Gruppenrichtlinieneinstellungen
Group Policy Preferences ist eine Auflistung von clientseitigen Erweiterungen von Gruppenrichtlinie, die Voreinstellungen für Domäne Computer unter Microsoft Windows Desktop- und Serverbetriebssysteme zu übermitteln. Voreinstellungen sind administrative Konfigurationsoptionen auf Desktops und Servern bereitgestellt. Voreinstellungen unterscheiden Richtlinien, da die Benutzer eine Auswahl, die administrative Konfiguration zu ändern. Richtlinien erzwingen administrativ Einstellung, die Benutzerauswahl beschränkt.
Group Policy Preferences sind an der Domäne verbundene Computer mithilfe einer Gruppenrichtlinie verteilt. Die Flexibilität von Gruppenrichtlinien ermöglicht es, nicht transparenten Konfigurationsdaten an einer Domäne beigetretenen Computer unter Windows zu übermitteln. Die nicht transparenten Daten werden in eine clientseitige Erweiterung der Gruppenrichtlinie übertragen an diesem Punkt eine opaken Daten erforderlich werden, da die clientseitigen Erweiterung die Daten versteht.
Dieses Dokument beschreibt, wie das Laufwerk Group Policy-Maps und Drucker clientseitigen Erweiterungen ihre Konfigurationsdaten verarbeiten. Mit diesem Wissen können Administratoren effektiver entwerfen und Bereitstellen von Laufwerk-Zuordnung und Drucker Elemente in ihrer Umgebung. Und die Informationen in dieser technischen Referenz kann IT-Experten Drive-Zuordnung und Drucker Verarbeitung zu beheben.
Erforderliche Grundlagen
Gruppenrichtlinie
Gruppenrichtlinie ist eine Technologie Management in Windows Server, der Ihnen ermöglicht, Computer-und Benutzerrichtlinien zu sichern. Sichern Sie diese Einstellungen von einer gemeinsamen Umgebung für Benutzer sicher und senkt die Gesamtbetriebskosten durch Einschränken der versehentliche oder absichtliche Konfigurationen, die das Betriebssystem beeinträchtigen.
Ein Gruppenrichtlinienobjekt (GPO) ist ein logisches Objekt besteht aus zwei Komponenten: einen Gruppenrichtliniencontainer und eine Vorlage für Gruppenrichtlinien. Windows speichert beide dieser Objekte auf Domänencontrollern in der Domäne. Das Gruppenrichtlinien-Containerobjekt wird in der Domänenpartition von Active Directory gespeichert. Die Gruppenrichtlinien-Vorlage ist eine Sammlung von Dateien und Ordnern auf dem Systemvolume (SYSVOL) der einzelnen Domänencontroller in der Domäne. Windows kopiert die Container und die Vorlage auf alle Domänencontroller in einer Domäne. Active Directory-Replikation kopiert Group Policy Container, während der Dateireplikationsdienst (FRS) oder der Dienst verteilt Datei-Replikation (DFSR) werden die Daten auf SYSVOL kopiert.
Der Gruppenrichtliniencontainer und Vorlage zusammen. Stellen Sie das logische Objekt ein Gruppenrichtlinienobjekt aufgerufen. Jedes Gruppenrichtlinienobjekt enthält zwei Klassen von Konfiguration: Benutzer und Computer. Computerkonfiguration\Administrative Settings beeinflussen den Computer als Ganzes, unabhängig von den angemeldeten Benutzer. User Configuration Settings beeinflussen den derzeit angemeldeten Benutzer und für jeden Benutzer variieren. Einige Beispiele für die Computer-Einstellungen sind Power Management, Benutzerrechte und Firewall-Einstellungen. Beispiele für benutzereinstellungen enthalten Internet Explorer, Einstellungen und Umleitung des Ordners.
Gruppenrichtlinienobjekte und ihre Einstellungen gelten für Computer und Benutzer mit denen sie verknüpft sind. Sie können Gruppenrichtlinienobjekte mit Active Directory-Site, Domäne, Organisationseinheit oder geschachtelten Organisationseinheiten verknüpfen. Gruppenrichtlinienobjekte getrennt von den Container, mit denen sie verknüpft sind. Durch diese Trennung können Sie ein einzelnes Gruppenrichtlinienobjekt mit mehreren Containern verknüpft. Verknüpfen von Gruppenrichtlinienobjekten mit viele Container können ein einzelnes Gruppenrichtlinienobjekt auf Benutzer oder Computer in mehrere Container angewendet. Definiert den Bereich des Gruppenrichtlinienobjekts. Computerkonfigurationen gelten für Computer innerhalb des Containers oder der geschachtelten Containern. Benutzerkonfigurationen gelten für Benutzer auf die gleiche Weise.
Richtlinien gelten für Computer beim Starten des Computers und für Benutzer während der Anmeldung des Benutzers. Windows Server 2012 und Windows 8 umfasst einen Gruppenrichtlinien-Dienst. Beim Starten des Computers fragt der Gruppenrichtlinien-Dienst Active Directory für die Liste der Gruppenrichtlinienobjekte, die innerhalb des Bereichs (verknüpft) des Computerobjekts liegen. In diesem Fall sind dies:
Die Website, in der sich der Computer befindet.
Die Domäne, in der der Computer Mitglied ist
Die übergeordnete-Organisationseinheit, die der Computer Mitglied direkte und andere Organisationseinheiten über die übergeordnete Organisationseinheit ist.
Der Gruppenrichtliniendienst entscheidet die GPOs auf Computer angewendet werden (es gibt viele Methoden, um Ordners Gruppenrichtlinienobjekte anwenden, die Gegenstand dieser Einführung ist) und diese Richtlinien angewendet. Der clientseitigen Erweiterungen (CSEs) sind verantwortlich für die Anwendung von Richtlinien, die in den Gruppenrichtlinienobjekten enthalten sind. Eine clientseitige Erweiterung der Gruppenrichtlinien ist eine separate Komponente aus der Gruppenrichtlinien-Dienst, der für bestimmte Richtlinie lesen, Festlegen von Daten aus dem Gruppenrichtlinienobjekt und deren Anwendung auf den Computer oder Benutzer zuständig ist. Registrierung der clientseitigen Erweiterung der Gruppenrichtlinien wird beispielsweise liest die Registrierung Richtlinie Einstellungsdaten aus jedem GPO und wendet dann diese Informationen in der Registrierung. Die Sicherheits-CSE liest und wendet Sicherheitsrichtlinien. Die clientseitige Erweiterung Ordner-Umleitung liest und wendet Richtlinien für die Umleitung des Ordners.
Die Verarbeitung der Gruppenrichtlinie wiederholt wird, wenn der Benutzer am Computer anmeldet. Der Gruppenrichtlinien-Dienst entscheidet, die GPOs, die für den Benutzer gelten und wendet dann die Benutzerrichtlinien.
Es ist wichtig, dass Sie über gute Kenntnisse zum Erstellen, ändern und Verknüpfen von Gruppenrichtlinienobjekten für Container in Active Directory verfügen. Group Policy Preferences verwenden die gleichen Konzepte wie Gruppenrichtlinien. In der Tat verwalten Sie Group Policy Preferences genauso, als Sie Gruppenrichtlinien verwalten. Hierbei handelt es sich um eine Überprüfung der Gruppenrichtlinie. Es ist nicht vollständig. Wenn Sie keine Erfahrung mit der Gruppenrichtlinie verwalten oder Sie eine gründliche Auffrischung ihrer Kenntnisse benötigen, können Sie Windows Group Policy Resource Kit lesen: WindowsServer 2008 und Windows Vista (Microsoft Press 2008).
