Por que gpedit e as entradas de registro correspondentes não estão sincronizadas?

Navegue suas respostas
7

Estou no Windows 10 Pro. Percebi que quando eu aplico algumas políticas via gpedit, as entradas correspondentes são criadas no registro. Se eu desfizer, as entradas também serão removidas do registro.

Então eu esperava que funcionasse ao contrário também, mas se eu definir manualmente a mesma política via registro, as entradas de gpedit correspondentes ainda serão mostradas como "não configuradas".

Estou faltando alguma coisa? é a política do gpedit algo mais do que uma entrada de registro? então ... onde eles estão armazenados?

    
por Dr. Gianluigi Zane Zanettini 26.03.2017 / 00:25

2 respostas

9

Como as alterações feitas no editor de política de grupo afetam o que você vê no registro, é perfeitamente lógico supor que o inverso também seja verdadeiro. No entanto, não funciona assim.

As configurações de política de grupo

Local (que é o que eu acredito que você esteja se referindo em sua postagem) são armazenadas em registry.pol arquivos localizados em C:\Windows\system32\GroupPolicy . Esses arquivos sobrescrevem as chaves correspondentes no registro sempre que o sistema executa uma atualização da política de grupo. O editor nunca lê o registro para ver quais configurações ele contém.

Uma atualização da política de grupo é acionada sempre que um dos seguintes eventos ocorre:

  • Em um intervalo de atualização programado regularmente (a cada 90 minutos, por padrão)
  • Um evento de logon ou logoff do usuário (somente política do usuário)
  • Reinicialização do computador (apenas política do computador)
  • Uma atualização acionada manualmente via gpupdate
  • Um comando de atualização de política emitido por um administrador do controlador de domínio (se o computador tiver ingressado no domínio).

É importante lembrar que, se o computador tiver ingressado no domínio, as políticas de domínio serão aplicadas após os arquivos de diretiva do grupo local serem processados (o que significa que algumas configurações podem ser substituídas pela diretiva de domínio). Você não poderá ver as políticas de domínio no editor de políticas do grupo local.

    
por 26.03.2017 / 08:35
9

Funciona assim por três motivos:

  • A Diretiva de Grupo foi criada com o "envio" de um controlador de domínio do Active Directory em mente. As máquinas não se destinam a controlar a política de volta ao controlador de domínio.

  • A noção de diretivas e do Active Directory foi desenvolvida em um momento em que as conexões dial-up eram muito comuns e a banda larga não. Para as alterações no registro para espelhar de volta a um controlador de domínio nessa situação, provavelmente consumiria muita largura de banda muito limitada e situações em que os sistemas conversariam apenas ocasionalmente com um controlador de domínio por meio de sessões de discagem aqui e ali não eram inéditas NT4 dias eu acredito.

  • Você provavelmente notou que muitas políticas têm uma configuração "Não configurado", "Ativado" ou "Desativado". Diretiva de grupo tem a configuração "Não configurado" para permitir que a configuração local permaneça intocada pela diretiva. Isso significa especificamente que você, um aplicativo ou um administrador local pode modificar as entradas relevantes do registro, e uma política não irá alterá-lo. Você pode não querer controlar todos os aspectos do sistema por meio de políticas.

Assim, o registro local e uma política de grupo não são sincronizados a partir do mecanismo > do AD por design. A política de grupo local em gpedit.msc funciona da mesma maneira, embora não esteja sincronizando com nenhum controlador de domínio.

    
por 26.03.2017 / 00:34

Tags

Como posso evitar que a janela de atalho do iTerm2 perca o foco? Vou ver os benefícios de desempenho de um SSD no meu laptop?