¿Por qué gpedit y las entradas de registro correspondientes no están sincronizadas?

11

Estoy en Windows 10 Pro. Noté que cuando aplico algunas políticas a través de gpedit, las entradas correspondientes se crean en el registro. Si deshago, las entradas también se eliminan del registro.

Así que esperaba que funcionara al revés también, pero si configuro manualmente la misma política a través del registro, las entradas gpedit correspondientes todavía se muestran como "no configuradas".

¿Me estoy perdiendo de algo? ¿Es la política de gpedit algo más que una entrada de registro? entonces ... ¿dónde están almacenados?

Dr. Gianluigi Zane Zanettini
fuente

Respuestas:

12

Dado que los cambios que realiza en el editor de políticas de grupo afectan lo que ve en el registro, es perfectamente lógico suponer que lo contrario también es cierto. Sin embargo, no funciona de esa manera.

La configuración de la política de grupo local (que es a lo que creo que te refieres en tu publicación) se almacena en registry.polarchivos ubicados en C:\Windows\system32\GroupPolicy. Estos archivos sobrescriben las claves correspondientes en el registro cada vez que el sistema realiza una actualización de la política de grupo. El editor nunca lee el registro para ver qué configuración contiene.

Se activa una actualización de la política de grupo cada vez que ocurre uno de los siguientes eventos:

  • En un intervalo de actualización programado regularmente (cada 90 minutos por defecto)
  • Un evento de inicio o cierre de sesión de usuario (solo política de usuario)
  • Un reinicio de computadora (solo política de computadora)
  • Una actualización activada manualmente a través de gpupdate
  • Un comando de actualización de políticas emitido por un administrador desde el controlador de dominio (si la computadora está unida al dominio).

Es importante recordar que si la computadora está unida al dominio, las políticas del dominio se aplicarán después de que se procesen los archivos de la política de grupo local (lo que significa que algunas configuraciones pueden sobrescribirse por la política del dominio). No podrá ver las políticas de dominio en el editor de políticas de grupo local.

Wes Sayeed
fuente
Bonito resumen (+1). Solo agregaría que a gpupdate /forceveces puede funcionar de manera más confiable.
dxiv
3
@dxiv; Eso sucede porque el sistema almacena en caché la política e intenta aplicar solo la configuración que ha cambiado desde la última vez que se realizó una actualización. / force hace que vuelva a aplicar todas las configuraciones. Parece más confiable porque generalmente solo haces una gpupdate cuando tienes un problema, y ​​ese problema generalmente es porque el caché es malo :-)
Wes Sayeed
9

Funciona así por tres razones:

  • La directiva de grupo está diseñada con "empujar" desde un controlador de dominio de Active Directory en mente. Las máquinas no están destinadas a controlar la política de vuelta al controlador de dominio.

  • La noción de políticas y Active Directory se desarrolló en un momento en que las conexiones de acceso telefónico eran muy comunes y la banda ancha no. Para que los cambios de registro se reflejen en un controlador de dominio en esta situación, probablemente consumiría una gran cantidad de ancho de banda muy limitado, y las situaciones en las que los sistemas solo hablarían ocasionalmente con un controlador de dominio a través de sesiones de acceso telefónico aquí y allá no eran desconocidas en el NT4 días, creo.

  • Probablemente haya notado que muchas de las políticas tienen una configuración "No configurada", "Activada" o "Desactivada". La directiva de grupo tiene la configuración "No configurada" para permitir que la configuración local permanezca intacta por la directiva. Esto significa específicamente que usted, una aplicación o un administrador local pueden modificar las entradas de registro relevantes y una política no lo cambiará. Es posible que no desee controlar todos los aspectos del sistema a través de la política.

Por lo tanto, el registro local y una política de grupo no se sincronizan desde la máquina-> AD por diseño. La política de grupo local gpedit.mscfunciona de la misma manera aunque no se sincroniza con ningún controlador de dominio.

LawrenceC
fuente
2
Creo que su segundo punto, aunque técnicamente correcto, es de mínima importancia. En primer lugar, los dominios AD y Windows en general nunca se utilizaron sobre líneas de acceso telefónico, solo LAN. Sin embargo, sus otros puntos son acertados.
Jamie Hanrahan
Solo recuerdo que puede o podría especificar "SMTP" como protocolo en algún lugar para la sincronización AD ...
LawrenceC
SMTP? Simple correo Protocolo de Transferencia? Esa es una capa de transporte de correo, no tiene nada que ver con el acceso telefónico frente a LAN. Probablemente fue algo más. SLIP o PPP, tal vez?
Jamie Hanrahan
1
Esto es a lo que me refería: technet.microsoft.com/en-us/library/cc961766.aspx
LawrenceC
Pero eso no especifica el acceso telefónico, solo un protocolo de capa de aplicación utilizado sobre lo que sea que esté proporcionando su conectividad IP. "Protocolo de replicación utilizado por la replicación de Active Directory a través del transporte IP" - vea, no es un proveedor de IP propio. Para una conexión de acceso telefónico que sería PPP o SLIP.
Jamie Hanrahan