Clientseitige Erweiterung
Eine clientseitige gruppenrichtlinienerweiterungen ist eine isolierte Komponente, die für die Verarbeitung von bestimmten Richtlinieneinstellungen, die von der Infrastruktur der Gruppenrichtlinie bereitgestellt wird. Das Format, in dem jede Gruppenrichtlinien eine clientseitige Erweiterung Daten speichert, kann für jede Erweiterung eindeutig sein. Und die Gruppenrichtlinieninfrastruktur kann dieses Format nicht erkennen, noch ist es wichtig. Die Gruppenrichtlinie wird Einstellungen auf dem Computer bereitstellen, in dem jede clientseitige Erweiterung für ihren Teil der Einstellungen aus mehreren Gruppenrichtlinienobjekten gilt.
Verdeutlichen Sie die Beziehung zwischen der Gruppenrichtlinieninfrastruktur und die Gruppenrichtlinie sollten Sie clientseitige Erweiterungen – eine Transporteur. Der Transporteur sammelt Informationen aus verschiedenen Quellen und übermittelt diese Informationen für Sie. Der Transporteur weiß nicht, welche Informationen sie liefern. Die Informationen möglicherweise ein Buchstabe, eine DVD oder eine CD mit Fotos. Der Transporteur nur weiß werden die Informationen an eine bestimmte Adresse zu übermitteln.
In diesem Beispiel wird der Gruppenrichtlinie die Postleitzahl Carrier –, die Informationen ohne Kenntnis der Informationen bietet. Durch den Transporteur übermittelt Informationen dar, die unterschiedliche Richtlinien wird. Die clientseitige Erweiterung der Gruppenrichtlinie stellt die Person, die die Informationen empfängt. Adressen können viele Empfänger verfügen. Jeder Empfänger erhält ihre eigene e-Mail-Nachrichten in einem erwarteten Format. Die clientseitige Erweiterung der Gruppenrichtlinie der jeweiligen Einstellung Richtlinieninformationen liest und führt Aktionen basierend auf Informationen in den Richtlinieneinstellungen enthält.
Die Verarbeitung der Gruppenrichtlinie
Anwendung von Gruppenrichtlinien ist der Prozess der entscheiden, welche Gruppenrichtlinienobjekte, dass Windows auf einen Benutzer oder Computer angewendet wird, und dann diese Einstellungen angewendet. Grundlegendes zur Verarbeitung der Gruppenrichtlinie wird Schlüssel zum Planen und Bereitstellen von Gruppenrichtlinien. Verarbeitung der Gruppenrichtlinie Missverständnissen ist die häufigste Ursache für unerwünschte und unerklärliche Richtlinien.
Der Schlüssel zum Verständnis der Verarbeitung von Gruppenrichtlinien ist Gültigkeitsbereich.Bereichist einfach eine Sammlung aller Gruppenrichtlinienobjekte, die einem Benutzer oder Computer auf Grundlage des Objekts Speicherort in Active Directory angewendet werden sollen. Bereich nach ErstellungVerknüpfenGruppenrichtlinienobjekte an bestimmten Speicherorten innerhalb von Active Directory.
Der Schlüssel zum Verständnis der Verarbeitung von Gruppenrichtlinien ist Gültigkeitsbereich.Bereichist einfach eine Sammlung aller Gruppenrichtlinienobjekte, die einem Benutzer oder Computer auf Grundlage des Objekts Speicherort in Active Directory angewendet werden sollen. Bereich nach ErstellungVerknüpfenGruppenrichtlinienobjekte an bestimmten Speicherorten innerhalb von Active Directory.
Eine Gruppenrichtlinie bietet Optionen, die den Bereich des Gruppenrichtlinienobjekts ändern können. Ändern des Bereichs von Gruppenrichtlinienobjekten wirkt sich auf die Richtlinien angewendet und nicht. Ändern Sie den Bereich der Verwendung von GruppenrichtlinienVerarbeitungsreihenfolgeFilterungundlink Optionen.
Bereich
Die Verarbeitung der Gruppenrichtlinie muss die Identität des Bereichs auf die er Richtlinien anwendet. Bereich ist einfach Zustände als, in dem das Benutzer oder Computer-Objekt in Active Directory-Hierarchie befindet. Die einfachste Methode zum Ermitteln des Bereichs eines Benutzers oder Computers-Objekts wird auf den jeweiligen Benutzer oder Computer-DN in Active Directory suchen. Definierten Namen des Objekts, in einem Verzeichnis bietet die Identität von Objekten und den Speicherort der Objekte innerhalb des Verzeichnisses. Betrachten Sie den folgenden definierten Namen.
CN=Kim Akers,OU=Human Resources, DC=corp,DC=contoso,DC=com
Aus diesem Grund wird der Name des Benutzerobjekts, die Organisationseinheit, die das Benutzerobjekt enthält und die Domäne, in der sich das Benutzerobjekt befindet, der Gruppenrichtlinien-Dienst ermittelt.
CN=Jeff Low,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
Verknüpfen
Grundlegendes zur Richtlinie Gruppenbereich erfordert, zu wissen, wo Sie Gruppenrichtlinienobjekte verknüpfen, damit sie für Benutzer oder Computer gelten. Um ein Gruppenrichtlinienobjekt mit einem Benutzer oder Computer anwenden aktivieren, ordnen Sie es mit einer bestimmten Position in Active Directory. Verknüpfen ein Gruppenrichtlinienobjekt mit einem Objekt in Active Directory wird als Verknüpfung bezeichnet.
Active Directory verfügt über Regeln, die bestimmen, wo Sie Gruppenrichtlinienobjekte verknüpfen können. Active Directory-Objekte, mit denen Sie Gruppenrichtlinienobjekte verknüpfen können, umfassen:
Standortobjekte
Domänenobjekte
Organisatorische Einheit-Objekte
Verknüpfen von Gruppenrichtlinienobjekten zum diese Active Directory-Objekte ist die strategische Bereitstellung von Gruppenrichtlinien. Hierbei handelt es sich um Containerobjekte. Containerobjekte, wie der Name schon sagt, bedeutet, dass sie andere enthalten können Objekte in Ihnen – sie hierarchische Gruppierung von Objekten in einem Verzeichnis darstellt. Standortobjekte können Computerobjekte aus mehreren Domänen enthalten. Domänenobjekte können mehrere Organisationseinheiten, Computer und Benutzer-Objekte enthalten. Organisatorische Einheit Objekte können andere Organisationseinheit-Objekte, Computer und Benutzer enthalten. Sehen wir uns den definierten Namen erneut.
CN=Jeff Low,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
Genaue Untersuchung des definierten Namens wird jeder Containerobjekt, das potenziell Gruppenrichtlinien auf die Benutzer angewendet werden kann. CN = Jeff Low ist der Benutzername für das Objekt. Die Gruppenrichtlinie kann nicht direkt ein Benutzerobjekt verknüpft werden. Der verbleibende Teil des Namens wird jedoch den Speicherort des Objekts. Arbeiten Sie von links nach rechts, Sie können ermitteln, jeder Containerobjekt, das kann Anwenden der Gruppenrichtlinie für den Benutzer.
OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=RandD,DC=corp,DC=contoso,DC=com DC=corp,DC=contoso,DC=com
Jede dieser Positionen darstellen des Bereichs der Gruppenrichtlinie. Der Gruppenrichtliniendienst sammelt verknüpfte Gruppenrichtlinienobjekten aus jedem dieser Speicherorte im Verzeichnis. Dies stellt den Bereich der Gruppenrichtlinien für den Benutzer oder Computer dar.
