gpedit-Einträge immer noch als "nicht konfiguriert" angezeigt.

Fehlt mir etwas? Ist die gpedit-Richtlinie etwas mehr als ein Registrierungseintrag? also ... wo sind sie gespeichert?

8

2 Antworten auf die Frage

9
LawrenceC

Das funktioniert aus drei Gründen so:

  • Gruppenrichtlinien sind so konzipiert, dass von einem Active Directory-Domänencontroller aus "Pushing" ausgeführt wird. Maschinen sind nicht dazu gedacht, die Richtlinien zurück an den Domänencontroller zu steuern.

  • Der Begriff "Richtlinien" und "Active Directory" wurde in einer Zeit entwickelt, in der DFÜ-Verbindungen sehr verbreitet waren und Breitband nicht. Wenn Registrierungsänderungen auf einen Domänencontroller zurückgespiegelt werden, würde dies in dieser Situation wahrscheinlich sehr viel Bandbreite beanspruchen, und in Situationen, in denen Systeme nur gelegentlich über DFÜ-Sitzungen mit einem Domänencontroller kommunizieren und dies nicht ungewöhnlich war NT4 Tage glaube ich.

  • Sie haben wahrscheinlich bemerkt, dass viele der Richtlinien eine Einstellung "Nicht konfiguriert", "Aktiviert" oder "Deaktiviert" haben. Gruppenrichtlinien verfügen über die Einstellung "Nicht konfiguriert", damit die lokale Einstellung von der Richtlinie nicht berührt werden kann. Dies bedeutet insbesondere, dass Sie, eine Anwendung oder ein lokaler Administrator die entsprechenden Registrierungseinträge ändern können. Eine Richtlinie ändert diese jedoch nicht. Möglicherweise möchten Sie nicht jeden Aspekt des Systems durch Richtlinien steuern.

Daher werden die lokale Registrierung und eine Gruppenrichtlinie nicht von Computer-> AD von Design aus synchronisiert. Die lokale Gruppenrichtlinie gpedit.mscfunktioniert auf dieselbe Weise, auch wenn sie nicht mit einem Domänencontroller synchronisiert wird.

Ich denke, Ihr zweiter Punkt ist, obwohl er technisch korrekt ist, von minimaler Bedeutung. AD- und Windows-Domänen waren im Allgemeinen niemals für die Verwendung über Wählverbindungen gedacht, sondern nur für LANs. Ihre anderen Punkte sind jedoch genau richtig. Jamie Hanrahan vor 7 Jahren 2
Ich erinnere mich nur daran, dass Sie "SMTP" als Protokoll irgendwo für die AD-Synchronisierung angeben können oder könnten ... LawrenceC vor 7 Jahren 0
SMTP? Simple Mail Transfer Protocol? Das ist eine Mail-Transportschicht, sie hat nichts mit Dialup vs LAN zu tun. es war wahrscheinlich etwas anderes. SLIP oder PPP vielleicht? Jamie Hanrahan vor 7 Jahren 0
Das ist, worauf ich mich bezog: https://technet.microsoft.com/en-us/library/cc961766.aspx LawrenceC vor 7 Jahren 1
Dies legt jedoch keine Einwählverbindung fest, sondern lediglich ein Protokoll auf Anwendungsebene, das für alle IP-Konnektivität verwendet wird. "Replikationsprotokoll, das von der Active Directory-Replikation über IP-Transport verwendet wird" - siehe, es ist kein eigener IP-Anbieter. Für eine Wählverbindung wäre dies PPP oder SLIP. Jamie Hanrahan vor 7 Jahren 0
9
Wes Sayeed

Da die Änderungen, die Sie im Gruppenrichtlinien-Editor vornehmen, sich auf das, was Sie in der Registrierung sehen, auswirken, ist es absolut logisch anzunehmen, dass das Gegenteil auch der Fall ist. Es funktioniert jedoch nicht so.

Lokale Gruppenrichtlinieneinstellungen (auf die Sie sich meines Erachtens in Ihrem Beitrag beziehen) sind in registry.polDateien gespeichert, in denen Sie sich befinden C:\Windows\system32\GroupPolicy. Diese Dateien überschreiben die entsprechenden Schlüssel in der Registrierung jedes Mal, wenn das System eine Gruppenrichtlinienaktualisierung durchführt. Der Editor liest die Registrierung nie, um zu sehen, welche Einstellungen darin enthalten sind.

Eine Gruppenrichtlinienaktualisierung wird ausgelöst, wenn eines der folgenden Ereignisse eintritt:

  • Zu einem regelmäßig geplanten Aktualisierungsintervall (standardmäßig alle 90 Minuten)
  • Ein Benutzeranmelde- oder Abmeldeereignis (nur Benutzerrichtlinie)
  • Ein Neustart des Computers (nur Computerrichtlinie)
  • Eine manuell ausgelöste Aktualisierung via gpupdate
  • Ein Richtlinienaktualisierungsbefehl, der von einem Administrator vom Domänencontroller ausgegeben wird (wenn der Computer der Domäne angehört).

Es ist wichtig zu wissen, dass, wenn der Computer einer Domäne angehört, Domänenrichtlinien angewendet werden, nachdem die lokalen Gruppenrichtliniendateien verarbeitet wurden (was bedeutet, dass einige Einstellungen durch Domänenrichtlinien überschrieben werden). Im lokalen Gruppenrichtlinien-Editor können keine Domänenrichtlinien angezeigt werden.

Nizza heruntergekommen (+1). Ich würde nur hinzufügen, dass "gpupdate / force" manchmal zuverlässiger arbeitet. dxiv vor 7 Jahren 0
@dxiv; Dies geschieht, weil das System die Richtlinie zwischenspeichert und versucht, nur die Einstellungen anzuwenden, die seit der letzten Aktualisierung geändert wurden. / force bewirkt, dass alle Einstellungen erneut angewendet werden. Es scheint zuverlässiger zu sein, da Sie normalerweise nur ein gpupdate durchführen, wenn Sie ein Problem haben. Dieses Problem liegt normalerweise daran, dass der Cache schlecht ist :-) Wes Sayeed vor 7 Jahren 3

Verwandte Probleme