Zpracovaní Group Policy

Home / Uncategorized / Zpracovaní Group Policy

Existují dva typy zpracování GP:

1. ForeGround Processing – process se děje než je uživatel schopný pracovat s desktopem
   Např. když se uživatel přihlašuje nebo počítač startuje
2. BackGround Processing – probíhá napozadí
   Např. bezpečnostní nastavení, administrativní šablony

BackGround Processing probíhá na member serverech a stanicích každých 90 minut + náhodných 30 minut ( nahodných 30 minut je nastavených z důvodu přetížení serverů. Představte se jak každých 90 minut aktualizuje např. 10 000 strojů 🙂 Na DC se zpracovává GP každých 5 minut. Tyto přednastavené časy se dají změnit.

ForeGround Processing je ve Windows 2000 a Windows 2003 vždy synchroní. Tzn. že nastavení pro počítač se provede před zobrazením přihlašovací obrazovky. A nastavení pro uživatele se provede před zobrazením jeho desktopu. Ve Windows XP je možné použít tkz. asynchroní foreground processing a fast logon optimization. Pokud je zaplý fast logon optimization systém nečeká na inicializaci sítě. Uživatel se může přihlásit pomocí cachovaných údajů. A až když je sít dostupná začne se zpracovávat GPO (Description Fast Logon Optimization feature)

Jak se GPO zpracovává při spouštění počítace:

  1. Počítač najde DC a přihlásí se k němu, stejně jako uživatel. Pro úspešné přihlášení musí být povolené následující porty. UDP 53 (DNS), UDP a TCP 389 (LDAP), TCP 135 (RPC Portmapper), UDP 88 (Kerbedos)
  2. Počítač pomocí ICMP paketů zjistí zda je na pomalé lince (Slow Link Detection)
  3. Pomocí LDAPu zjistí jaké GPO jsou navázany OU, doménu, sít. Z těchto odpovědí si vytvoří seznam všech GPO které jsou na něj aplikovány
  4. Pomocí LDAPu pošle počítač otázku na seznam filtrů na všechny GPO, které našel + si požádá o atributy jako je cesta ke GPT (Group Policy Templates), číslo verze GPC (Group Policy Configuration), gpCMachineExtensionNames a gpCUserExtensionnames attribut.
  5. Počítač pomocí SMB (port TCP 445) se připojí k SYSVOLu a přečte si GPT.INI pro každé GPO které se na něj aplikuje.
  6. Group Policy process začne porovnávat verzi GPO s verzí GPO kterou má lokálně uloženou (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History)
  7. Pokud se verze GPO nezměnila je přeskočena. V GPO se dá nastavit aby se toto nedělo a politiky se aplikovali pokaždé i když nenastala změna. Toto se dá vynutit i přes CMD pomocí příkazu gpupdate /force
  8. CSE (Client Side Extension) zjistí zda má dostatečná práva na všechny GPO, které se mají aplikovat. Pokud ne dané GPO je vyhozeno ze seznamu. Pokud je na GPO nastaveno Enforced (vynucené) je v tomto kroku přeneseno na konec seznamu. Tzn. že nastavení z tohoto GPO vždycky vyhrají pokud nastane nějaký konflikt.
  9. CSE začne zpracovávat jednotlivá GPO
  10. Po každém zpracovaní GPO CSE zalogouje RSoP (Result of Policy) přes WMI do CIMOM database na počítači kde se zpracovájí politiky.
  11. Po přihlášení se celý proces opakuje z nastavením aplikovaných na uživatele

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *