一:[处理间隔]
- [计算机策略] 于 [Windows 启动时] 触发处理,[用户策略] 于 [用户登陆时] 触发处理。
-->此处理方式称之为 [前台处理 (foreground process)]。 - 默认情况下,成员计算机 90~120 分钟间隔再次触发处理,域控则每 5 分钟触发一次处理。
-->此处理方式称之为 [后台处理(background process)]。 - 可通过 [gpupdate] 或 [gpupdate /force] 手动触发处理。
- 可通过组策略调整默认处理间隔(计算机策略-->管理模板-->系统-->组策略)
二:[处理过程]
■由 Windows 客户端设备上的 Group Policy Client Service(GPSVC) 组件主导以下过程
-
从 DC 中获取账号 (计算机or用户) 的DN(distinguishedName),
由 DN 可得知自身所处的 OU。
-
使用 LDAP 协议拉取 Domain 和所有层次 OU 的 GPC。
-->OU 的 GPC (由 AD 管理的 GPO 的配信信息) 会保存在 OU 的 "gPlink" 属性中。
[LDAP://cn={164376BB-9A6F-41F1-90CC-09CE3C1A1005},cn=policies,cn=system,DC=manage,DC=hagaki,DC=cn;0]
[LDAP://cn={C7A46396-6C2F-4644-A84A-C45EA30810F7},cn=policies,cn=system,DC=manage,DC=hagaki,DC=cn;1]
-->参数 0 为已启用链接;参数 1 为未启用链接。
-
根据 GPC,通过 LDAP 协议去拉取 GPT (由文件系统管理的 GPO 的实体对象)。
-->GPT 信息保存在 GPC 的 "gPCFileSysPath" 属性中。
-
使用 SMB 协议访问 SYSVOL 共享并获取获取 GPT。
-->SYSVOL 共享部署在 [NFS 命名空间] 服务之上,服务由所有的域控制器提供,具体接入流程如下:
4-1 取得提供为 [\DomainName\SYSVOL] 命名空间提供 NFS 命名空间服务的服务器列表。
4-2 使用 SMB 协议访问列表中优先级最高的 DC。
-->上述两个步骤为一般访问 NFS 路径的步骤。
4-3 取得 [gpt.ini],并与客户端上已经应用的版本进行比较。
4-4 若版本不一致,则下载 GPT (GPO实体)。
-->若版本一致,则意味着 GPO 没有变更过,所以,不下载。 -
[管理模板] 中定义的策略 (registry.pol) 的应用由 [gpsvc] 直接执行。
■由 Windows 客户端上的 CSE(Client Side Extension) 组件主导以下过程。
6. [管理模板] 以外定义的策略由 CSE 依据 GPO 的配置应用策略,如,
安全设置的 [scecli.dll] 负责,脚本策略由 [gpscript.dll] 负责
- 策略的应用结果将存储在 [WMI 存储库] 的命名空间中,可使用 gpresult 或 rsop.msc 确认结果。
用户策略位置:¥root¥rsop¥user;计算机策略位置:¥root¥rsop¥computer
-->gpresult /h (以 HTML 形式输出);gpresult /z (以纯文本形式输出)