Beachten Sie, dass die Reihenfolge, in der Windows die Liste der Gruppenrichtlinienobjekte erfasst? Es beginnt mit der Organisationseinheit, die der Benutzer am nächsten und durchläuft das Verzeichnis für das Objekt vom Benutzer, in der Regel das Domänenobjekt Weg frei. Durch das verknüpfen müssen Sie eine Liste der Gruppenrichtlinienobjekte, die mit der Benutzer oder Computer verfügbar sind. Allerdings sollte nicht jedes Gruppenrichtlinienobjekt in der Liste für den Benutzer oder Computer gelten.
.jpeg "GPOs linked in Active Directory")
Sicherheitsfilterung
Gruppenbereich-Richtlinie ist die Liste aller Gruppenrichtlinienobjekte, die aufgrund des Objekts Position in Active Directory für den Benutzer oder Computer angewendet werden kann. Security Filtering wird bestimmt, ob der jeweilige Benutzer oder Computer die richtigen Berechtigungen für das Gruppenrichtlinienobjekt angewendet wurde. Einen Benutzer oder Computer müssen dieLesenund**"Gruppenrichtlinie übernehmen"**Berechtigungen für den Dienst der Gruppenrichtlinie das Gruppenrichtlinienobjekt für den Benutzer berücksichtigen.
Die Dienste der Gruppenrichtlinie durchläuft die gesamte Liste der Gruppenrichtlinienobjekte, die bestimmen, ob der Benutzer oder Computer die erforderlichen Berechtigungen für das Gruppenrichtlinienobjekt hat. Wenn der Benutzer oder Computer die Berechtigungen für das Gruppenrichtlinienobjekt angewendet der Gruppenrichtlinien-Dienst, der verschiebt GPO in eine gefilterte Liste von GPOs hat. Es wird weiterhin filtern jedes Gruppenrichtlinienobjekt anhand von Berechtigungen, bis das Ende der Liste erreicht. Die gefilterte Liste der Gruppenrichtlinienobjekte enthält alle GPOs im Gültigkeitsbereich des Benutzers oder des Computers und gelten für den Benutzer oder Computer, auf Grundlage von Berechtigungen.
.jpeg "Linked GPOs showing security filtering prevented")
WMI-Filterung
WMI-Filterung wird die letzte Phase des Bestimmen des Umfangs der Gruppenrichtlinienobjekte, die für einen Benutzer oder Computer gelten.
Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) ist die Microsoft-Implementierung von Web-Based Enterprise Management (WBEM). WMI verwendet den Branchenstandard "Common Information Model (CIM)" zum Darstellen von Systemen, Anwendungen, Netzwerken, Geräten und anderen verwalteten Komponenten.
Eine Gruppenrichtlinie bietet weitere Filter zum Steuern des Bereichs von Gruppenrichtlinienobjekten anwendbar. WMI können Sie Abfragen erstellen, um bestimmte Features des Computers, Betriebssystem und anderen verwalteten Komponenten abzufragen. In Form von Abfragen erstellen Sie die Kriterien, die wie logische Ausdrücke--Verhalten entspricht, in dem das Ergebnis true oder false. Sie verknüpft sind, oder diese Kriterien mit einem Gruppenrichtlinienobjekt verknüpfen. Wenn die Kriterien zu True ausgewertet wird, wird das Gruppenrichtlinienobjekt bleibt für den Benutzer und in der gefilterten Liste gespeichert. Wenn die Kriterien, die auf "false" ausgewertet wird, entfernt der Gruppenrichtlinien-Dienst das Gruppenrichtlinienobjekt aus der gefilterten Liste.
Nach Abschluss der WMI-Filterung der Dienst eine Liste von hat Filtern von Gruppenrichtlinien von Gruppenrichtlinienobjekten. Diese endgültige Liste stellt alle geltenden Gruppenrichtlinienobjekte für den Benutzer oder Computer. Intern, Sicherheit und WMI-Filtern in einem Zyklus auftreten.
.jpeg "Linked GPOs WMI filters prevent applying")
Verarbeitungsreihenfolge
Die Gruppenrichtlinie verfügt über eine bestimmte Reihenfolge, in der sie Gruppenrichtlinienobjekte angewendet wird. Verstehen die Reihenfolge, in der Gruppenrichtlinienobjekte, ist wichtig, da es sich bei der Gruppenrichtlinie die Reihenfolge der Anwendung verwendet, um in Konflikt stehende Richtlinien auf verschiedene Gruppenrichtlinien Objekte verknüpfte für verschiedene Standorte in Active Directory zu beheben.
Lokal, Standort, Domäne und Organisationseinheit
Der Gruppenrichtliniendienst der lokalen Gruppenrichtlinie zuerst angewendet, und dann die Gruppenrichtlinienobjekte von der Website gefolgt von Gruppenrichtlinienobjekten aus der Domäne, und klicken Sie auf die Gruppenrichtlinie Objekte von Organisationseinheiten. Wenn die gezielte Benutzer- oder Gruppenrichtlinien, und klicken Sie dann auf den Gruppenrichtlinien-Dienst empfangen Group Policy Objects von Organisationseinheiten ganz in Herkunft des Benutzers zum nächstgelegenen in Herkunft der Benutzer betrifft. Betrachten Sie die gefilterte Liste der relevanten Gruppenrichtlinienobjekten.
DC=corp,DC=contoso,DC=com OU=RandD,DC=corp,DC=contoso,DC=com OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
.jpeg "List of applied GPOs after security & WMI filterin")
Beachten Sie, dass die Reihenfolge der Gruppenrichtlinienobjekte in der ersten Liste geändert hat. Diese Neuordnung der Gruppenrichtlinie tritt während der Sicherheits- und WMI-Filter Verarbeitung. Der Gruppenrichtlinien-Dienst erstellt die erste Liste der Gruppenrichtlinienobjekte suchen das Objekt für Benutzer oder Computer und dann alle verknüpfte Gruppenrichtlinienobjekten sammeln, wie die Verzeichnisstruktur geführt. Gruppenrichtlinienobjekte werden rückwärts von der Reihenfolge aufgeführt, die sie anwenden, da als die Gruppenrichtlinie Service den Speicherort neu entdeckte Link am Ende der Liste hinzugefügt. Dies erklärt, warum der Domäne um am unteren Rand der Liste.
Allerdings startet beim Filtern der Liste für die Sicherheit und WMI-Filtern der Gruppenrichtlinien-Dienst am oberen Rand der Liste, die die Organisationseinheit, die Datenherkunft für das Objekt für Benutzer oder Computer am ähnlichsten ist. Der Dienst erstellt eine neue Liste (die gefilterte Liste) platziert die Gruppenrichtlinienobjekte, die in der gefilterten Liste den Filter passieren. Der Dienst kehrt die Reihenfolge der ursprünglichen Liste, wodurch die Domäne befindet sich am Anfang der Liste. Die Position, die der Benutzer am nächsten ist, am unteren Rand der Liste, die Reihenfolge der Gruppenrichtlinie wendet Gruppenrichtlinienobjekte für Benutzer und Computer.
