The truth about Group Policy Objects Refresh
De ceva timp tot aud povesti despre Group Policy Refresh asa ca m-am hotarat sa clarific putin subiectul. Inca de pe vremea lui Windows 2000 si de pe la sesiunile Technet Briefing de la Romexpo toata lumea repeta in cor “GPO se aplica la startup/logon si odata la 90 de minute via background refresh”. Ei bine, e adevarat intr-un fel, doar ca trebuie sa intelegi din ce este format un GPO si care sunt conditiile ce il fac sa se aplice.
Din punct de vedere AD, un GPO reprezinta o colectie de setari legate de un container. In final este responsabilitatea clientului de a le prelua si aplica. Mai exact exista acele Client Side Extension (CSE) ce proceseaza anumite parti din GPO pe client. Iar acele CSE ruleaza la startup/logon si in momentul cand se face acel background refresh – poate fi 90 de minute sau cu totul altceva.
Dar … odata aplicata politica, acel refresh nu face altceva decat sa verifice daca nu cumva GPO-ul s-a modificat. Daca nu s-a modificat, acel CSE nu reaplica nici o setare. Orice modificare in GPO automat incrementeaza version number-ul din gpt.ini iar acesta este un semnal ca setarile din GPO trebuie reaplicate.
Alti factori care pot forta reaplicarea setarilor din GPO sunt:
– o modificare a listei GPO-urilor ce se aplica userului/computerului
– modificarea filtrelor WMI
– modificarea group membership-ului
Nota: Indiferent de factorii de mai sus, GPUPDATE /FORCE va reaplica setarile din GPO.
Deci, daca ce am zis mai sus este adevarat inseamna ca pot sa am un GPO restrictiv aplicat pe userul/statia mea si daca sunt admin local sa fac undo la setari via registry. Pai hai sa vedem.
By default asta e security screen-ul de pe un Windows 7:
Si m-am hotarat sa aplic un GPO care spune asa:
Mai exact, ca nu trebuie sa-mi apara optiunea de change password.
In momentul in care GPO-ul se aplica security screen-ul se schimba in:
Dar daca ma duc in registry in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies si setez DisableChangePassword in 0 (http://support.microsoft.com/kb/309799), optiunea Change Password apare din now:
Iar acum indiferent cat as astepta sau de cate ori as da logoff/logon sau reboot, nimic nu se va schimba. De ce? Pentru ca niciuna din conditiile de mai sus nu a fost indeplinita. So … Mith Busted!
Exista si o exceptie de la aceasta regula si anume GPO Security Settings (Computer Configuration\Windows Settings\Security Settings) care se reaplica odata la 16h indiferent daca GPO-ul a fost modificat sa nu. Si bineinteles ca modul de functionare a multor CSE-uri din sistem poate fi modificat. Setarile se fac tot via Group Policy din Configuration\Administrative Templates\System\Group Policy:
Sper ca azi am mai lamurit un mister din mecanismul GPO si poate ca unii vor intelege ca Group Policy Objects desi se intersecteaza foarte mult cu Active Directory este un domeniu separat si destul de complex.
Pentru orice alte intrebari va astept pe forum.
Pingback from GPO version numbers » RO Windows Administrators Weblog
Time February 21, 2013 at 8:00 am
[…] ceva timp am scris un articol numit The Truth About Group Policy Objects Refresh si ma refeream acolo la un version number aflat in […]