Eu considero o mecanismo de política de grupo razoavelmente bem-comportado e inofensivo, e de fato bastante útil em máquinas não relacionadas a domínio , especialmente em comparação com o bando de outros sistemas operacionais indesejados. Sim, gpupdate(.exe)
será executado ocasionalmente para propagar no registro qualquer configuração de política de máquina local que você tenha configurado. Como essa é uma operação unidirecional (ou seja, modificar as configurações de registro correspondentes não altera a diretiva de máquina local), a verificação periódica garante que as alterações anteriormente propagadas não tenham sido alteradas manualmente no registro. Quando a atualização do GP é executada, quaisquer valores de registro conflitantes serão redefinidos de volta aos valores definidos pela política.
Por alguns motivos, não recomendo desabilitar o mecanismo de atualização do GP. Primeiro, e seguindo o acima, se você fizer isso, e depois uma atualização GP acidentalmente for disparada de alguma forma, a Diretiva de Grupo sempre "vencerá" em qualquer configuração de registro associada, possivelmente sobrescrevendo uma faixa de suas entradas de registro manuais sem consentimento. Quando gpupdate
não tem a chance de ser executado por um longo tempo, as edições manuais do registro que entraram em conflito com a GP são cada vez mais prejudicadas por sua acumulação geral: um gpupdate
em atraso eliminaria a lista toda de uma vez, possivelmente com resultados complexos, já que as configurações afetadas provavelmente são logicamente diversas.
Você pode argumentar que isso não pode acontecer se você nunca tocar nas seleções de políticas, deixando-as todas "Não configuradas". Agora, no entanto, você precisará estar sempre atento a qualquer atividade, agente ou instalador automatizado que, presumidamente após ter obtido (isto é, instalação) permissão, alterar a política (esperando que a atualização do GP seja ativada) ou o registro, que eles se afastam.
Observe também que existem entradas de política especiais relacionadas a permissões de usuário e segurança que não têm uma opção "Não configurado", portanto, elas sobrescreverão partes correspondentes do registro quando gpupdate
for executado, não importa o quê. No geral, eu gostaria de ter certeza de que uma atualização do GP a qualquer momento, por qualquer motivo, será inofensiva.
Realmente sugiro usar gpedit.msc
- preferencialmente acima de regedit
- para as configurações que estão disponíveis no primeiro. O editor de políticas tem boas mensagens de ajuda, talvez seja menos frágil do que REG_DWORD, REG_MULTI_SZ etc., e com a natureza unidirecional da atualização mencionada acima, você não terá que se preocupar com a propagação da política sobrescrevendo suas alterações no registro. No geral, na minha experiência, gpupdate
é leve e discreto em uma máquina não associada a um domínio. Embora ele seja executado automaticamente de tempos em tempos, a única vez que eu realmente notei que ele está em execução é quando eu invoco explicitamente eu mesmo.