Konfliktauflösung
Jedes Gruppenrichtlinienobjekt enthält die gleiche Anzahl von möglichen Einstellungen. Folglich ist es möglich, die gleiche Einstellung in mehrere Gruppenrichtlinienobjekte definiert haben. Konflikt tritt auf, wenn mehrere Gruppenrichtlinienobjekte dieselbe richtlinieneinstellung konfiguriert ist. Wie zwei Autos, die den gleichen Platz auf der Straße konkurrieren, gewinnt, und die andere verliert. Gruppenrichtlinien behandelt Konflikte mit einer Methode, die als Schreiber gewinnt bezeichnet. Schreiber gewinnt löst Konflikte durch Deklarieren der vorherrschenden Einstellung als Einstellung der Gruppenrichtlinie zuletzt schreibt. Daher ist das Gruppenrichtlinienobjekt enthält die in Konflikt stehende Einstellung, die zuletzt gilt die Einstellung, die über alle anderen Einstellungen wins.
.jpeg "Conflict resolution between identical policies")
Die Verarbeitungsreihenfolge Abschnitt dieses Dokuments beschrieben, dass Gruppenrichtlinienobjekte in der Reihenfolge von lokalen, Standort, Domäne und Organisationseinheit gelten. Anhand dieser Verarbeitung Hierarchie:
Richtlinien in Gruppenrichtlinienobjekten, die mit Active Directory-Standort verknüpft Auflösen der Richtlinie, die Konflikte zwischen dem lokalen Gruppenrichtlinienobjekt und dem Active Directory-Standort verknüpften Gruppenrichtlinienobjekte festlegen.
Richtlinien in Gruppenrichtlinienobjekten, die mit der Domäne verknüpften Richtlinie Einstellungskonflikte zwischen dem Active Directory-Standort verknüpften Gruppenrichtlinienobjekte und Gruppenrichtlinienobjekte mit Active Directory-Domäne aufgelöst werden.
Richtlinien in einer Organisationseinheit verknüpfte Gruppenrichtlinienobjekte beheben Einstellung Richtlinienkonflikten zwischen Active Directory-Domäne verknüpften Gruppenrichtlinienobjekte und Gruppenrichtlinienobjekte mit einer Organisationseinheit verknüpft.
Richtlinien in eine untergeordnete Organisationseinheit verknüpfte Gruppenrichtlinienobjekte beheben Policy Settings-Konflikte zwischen Gruppenrichtlinienobjekten, die mit der untergeordneten Organisationseinheit verknüpft und mit der übergeordneten Organisationseinheit verknüpfte Gruppenrichtlinienobjekte.
Die Auflösung des Konflikts zwischen zwischen am selben Standort verknüpfte Gruppenrichtlinienobjekte
Gruppenrichtlinien können Sie mehrere Gruppenrichtlinienobjekte auf jeder Site, Domäne und Einheit Organisationsstandorte im Verzeichnis zu verknüpfen. Bis jetzt identifiziert die Auflösung des Konflikts zwischen nur Auflösungen zwischen in Konflikt stehende Richtlinien an zwei verschiedenen Standorten in Active Directory verknüpft. Was ist mit in Konflikt stehenden Richtlinien in der Gruppenrichtlinie, die Objekte werden am selben Ort verknüpft?
Die Gruppenrichtlinie weiterhin die Schreiber gewinnt-Methode zum Auflösen von Richtlinienkonflikte zwischen Gruppenrichtlinienobjekten als am gleichen Speicherort in Active Directory verknüpft. Verstehen, wie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) Links von Gruppenrichtlinienobjekten in Active Directory an die Verarbeitungsreihenfolge von Gruppenrichtlinien Objekte Link am selben Speicherort in Active Directory erläutert.
Attribut "GPLink"
Die Speicherorte, die Unterstützung von Gruppenrichtlinien verknüpfen, Active Directory-Standorten, Domänen und Organisationseinheiten, dazu da jedes dieser Objekte ein Attribut "GPLink" aufweisen. Das Attribut "GPLink" ist ein einwertiges Attribut, das einen Wert von einem Zeichenfolgen-Datentyp akzeptiert. Während der Active Directory-Schema die Art einwertig, der das Attribut "GPLink" erzwingt, verwendet der Gruppenrichtlinie das Attribut als ein mehrwertiges Attribut. Die Gruppenrichtlinien-Verwaltungskonsole schreibt den Wert für das Attribut "GPLink" in folgendem Format ein.
[distinguishedNameOfGroupPolicyContainer;linkOPtions][…][…]
Das DistingushedNameOfGroupPolicyContainer-Token stellt den distinguished Name des den Gruppenrichtliniencontainer dar. Ein Gruppenrichtlinienobjekt ist ein einzelnes logisches Objekt besteht aus zwei Komponenten von Informationen. Die Komponente im Dateisystem gespeicherten Informationen ist die Gruppenrichtlinien-Vorlage. Die verbleibenden-Komponente ist der Gruppenrichtliniencontainer eines Objekts in Active Directory-Objekt, das in der Domänenpartition von Active Directory befindet. Wie oben beschriebenen bietet der DN eines Verzeichnisobjekts, Name und Speicherort im Verzeichnis des Objekts.
Das LinkOptions-Token ist ein Integer-Wert, der die Link-Optionen, die das Gruppenrichtlinienobjekt zugeordnet definiert. Derzeit können Sie aktivieren oder Deaktivieren von Gruppenrichtlinienobjekten verknüpft. Darüber hinaus können Sie den Link konfigurieren, wie erzwungen. Der LinkOptions-Wert ist ein Bit-Wert, in denen variiert Werte kombiniert der Konfigurationen.
Enabled0x0 Disabled 0x1 Enforced0x2
Deaktivieren die Verknüpfung eines Gruppenrichtlinien-Objekts wird verhindert, dass den Gruppenrichtlinien-Dienst das Gruppenrichtlinienobjekt in der Liste der Gruppenrichtlinienobjekte im Gültigkeitsbereich des Zielbenutzers oder des Computers einschließlich. Die DistinguishedNameOfGroupPolicyContainer und das LinkOptions-Token sind in eckige Klammern ([]) eingeschlossen und durch ein Semikolon (;) getrennt. Dies stellt eine einfach verknüpfte Gruppenrichtlinienobjekt. Verknüpfen ein anderes Gruppenrichtlinienobjekt auf den Speicherort einer neuen DistingushedNameOfGroupPolicyContainer und LinkOptions zusammen, bevor Sie die vorhandene Kombination eingefügt wird. die neue Kombination ist nicht am Ende hinzugefügt. Das verknüpfende Muster weiterhin fügen Sie am Anfang des Wertes neu verknüpfte Gruppenrichtlinienobjekte. durch Verschieben vorhandene Werte auf der rechten Seite.
Der Gruppenrichtliniendienst liest diese lange Zeichenfolge als eine Liste der Werte von links nach rechts. Der erste Eintrag der Gruppenrichtlinienobjekt-Verknüpfung im Wert ist die erste an dieser Stelle anwenden. Der nächste Eintrag im Wert gilt danach. Der Prozess wird fortgesetzt, bis das letzte Gruppenrichtlinienobjekt im Wert angewendet wird.
Gruppenrichtlinien weist grundsätzlich jedes Gruppenrichtlinienobjekt Vorrang basierend auf der Reihenfolge, die er liest die Liste – von links nach rechts. Daher hat das erste Gruppenrichtlinienobjekt im Wert die Rangfolge in der Liste der Gruppenrichtlinienobjekte. Das nächste Gruppenrichtlinienobjekt im Wert hat Vorrang gegenüber dem vorherigen GPO, da sie die Richtlinien nach der vorherigen Gruppenrichtlinienobjekt angewendet wird. durch das ausschlaggebende Richtlinie Einstellungskonflikte zwischen zwei Gruppenrichtlinienobjekte. Jedes Gruppenrichtlinienobjekt, das folgt hat eine höhere Priorität als das Gruppenrichtlinienobjekt vor dem in der Folge. Das letzte Gruppenrichtlinienobjekt im Wert weist die höchste Priorität, da es das letzte Gruppenrichtlinienobjekt wird der Dienst die Gruppenrichtlinie angewendet wird.
