Group Policy истории :)

Казвал ли съм Ви, че Иван задава много неудобни ИТ въпроси? 🙂 Ето на – преди няколко дни ме запита следното: “Така и така ако имаш една работна станция в OU1 и й е приложена групова политика за забраняване на настройката на Automatic Updates (т.е. тя е enabled)и после вземеш, че преместиш станцията в OU2, където същата настройка е “Not Configured” какъв ще бъде крайния резултат – ще бъде разрешена, забранена или както е по default? А ако я извадиш от домейна ще се върнат ли настройките по подразбиране все едно не е била в домейна?”. Кратко, точно и ясно. Това са от тоя тип въпроси, дето си в ситуацията”абе виждал съм го, присещам се, абе знам го, чел съм го нявгаш, даже съм бил на изпит едно време за него…ама…баш точно сега не се сещамкак аджеба беше” 🙂

Е, припомних си точно как е и след няколко лабораторни експерименти (няма пострадали животинки 🙂 ) мога да твърдя следното:

Когато компютър се премести от едно OU в друго, като в първото настройката Х е била Enabled/Disabled, а в новото OU е Not Configured, то Windows премахва изцяло ключа от регистрито и действа със стойността си по подразбиране. Това важи ЕДИНСТВЕНО за настройките, които присъстват в стандартните шаблони. Ако сте използвали екзотични настройки от custom .ADM файлове и сте “гравирали” регистрито, спасение няма – трябва да оправяме нещата ръчно 🙂 (Windows има грижата САМО за ключа HKEY_LOCAL_MACHINE\SOFTWARE\Policies)

При Windows XP (в среда на домейн) настройките от резултантните групови политики се записват в HKEY_LOCAL_MACHINE\SOFTWARE\Policies. Това позволява избягване на т.нар. татуиране на регистрито.

Акакво се случва ако извадим работна станция от домейн, в който е имало редица групови политики? Ще остане ли компютърът във вида, в който е бил преди присъединяването му към домейна?

Книгите казват, аи експериментите показват, че всичко, като групова политика, което е приложено от домейна изчезва от HKEY_LOCAL_MACHINE\SOFTWARE\Policies.

Малко известен факт е, че вградените windows компонентивсъщностчетат настройките за груповите политии от две места. В режим WORKGROUP първото обикновенно е някъде в “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\…” . Ако компютърът е член на домейн Windows търси едноименните настройки в HKEY_LOCAL_MACHINE\SOFTWARE\Policies.
В този режим те са предпочитани, независимо от стойностите в “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\…”

Дефакто това обяснява защо ако преди присъединяване към домейна сте настроили някаква групова политика локално, то след присъединяването няма и помен от тези настройки, а важат политиките, наложени от домейна.

И все пак, ако не вярвате че всичко от политиките на домейна ще се изчисти, то просто изтрийте ключа “HKEY_LOCAL_MACHINE\SOFTWARE\Policies“. Ако станцията се присъедини към домейна – този ключ ще се възстановипри първото отразяване на груповите политики. Ако пък не е – Policies няма да е нужен, защото Windows чете настройките от “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\…” 🙂

Разбира се “гравираните” настройки (от custom .ADM файлове) ще останат като записи в регистрито и за тях ще трябва да се погрижите Вие 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *