Я на Windows 10 Pro. Я заметил, что когда я применяю некоторые политики через gpedit, соответствующие записи создаются в реестре. Если я отменю, записи также будут удалены из реестра.
Поэтому я ожидал, что это будет работать и наоборот, но если я вручную установлю ту же политику через реестр, соответствующие записи gpedit по-прежнему будут отображаться как "не настроено".
Я что-то пропустил? политика gpedit - это нечто большее, чем запись в реестре? так ... где они хранятся?
Поскольку изменения, которые вы вносите в редактор групповой политики, влияют на то, что вы видите в реестре, вполне логично предположить, что обратное также верно. Тем не менее, это не работает таким образом.
Параметры локальной групповой политики (о чем я думаю, вы упоминаете в своем посте) хранятся в файлах registry.pol расположенных в C:\Windows\system32\GroupPolicy . Эти файлы перезаписывают соответствующие ключи в реестре каждый раз, когда система выполняет обновление групповой политики. Редактор фактически никогда не читает реестр, чтобы увидеть, какие настройки он содержит.
Обновление групповой политики запускается всякий раз, когда происходит одно из следующих событий:
gpupdateВажно помнить, что если компьютер присоединен к домену, политики домена будут применяться после обработки файлов локальной групповой политики (это означает, что некоторые параметры могут быть перезаписаны политикой домена). Вы не сможете видеть политики домена в редакторе локальной групповой политики.
Это работает так по трем причинам:
Групповая политика разработана с учетом "выталкивания" из контроллера домена Active Directory. Машины не предназначены для управления политикой обратно на контроллер домена.
Понятие политик и Active Directory было разработано в то время, когда коммутируемые соединения были очень распространены, а широкополосные - нет. Чтобы изменения в реестре для зеркального отражения на контроллере домена в этой ситуации, вероятно, потребляли бы очень ограниченную полосу пропускания, и в ситуациях, когда системы только изредка общались с контроллером домена через сеансы удаленного доступа здесь, и не было ничего неслыханного в NT4 дней я верю.
Вы, вероятно, заметили, что многие политики имеют параметр "Не настроен", "Включен" или "Отключен". Групповая политика имеет параметр "Не настроен", чтобы локальный параметр не затрагивался политикой. В частности, это означает, что вы, приложение или локальный администратор можете изменить соответствующие записи реестра, а политика не изменит их. Возможно, вы не захотите контролировать каждый аспект системы с помощью политики.
Таким образом, локальный реестр и групповая политика не синхронизируются с машиной-> AD по замыслу. Локальная групповая политика в gpedit.msc работает так же, даже если она не синхронизируется ни с одним контроллером домена.