Die beste Möglichkeit, dies zu verstehen ist, die lange Zeichenfolge als eine Liste von GPOs zu betrachten. Nehmen Sie das erste Gruppenrichtlinienobjekt (links die meisten GPO) in den Wert, und platzieren Sie es in der Liste. Nehmen Sie die nächste Links GPO aufgelistet, und platzieren Sie es auf der Liste (Dadurch werden alle anderen nach unten in der Liste um eins) in Anspruch. Setzen Sie diesen Vorgang, bis das letzte Gruppenrichtlinienobjekt am oberen Rand der Liste befindet. Diese endgültige Gruppenrichtlinienobjekt verknüpften Einträge Liste ist in der Rangfolge, was bedeutet, dass die Verarbeitung der Liste von unten nach oben.
.jpeg "Unaltered string value of gplink attribute of OU")
Wenn in der Rangfolge in einer Liste angezeigt wird, ist es einfach erkennen können, dass Gruppenrichtlinienobjekte, die weiter oben in der Liste werden weitere Vorrang vor Gruppenrichtlinienobjekten in der Liste unten. Daher GPOs, die weiter unten in der Liste verlieren, Richtlinienkonflikten-Einstellung ein, und gewinnen Sie GPOs, die weiter oben in der Liste Einstellungskonflikte.
Link-Optionen
Wie bereits erwähnt einer verknüpften als Optionen von Gruppenrichtlinie aktiviert, deaktiviert, und erzwungen. Die aktivierten und deaktivierten Optionen sind intuitiv zu verstehen. Wenn eine aktivierte Verknüpfung im Bereich der Gruppenrichtlinie für den entsprechenden Benutzer oder Computer betrachtet wird. Ein deaktivierter verknüpft verhält sich wie das Gruppenrichtlinienobjekt verknüpft wurde.
Erzwungen.
Die Option erzwungen Link stellt eine Ausnahme für alle Regeln. Die Option erzwungen wird sichergestellt, dass die Einstellungen aus dem Gruppenrichtlinienobjekt verknüpften immer Konflikte unabhängig von jeder anderen Gruppenrichtlinienobjekt gewinnen, die Einstellungen enthält, die mit denen des verknüpften Gruppenrichtlinienobjekts widersprechen. Die Gruppenrichtlinien-Verwaltungskonsole stellt einen erzwungenen Gruppenrichtlinie Link visuell durch ein Vorhängeschlosssymbol auf das Symbol der vorhandenen verknüpften Richtlinie hinzufügen. Gruppenrichtlinieneinstellungen aus eine erzwungene Verknüpfung verwendet immer, auch wenn die Organisationseinheit die Vererbung der Gruppenrichtlinie aktiviert wurde
Blockieren der Vererbung von Gruppenrichtlinien
Das letzte Element zu Verarbeitungsreihenfolge von Gruppenrichtlinien ist Blockieren der Vererbung von Gruppenrichtlinien, oder einfach als "Vererbung in der Gruppenrichtlinien-Verwaltungskonsole" bezeichnet. Jede Domäne und Organisationseinheit in Active Directory-Objekt enthält eineGPOptionsAttribut. Mit dieser Einstellung können Sie Gruppenrichtlinien höher verknüpft, in der Verarbeitungsreihenfolge von der Anwendung für Benutzer und Computer, die in der Regel in Containern, die weiter unten in der Verarbeitungsreihenfolge zu blockieren.
Wenden Richtlinien, die mit der Domäne verknüpft z. B. auf Computer und Benutzer in der gesamten Domäne, unabhängig von ihren übergeordneten Organisationseinheit. Gruppenrichtlinien-Verwaltungskonsole können Sie jedoch die Vererbung auf die Domäne oder eine Organisationseinheit, zu verhindern, dass normale Gruppenrichtlinie für Benutzer und Computer innerhalb des Containers anwenden. Blockieren der Vererbung von Gruppenrichtlinien in der Domäne wird verhindert, dass Gruppenrichtlinien von Gruppenrichtlinienobjekten mit Active Directory-Standort verknüpft sind, nicht auf die Domäne angewendet. Blockieren der Vererbung von Gruppenrichtlinien für Organisationseinheiten verhindert, dass normale Gruppenrichtlinien von Gruppenrichtlinienobjekten mit Standorten und Domänen aus der Anwendung auf die Organisationseinheiten verknüpft.
Vererbung der Richtlinie verhindert nicht, dass Gruppenrichtlinien aus erzwungene Gruppenrichtlinienobjekte für Benutzer und Computer anwenden. Gruppenrichtlinien erzwungene links gelten unabhängig von der Sperrstatus für die Vererbung von Richtlinie auf Domäne und Organisationseinheit-Objekte.
Gruppenrichtlinieneinstellungen
Group Policy Preferences erweitert Gruppenrichtlinien. Voreinstellungen sind keine Gruppenrichtlinien. Windows speichert beide Einstellungen in der Registrierung. jedoch; Richtlinien haben einen Vorteil gegenüber Voreinstellungen – in der Regel eine Einstellung überschreiben.
Sie können über die Benutzeroberfläche Windows konfigurieren. Die Benutzeroberfläche stellt Ihnen Auswahlmöglichkeiten; Sie wählen die gewünschten Optionen; Klicken Sie auf OK und schließen Sie das Dialogfeld zu. Windows speichert dann Ihre Auswahl in der Registrierung, damit diese Einstellungen später zurückgerufen werden kann. Vom Benutzer konfigurierbaren Einstellungen werden als Voreinstellungen (Beachten Sie die Kleinbuchstaben "p") bezeichnet. Zuordnen von einem freigegebenen Ordner oder eine Standardstartseite auswählen ist ein Beispiel für Voreinstellungen. Beim Festlegen der Startseite mit Internet Explorer können Sie den Webbrowser schließen und öffnen Sie ihn erneut und Ihre Startseite gespeichert. Richtlinien unterscheiden sich von Voreinstellungen, da es sich bei Richtlinien für den Benutzer oder Computer erzwungen werden. Richtlinie wird verhindert, dass Benutzer ihre Einstellungen ändern. Konfigurieren von Benutzern in der Regel Voreinstellungen.
Voreinstellungen für Gruppenrichtlinien können Sie gewünschte Konfigurationen auf Computern und Benutzern bereitstellen, ohne den Benutzer eine andere Konfiguration auswählen. Es ist wichtig zu beachten, dass während der Benutzer die Konfiguration ändern kann, Group Policy Preferences clientseitigen gruppenrichtlinienerweiterungen sind. Voreinstellungen für Gruppenrichtlinien mit der Gruppenrichtlinie aktualisieren; Die Gruppenrichtlinie überschreibt daher Voreinstellungen, die vom Benutzer geändert werden, mit dem Wert in einem Gruppenrichtlinieneinstellungen konfiguriert. Ersetzen einer benutzerkonfigurierten-Einstellung mit einem mithilfe von Gruppenrichtlinien konfiguriert ist nicht identisch mit der Gruppenrichtlinie. Eine true Gruppenrichtlinien-Einstellung setzt die Einstellung und verhindert, dass den Benutzer die Einstellung ändern. Benutzer können problemlos ändern Einstellungswerte Group Policy Preferences aktivierte, bis der nächsten Aktualisierung der Gruppenrichtlinie (das die Voreinstellungen wieder auf den Wert in der Group Policy Einstellungselement konfigurierten zurückgibt).
