组策略系列(三)组策略应用(处理)过程


了解了组策略的基本概念后,我们对GPMCGPOGPTGPlinkGPID都有了初步的认识,但是大家一定会有个疑问,当客户端应用组策略的时候,是靠一种什么机制去应用组策略的呢?比如不同ou里的计算机,当机器开机的时候,他怎么去识别他所需要应用的组策略的,因为不同的ou有不同的组策略,它怎么样进行识别的?怎么去判断组策略已经修改而需要应用的呢?应用时去哪里能准确地找到这个GPT模板来应用呢?搞清楚这个过程,对于今后的排错是十分有好处的,现在带着这些疑问,我带着大家实际图解解开这个谜团

组策略在处理时过程分为两个部分。
第一部分是组策略基础结构处理过程。在这一阶段,Windows 组策略客户端向其最近的域控制器进行查询以确定 DC 的链接速度是多少、在 Active Directory 层次结构中处于什么位置(即客户端是哪个站点、域和 OU 的成员),以及哪些 GPO 适用于该计算机或当前登录的用,并创建一个GPO列表;
第二部分客户端扩展 (CSE) 处理过程。在 CSE 阶段,各个注册的 CSE 都会对那些已在其区域内实现了设置的 GPO 的列表进行处理。

具体步骤为:
1)慢速链接检测过程,客户端对其站点内的域控制器执行慢速链接检测以确定链接速度,如果计算得出的链接速度低于某个阈值(默认是 500Kb/s),则认为链接过慢,这时,将在注册表标记为慢速连接,那么某些 CSE(例如软件安装文件夹重定向以及“Internet Explorer 维护)将不会运行。如果大于阀值,则在注册表标记为非慢速连接,并将执行所有的组策略内容。


2)客户端从本地注册表中读取CSE状态信息,并读取GPO的版本属性,在下一步将与域控上的GPO版本属性对比是否是最后处理过的,如果域控上的版本数字更大,说明该GPO是更新过的,需要在本地执行。

3)客户端使用LDAP在它于活动目录层次结构中所处的位置搜索容器对象在活动目录中的GPlink属性,然后根据结果,建立一个必须进行处理评估的GPO的列表;


 4)每个 GPO 将评估其版本号、在 SYSVOL GPO 组策略模板”(GPT) 部分的路径以及在该 GPO 中实现了哪些 CSE

5各个 CSE 都按照在 顺序运行并且如果 GPO 自上个处理循环以来曾被更改过在核心处理过程期间确定),则会对实现该 CSE GPO 进行处理。如果修改过(DC上的版本高),则读取相应GPT并应用。

 打开该GPT文件夹可看到相应的GPT模板了

 还有一点需要知道的是,在什么情况下版本号会更改,更改条件为: 

·      应用到用户或计算机的 GPO 列表发生改变(添加或删除了 GPO

·      用户或计算机的安全组成员身份发生改变

·      关联到 GPO WMI 筛选器发生改变(添加或删除了 WMI 筛选器)

如果满足上述任一更改条件,客户端都将在该循环中重新处理策略。

 

组策略系列(一)概览

组策略系列(二)基本概念

组策略系列(三)为您深入解析组策略应用过程

组策略系列(四)进阶学习

组策略系列(五)软件部署

组策略系列(六)工具

组策略系列(七)自定义编写ADM模板

 http://bjyizhang.blog.51cto.com/