Comportamento de diretiva de grupo suspeito

1

Estou executando o Windows 8.1 x64.

Eu devo começar afirmando que eu não faço parte de um domínio e esse computador é usado somente por mim.

Eu tenho duas contas na máquina. Minha conta de usuário padrão, que é praticamente tudo que eu uso, e uma conta de administrador que tenho em uma tentativa de garantir que o software não seja instalado sem minha aprovação e para adicionar recursos extras de segurança e solução de problemas.

Duas vezes, recentemente, quando fui fazer login na minha conta de usuário padrão, recebi o erro

Windows couldn't connect to the group policy client service

Eu não consegui acessar a conta de usuário, mas consegui fazer o login na minha conta de administrador. Eu pesquisei on-line e encontrei vários recursos para tentar corrigir o problema. Até agora eu tenho:

  • Verificado se os serviços de política de grupo estão sendo executados
  • Lançou o Regedit e verificou se as chaves em HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \ SERVICES estão corretas e contêm a pasta "gpsvc"
  • Também verifiquei outras entradas de registro de máquina local conforme instruções on-line, como netsvc

Depois de seguir as instruções, como link detalhes deste link eu corrigi o erro.

Estou ciente de que esse problema geralmente é causado por problemas durante a atualização do Windows. Eu não estou ciente de que eu tive como tal, mas a última atualização fez com que o laptop para pendurar no desligamento por um bom tempo, mas não houve erro na inicialização, eu suspeito que algo está corrompido.

Existe uma maneira de verificar e evitar que esse problema persista.

    
por Phill 12.02.2015 / 21:19

1 resposta

0

Eu considero o mecanismo de política de grupo razoavelmente bem-comportado e inofensivo, e de fato bastante útil em máquinas não relacionadas a domínio , especialmente em comparação com o bando de outros sistemas operacionais indesejados. Sim, gpupdate(.exe) será executado ocasionalmente para propagar no registro qualquer configuração de política de máquina local que você tenha configurado. Como essa é uma operação unidirecional (ou seja, modificar as configurações de registro correspondentes não altera a diretiva de máquina local), a verificação periódica garante que as alterações anteriormente propagadas não tenham sido alteradas manualmente no registro. Quando a atualização do GP é executada, quaisquer valores de registro conflitantes serão redefinidos de volta aos valores definidos pela política.

Por alguns motivos, não recomendo desabilitar o mecanismo de atualização do GP. Primeiro, e seguindo o acima, se você fizer isso, e depois uma atualização GP acidentalmente for disparada de alguma forma, a Diretiva de Grupo sempre "vencerá" em qualquer configuração de registro associada, possivelmente sobrescrevendo uma faixa de suas entradas de registro manuais sem consentimento. Quando gpupdate não tem a chance de ser executado por um longo tempo, as edições manuais do registro que entraram em conflito com a GP são cada vez mais prejudicadas por sua acumulação geral: um gpupdate em atraso eliminaria a lista toda de uma vez, possivelmente com resultados complexos, já que as configurações afetadas provavelmente são logicamente diversas.

Você pode argumentar que isso não pode acontecer se você nunca tocar nas seleções de políticas, deixando-as todas "Não configuradas". Agora, no entanto, você precisará estar sempre atento a qualquer atividade, agente ou instalador automatizado que, presumidamente após ter obtido (isto é, instalação) permissão, alterar a política (esperando que a atualização do GP seja ativada) ou o registro, que eles se afastam.

Observe também que existem entradas de política especiais relacionadas a permissões de usuário e segurança que não têm uma opção "Não configurado", portanto, elas sobrescreverão partes correspondentes do registro quando gpupdate for executado, não importa o quê. No geral, eu gostaria de ter certeza de que uma atualização do GP a qualquer momento, por qualquer motivo, será inofensiva.

Realmente sugiro usar gpedit.msc - preferencialmente acima de regedit - para as configurações que estão disponíveis no primeiro. O editor de políticas tem boas mensagens de ajuda, talvez seja menos frágil do que REG_DWORD, REG_MULTI_SZ etc., e com a natureza unidirecional da atualização mencionada acima, você não terá que se preocupar com a propagação da política sobrescrevendo suas alterações no registro. No geral, na minha experiência, gpupdate é leve e discreto em uma máquina não associada a um domínio. Embora ele seja executado automaticamente de tempos em tempos, a única vez que eu realmente notei que ele está em execução é quando eu invoco explicitamente eu mesmo.

    
por 13.11.2016 / 21:33