Clientseitige Erweiterung
Group Policy Preferences sind Gruppenrichtlinien eine clientseitige Erweiterungen. Es sind 20-Erweiterungen, die Group Policy Preferences bilden. Diese Erweiterungen umfassen.
Die clientseitige Erweiterung |
Beschreibung |
Group Policy-Umgebung |
Erstellen, ändern oder Löschen von Umgebungsvariablen. |
Group Policy lokale Benutzer und Gruppen |
Dient zum Erstellen, Ändern oder Löschen lokaler Benutzer oder Gruppen. |
Gerät gruppenrichtlinieneinstellungen |
Dient zum Aktivieren oder Deaktivieren von Hardwaregeräten oder Geräteklassen. |
Netzwerk-Optionen |
Erstellen Sie, ändern Sie oder löschen Sie, virtuelle private Netzwerke (VPN) oder DFÜ-Verbindungen (DUN). |
Group Policy Laufwerk Karten |
Erstellen Sie, ändern Sie oder löschen Sie zugeordneter Laufwerke, und konfigurieren Sie die Sichtbarkeit aller Laufwerke. |
Group Policy-Ordner |
Erstellen, ändern oder Löschen von Ordnern. |
Group Policy Netzwerkfreigaben |
Erstellen, ändern oder Löschen von Netzwerkfreigaben |
Dateien für Gruppenrichtlinien |
Kopieren, ändern Sie die Attribute, ersetzen oder Löschen von Dateien. |
Group Policy-Datenquellen |
Dient zum Erstellen, Ändern oder Löschen von Open Database Connectivity (ODBC)-Datenquellennamen. |
Von Gruppenrichtlinien INI-Dateien |
Hinzufügen, ersetzen oder Löschen von Abschnitten oder Eigenschaften in Konfigurationsdateien (.ini) oder Setupinformationsdateien (INF). |
Gruppenrichtlinienoptionen Ordner |
Erstellen, ändern oder Löschen von Ordnern. |
Group Policy Planen von Tasks |
Dient zum Erstellen, Ändern oder Löschen geplanter oder sofortiger Aufgaben. |
Die Registrierung von Gruppenrichtlinie |
Dient zum Kopieren von Registrierungseinstellungen sowie zum Anwenden der Einstellungen auf andere Computer. Erstellen, ersetzen oder Löschen von registrierungseinstellungen. |
Group Policy-Drucker |
Dient zum Erstellen, Ändern oder Löschen von TCP/IP-Druckerverbindungen sowie von freigegebenen und lokalen Druckerverbindungen. |
Group Policy-Tastenkombinationen |
Erstellen, ändern oder Löschen von Verknüpfungen. |
Internet gruppenrichtlinieneinstellungen |
Konfigurierbare Internet-Einstellungen ändern |
Gruppenrichtlinieneinstellungen Sie Start im Menü |
Ändern Sie die Optionen im Startmenü. (Gilt nicht für Windows 8 und Windows Server 2012) |
Regionale Gruppenrichtlinienoptionen |
Regionale Einstellungen zu ändern. |
Group Policy Energieoptionen |
Dient zum Ändern der Energieoptionen sowie zum Erstellen, Ändern oder Löschen von Energieschemas. |
Gruppe Police-Anträgen |
Konfigurieren Sie Einstellungen für Applikationen. |
Allgemeine Konfigurationen
Die meisten Group Policy Einstellungselemente gemeinsam nutzen eine gemeinsame Konfiguration für das Steuern des Bereichs von Gruppenrichtlinieneinstellungen für jede konfigurierte Einstellungselement Verarbeitung bereit.
Beenden Sie Verarbeitung der Elemente in dieser Erweiterung, wenn für dieses Element ein Fehler auftritt
Jeder einstellungserweiterung kann einen oder mehrere Einstellungselemente enthalten. Standardmäßig wird ein fehlerhaftes Einstellungselement Element nicht anderer Einstellungselemente in der gleichen Erweiterung aufgrund der Verarbeitung verhindert.
Wenn dieVerarbeitung der Elemente in dieser Erweiterung beenden, tritt ein Fehler auf dieses Elementausgewählt ist, ein fehlerhaftes Einstellungselement Element wird verhindert, dass verbleibenden Einstellungselemente in der Erweiterung verarbeitet. Diese Änderung im Verhalten ist das hosting Gruppenrichtlinienobjekt (GPO) und die clientseitige Erweiterung beschränkt. Es wird nicht auf andere GPOs ausgeweitet.
Es ist wichtig zu verstehen, dass Gruppenrichtlinieneinstellungen-Erweiterungen Einstellungselemente vom oberen Rand der Liste zu verarbeiten und ihre nach unten Funktionsweise. Namen nur beendet die Verarbeitung der Einstellungselemente, die auf das fehlerhafte Einstellungselement (Elemente unterhalb der fehlerhaften Einstellung Elemente, wie sie in der Liste angezeigt werden).
Führen Sie im Sicherheitskontext des angemeldeten Benutzers (User Policy-Option)
Es gibt zwei Sicherheitskontexte in der Gruppenrichtlinien-Voreinstellungen des Benutzers angewendet: das Systemkonto und der angemeldete Benutzer.
Standardmäßig verarbeitet der Gruppenrichtlinie benutzereinstellungselemente mithilfe des Sicherheitskontexts des SYSTEMKONTOS ausgeführt. In diesem Sicherheitskontext ist die Einstellung auf Umgebungsvariablen und nur auf dem Computer verfügbaren Systemressourcen begrenzt.
Wenn dieim Sicherheitskontext des angemeldeten Benutzers ausführenausgewählt ist, ändert des Sicherheitskontexts, unter dem das Einstellungselement verarbeitet wird. Die bevorzugte Erweiterung verarbeitet Einstellungselemente im Sicherheitskontext des angemeldeten Benutzers. Dadurch wird die einstellungserweiterung zum Zugriff auf Ressourcen wie der Benutzer statt auf dem Computer. Dies kann wichtig sein, oder bei Verwendung von Karten Laufwerk oder anderen Voreinstellungen, in dem der Computer nicht über Berechtigungen für Ressourcen möglicherweise, bei Verwendung von Umgebungsvariablen. Der Wert vieler Umgebungsvariablen unterscheiden sich bei der Auswertung in einem anderen Sicherheitskontext als dem angemeldeten Benutzer.
Gruppe Richtlinie Erweiterungen, die im Sicherheitskontext des Benutzers, z. B. Laufwerk Karten und Drucker verarbeiten müssenautomatischwechseln Sie zu dem Kontext des Benutzers und Sie zum Anpassen dieser Einstellung ist nicht erforderlich.
Entfernen Sie dieses Element, wenn es nicht mehr angewendet wird
Gruppenrichtlinien gelten Richtlinien und Einstellungselemente für Benutzer und Computer. Sie entscheiden, welche Benutzer und Computer diese Elemente erhalten Sie durch das Verknüpfen von ein oder mehrere Gruppenrichtlinienobjekte (GPOs), Active Directory-Standorten, Domänen oder Organisationseinheiten. Benutzer- und Computerobjekte in diesen Containern erhalten, Richtlinien und Einstellungselemente, die in der verknüpften Gruppenrichtlinienobjekten definiert werden, da sie innerhalb des Bereichs des Gruppenrichtlinienobjekts sind.
Im Gegensatz zu Richtlinien entfernt der Gruppenrichtlinien-Dienst nicht Voreinstellungen, sobald das Gruppenrichtlinienobjekt hosting außerhalb des gültigen Bereichs für den Benutzer oder Computer ist.
