Обработка циклов групповой политики

В этой статье помогают решить проблему применения функции циклов групповой политики при в записи пользователя на компьютер в определенном организационном подразделении.

Применяется к:   Windows Server 2012 R2
Исходный номер КБ:   231287

Сводка

Group Policy применяется к пользователю или компьютеру таким образом, что зависит от того, где и пользователь, и объекты компьютера находятся в Active Directory. В некоторых случаях пользователям может потребоваться применить к ним политику, основанную только на расположении объекта компьютера. Функцию циклов групповой политики можно использовать для применения объектов групповой политики (GPOs), которые зависят только от того, на какой компьютер войдет пользователь.

Дополнительная информация

Чтобы настроить конфигурацию пользователя на компьютер, выполните следующие действия:

  1. В консоли управления групповой политикой Microsoft (MMC) выберите конфигурацию компьютера.
  2. Найдите административные шаблоны, выберите System, выберите групповую политику, а затем вйдите в параметр Loopback Policy.

Эта политика направляет систему применять набор GPOs для компьютера к любому пользователю, который входит на компьютер, затронутый этой политикой. Эта политика предназначена для компьютеров специального использования, на которых необходимо изменить политику пользователя на основе используемого компьютера. Например, компьютеры в общественных местах, в лабораториях и в классах.

Примечание

Loopback поддерживается только в среде Active Directory. Учетная запись компьютера и учетная запись пользователя должны быть в Active Directory. Если контроллер домена microsoft Windows NT 4.0 управляет любой учетной записью, циклбэк не функционирует. Клиентский компьютер должен быть запущен одной из следующих операционных систем:

  • Windows XP Professional
  • Windows 2000 Professional
  • Windows 2000 Server
  • Windows 2000 Advanced Server
  • Windows Server 2003

При работе с рабочими станциями пользователям может потребоваться применить параметры групповой политики в зависимости от расположения объекта пользователя. Поэтому мы рекомендуем настроить параметры политики на основе организационного подразделения, в котором находится учетная запись пользователя. Если объект компьютера находится в определенном организационном подразделении, параметры политики пользователя должны применяться в зависимости от расположения объекта компьютера, а не объекта пользователя.

Примечание

Нельзя фильтровать параметры пользователя, которые применяются путем отказа или удаления прав AGP и Read с объекта компьютера, указанного для политики loopback.

Обычная обработка групповой политики пользователей указывает, что компьютеры, расположенные в их организационном подразделении, имеют GPOs, применяемые в порядке во время запуска компьютера. Пользователи в своем организационном подразделении имеют GPOs, применяемые в порядке во время logon, независимо от того, на какой компьютер они войдите.

В некоторых случаях этот порядок обработки может оказаться не подходящим. Например, если вы не хотите, чтобы приложения, которые были назначены или опубликованы пользователям в их организационном подразделении, устанавливались при входе пользователя на компьютер в определенном организационном подразделении. С помощью функции поддержки циклов групповой политики можно указать два других способа получения списка GPOs для любого пользователя компьютеров в этом конкретном организационном подразделении:

  • Режим слияния

    В этом режиме при входе пользователя список GPOs пользователя обычно собирается с помощью функции GetGPOList. Затем функция GetGPOList снова вызвана с помощью расположения компьютера в Active Directory. Затем список GPOs для компьютера добавляется в конец GPOs для пользователя. Это приводит к более высокому приоритету для GPOs компьютера, чем КПД пользователя. В этом примере список GPOs для компьютера добавляется в список пользователя.

  • Замените режим

    В этом режиме список пользовательских GPOs не собирается. Используется только список GPOs, основанный на объекте компьютера.