Wenn diedieses Element entfernen, wenn es nicht mehr angewendet wirdausgewählt ist, dieses Verhalten ändert. Nach Auswahl dieser Option entscheidet Namen auf, wenn das Einstellungselement für Zielbenutzer oder Computer (außerhalb des gültigen Bereichs) nicht angewendet werden soll. Die bevorzugte Erweiterung entscheidet, dass das Einstellungselement außerhalb des Gültigkeitsbereichs liegt, wird die Einstellungen im Zusammenhang mit dem Einstellungselement entfernt.
Die Auswahl dieser Einstellung ändert das Einstellungselement AktionErsetzen. Während der Anwendung von Gruppenrichtlinien die bevorzugte Erweiterung neu erstellt (wird gelöscht und erstellt) die Ergebnisse des Einstellungselements. Wenn das Einstellungselement außerhalb des gültigen Bereichs für den Benutzer oder Computer befindet, werden die Ergebnisse des Einstellungselements gelöscht, aber nicht erstellt. Einstellungselemente können Zielgruppenadressierung auf Elementebene oder höherer Ebene Gruppenrichtlinien Filter wie z. B. WMI- und Gruppenfilter außerhalb des gültigen Bereichs werden.
Diedieses Element entfernen, wenn es nicht mehr angewendet wirdOption ist nicht verfügbar, wenn Sie die Aktion des Einstellungselements auf Delete festlegen.
Einmal anwenden und nicht erneut anwenden
Einstellungselemente anzuwenden, wenn Gruppenrichtlinien aktualisiert wird.
Standardmäßig werden die Ergebnisse der Einstellungselemente jedes Mal neu geschrieben, die die Gruppenrichtlinie aktualisiert. Dadurch wird sichergestellt, dass die Einstellung Element Ergebnisse konsistent mit, den Sie in das Gruppenrichtlinienobjekt konfiguriert.
Wenn dieeinmal anwenden und nicht erneut anwendenausgewählt ist, damit die einstellungserweiterung die Ergebnisse des Einstellungselements für den Benutzer oder Computer nur einmal gilt dieses Verhalten geändert. Diese Option ist nützlich, wenn Sie nicht, dass die Ergebnisse eines Einstellungselements erneut anwenden möchten.
Zielgruppenadressierung auf Elementebene
Eine Gruppenrichtlinie bietet Filtern steuern, welche Richtlinien und Einstellungselemente für Benutzer und Computer anwenden. Voreinstellungen bieten eine zusätzliche Ebenen Filterung bezeichnet als Ziel. Zielgruppenadressierung auf Elementebene können Sie steuern, wenn ein Einstellungselement für eine Gruppe von Benutzern oder Computern gilt.
Verwenden Sie die Zielgruppenadressierung auf Elementebene, um den Bereich einzelner Einstellungselemente ändern, damit sie nur für ausgewählte Benutzer oder Computer anwenden. In einem einzigen Gruppenrichtlinienobjekt (GPO), können Sie mehrere Einstellungselemente enthalten – jedes für ausgewählte Benutzer oder Computer angepasst und jede vorgesehen, um die Einstellungen gelten nur für die entsprechenden Benutzer oder Computer.
Jedes Zielgruppenadressierungselement führt zu einem Wert von True oder False. Sie können mehrere Zielelemente auf ein Einstellungselement anwenden, und wählen Sie die logische Operation (und oder oder), um die einzelnen Zielelemente mit dem vorhergehenden kombinieren. Wenn daraus alle Zielgruppenadressierungselemente für ein Einstellungselement auf false festgelegt ist, werden die Einstellungen in das Einstellungselement nicht für den Benutzer oder Computer angewendet. Verwenden für die Zielgruppenadressierung Sammlungen, können Sie auch Ausdrücke in Klammern erstellen.
Akku vorhanden
Das Vorhandensein Zielgruppenadressierungselement kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur dann, wenn eine oder mehrere Batterien in der verarbeitenden Computer vorhanden sind. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur, wenn der verarbeitende Computer keinen eine oder mehrere Batterien vorhanden.
Wenn eine unterbrechungsfreie Stromversorgung (USV) mit dem verarbeitenden Computer verbunden ist, kann das Vorhandensein Zielgruppenadressierungselement erkannt und als Akku zu identifizieren.
Computername
Ein Zielgruppenadressierungselement Computername kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur dann, wenn der Name des Computers des angegebenen Computernamens im Zielelement übereinstimmt. Ist ist nicht aktiviert ist, kann das Einstellungselement nur anzuwenden, wenn der Name des Computers des angegebenen Computernamens im Zielelement nicht übereinstimmt.
CPU-Geschwindigkeit
Ein Zielgruppenadressierungselement CPU-Geschwindigkeit kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn die CPU-Geschwindigkeit des verarbeitenden Computers größer oder gleich dem im Zielelement angegebenen Wert ist. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur, wenn die CPU-Geschwindigkeit des verarbeitenden Computers kleiner oder gleich dem im Zielelement angegebenen Wert ist.
Datum-Übereinstimmung
Ein Zielgruppenadressierungselement Datum-Übereinstimmung kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn der Tag oder Datum dem im Zielgruppenadressierungselement angegebenen entspricht. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur dann, wenn der Tag oder Datum nicht dem im Zielgruppenadressierungselement angegebenen übereinstimmt.
DFÜ-Verbindung
Eine DFÜ-Verbindung Zielgruppenadressierungselement kann es sich um ein Einstellungselement auf Benutzer angewendet werden, nur dann, wenn eine Netzwerkschnittstelle des im Zielgruppenadressierungselement angegebenen Typs verbunden ist. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur dann, wenn keine Verbindung zum Netzwerk des im Zielgruppenadressierungselement angegebenen Typs verbunden ist.
Zielgruppenadressierungselemente für DFÜ-Verbindung zu erkennen, ob eine Art von Netzwerkverbindung vorhanden ist, nicht, ob der Benutzer über eine Verbindung dieses Typs angemeldet ist.
Speicherplatz
Ein Zielgruppenadressierungselement Speicherplatz kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn der verarbeitenden Computer verfügbaren Speicherplatz größer oder gleich dem im Zielelement angegebenen Wert ist. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur, wenn der verarbeitenden Computer verfügbaren Speicherplatz kleiner oder gleich dem im Zielelement angegebenen Wert ist.
Domäne
Ein Zielgruppenadressierungselement für Domänen ermöglicht ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn der Benutzer angemeldet ist oder der Computer Mitglied der Domäne oder Arbeitsgruppe im Zielelement angegeben ist. Ist ist nicht aktiviert ist, kann das Einstellungselement nur, wenn der Benutzer nicht angemeldet ist oder der Computer nicht Mitglied der Domäne oder Arbeitsgruppe im Zielgruppenadressierungselement angegebenen ist angewendet werden.
Umgebungsvariablen
Eine Umgebungsvariable Zielgruppenadressierungselement kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn die Umgebungsvariable und im Zielgruppenadressierungselement angegebenen Wert gleich sind. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur, wenn die Umgebungsvariable und im Zielgruppenadressierungselement angegebenen Wert nicht gleich sind, oder wenn die Umgebungsvariable nicht vorhanden ist.
Wenn Sie den Bereich von mehreren Einstellungselementen durch einen komplexen Satz von Zielgruppenadressierungselementen einschränken möchten, können Sie die Konfiguration mit einer Umgebungsvariablen vereinfachen. Erstellen Sie z. B. das Einstellungselement Umgebungsvariable, das eine neue Umgebungsvariable mit dem Wert 1 generiert, und wenden Sie die Zielgruppenadressierungselemente auf diese an. Um die gleiche Zielgruppenadressierung auf andere Einstellungselemente anzuwenden, fügen diesen Einstellungselementen das Zielgruppenadressierungselement Umgebungsvariable hinzu, und konfigurieren Sie es so, dass für die Variable, die Sie mit dem Einstellungselement Umgebungsvariable erstellt haben, der Wert 1 erforderlich ist.
Dateiübereinstimmung
Eine Dateiübereinstimmung Zielgruppenadressierungselement kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn die Datei oder im Zielgruppenadressierungselement angegebene Ordner vorhanden ist, oder im Zielgruppenadressierungselement nur dann, wenn die Datei vorhanden ist und eine Version innerhalb des Bereichs angegeben. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement nur dann, wenn die Datei oder im Zielgruppenadressierungselement angegebenen Ordner nicht vorhanden ist, oder, wenn die Version der Datei nicht innerhalb des im Zielelement angegebenen Bereichs angewendet werden.
Übereinstimmung der IP-Adresse
IP-Adressbereich Zielgruppenadressierungselement kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn die IP-Adresse des verarbeitenden Computers im Zielgruppenadressierungselement angegebenen Bereich befindet. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, wenn die IP-Adresse des verarbeitenden Computers nicht im vom Zielgruppenadressierungselement angegebenen Bereich.
Language
Eine Zielgruppenadressierungselement Sprache kann ein Einstellungselement auf Computer angewendet werden, oder Benutzer nur, wenn das Gebietsschema im Zielelement angegeben ist auf dem verarbeitenden Computer installiert. Zusätzliche Optionen können Sie schränken das Ziel des Benutzers oder Computers Gebietsschema. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur dann, wenn das angegebene Gebietsschema im Zielelement Gebietsschema des verarbeitenden Computers nicht übereinstimmen.
Ein Gebietsschema besteht aus einer Sprache und in einigen Fällen ein geografisches Gebiet, in dem die Sprache gesprochen oder das Alphabet verwendet. Französisch (Kanada) ist beispielsweise ein Gebietsschema setzt sich aus der Sprache Französisch und den geografischen Bereich Kanada.
LDAP-Abfrage
Ein LDAP-Abfragen kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn die LDAP-Abfrage gibt einen Wert für das im Zielgruppenadressierungselement angegebene Attribut zurück. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur dann, wenn die LDAP-Abfrage kein Wert für das im Zielgruppenadressierungselement angegebene Attribut zurückgibt.
MAC-Adressbereich
Ein Zielgruppenadressierungselement MAC-Adressbereich ermöglicht ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn der MAC-Adressen des verarbeitenden Computers im vom Zielgruppenadressierungselement angegebenen Bereich sind. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur dann, wenn keine der MAC-Adressen des verarbeitenden Computers nicht im vom Zielgruppenadressierungselement angegebenen Bereich sind.
Bereich der Anfangs- und Endpunkte sind inklusiv. Sie können eine einzelne Adresse angeben, durch den gleichen Wert in beide Felder eingeben.
MSI-Abfrage
Ein Zielgruppenadressierungselement MSI-Abfrage kann ein Einstellungselement auf Computer angewendet werden, oder Benutzer nur, wenn bestimmte Aspekte des MSI-Produkt, Aktualisierung oder einer Komponente auf dem verarbeitenden Computer installiert entsprechen die im Zielgruppenadressierungselement angegebenen Kriterien. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement nur wenn bestimmte Aspekte eines Produkts MSI installiert, Update oder Komponente auf dem verarbeitenden Computer nicht den angegebenen entsprechen die angegebenen Kriterien in die Zielgruppenadressierung Element angewendet werden soll.
Betriebssystem
Ein Zielgruppenadressierungselement Betriebssystem kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur dann, wenn die Verarbeitung des Computerbetriebssystems Product Name, Version, Edition oder Computer-Rolle im Zielgruppenadressierungselement angegebenen übereinstimmen. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur dann, wenn das Betriebssystem Product Name, Version, Edition oder Computer Rolle nicht den im Zielgruppenadressierungselement angegebenen übereinstimmt.
Organisationseinheit
Ein Zielgruppenadressierungselement Organisationseinheit kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn der Benutzer oder Computer Mitglied der im Zielgruppenadressierungselement angegebenen Organisationseinheit (OE) ist. Wenn ist nicht aktiviert ist, können Sie das Einstellungselement angewendet werden, nur, wenn der Benutzer oder Computer kein ist Mitglied der im Zielgruppenadressierungselement angegebenen Organisationseinheit.
PCMCIA vorhanden
Eine PCMCIA vorhanden-Zielgruppenadressierungselement kann ein Einstellungselement auf Computer angewendet werden, oder Benutzern nur, wenn der verarbeitenden Computer mindestens ein PCMCIA-Steckplatz zur Verfügung stellen. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur, wenn der verarbeitende Computer keinen PCMCIA-Steckplatz vorhanden.
Ein PCMCIA-Steckplatz gilt als vorhanden, wenn die Treiber für den Steckplatz installiert sind und der Steckplatz ordnungsgemäß funktioniert.
Tragbare Computer
Einen tragbaren Computer, das Zielelement kann ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur dann, wenn der verarbeitende Computer als einen tragbaren Computer in der aktuellen Hardware-Profil auf dem verarbeitenden Computer identifiziert wird, oder wenn der verarbeitende Computer als einen tragbaren Computer mit der Andockstatus identifiziert wird, die in das Zielelement angegeben werden. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, wenn der verarbeitende Computer nicht als einen tragbaren Computer in der aktuellen Hardware-Profil auf dem verarbeitenden Computer angegeben ist oder der Andockstatus Zielgruppenadressierungselement gemäß der Andockstatus des verarbeitenden Computers unterscheidet.
Verarbeitungsmodus
Verarbeitungsmodus Zielgruppenadressierungselement kann ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur dann, wenn die für Benutzergruppenrichtlinie oder Zustände auf dem verarbeitenden Computer mindestens übereinstimmen, die eine solche im Zielelement angegeben. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur, wenn die für Benutzergruppenrichtlinie oder Zustände auf dem verarbeitenden Computer keiner im Zielelement angegebenen übereinstimmen.
RAM
Ein Zielgruppenadressierungselement für RAM kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn Größe des gesamten physischen Speicher des verarbeitenden Computers größer oder gleich dem im Zielelement angegebenen Wert ist. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur, wenn die Gesamtmenge des physischen Speichers im Computer Verarbeitung geringer als der im Zielelement angegeben ist. Geben Sie die Gesamtmenge des physischen Speichers in Megabytes (MB). Ein Gigabyte (GB) des physischen Speichers wird als 1024 eingegeben. 4 GB physischen Arbeitsspeicher werden als 4096 eingegeben.
Registrierung-Übereinstimmung
Eine Registrierung Übereinstimmung Zielgruppenadressierungselement kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn der Registrierungsschlüssel oder im Zielgruppenadressierungselement angegebenen Wert vorhanden ist, wenn der Registrierungswert im Zielelement angegebenen Daten enthält, oder ist die Versionsnummer im Registrierungswert im Zielgruppenadressierungselement angegebenen Bereich. Wenn das Zielelement das Einstellungselement zulässig und Get-Wertdaten im Zielelement aktiviert ist, speichert das Zielelement die Wertdaten des angegebenen Registrierungswerts im Zielelement angegebenen Umgebungsvariablen. Ist ist nicht aktiviert ist, kann das Einstellungselement nur, wenn Sie den Registrierungsschlüssel oder im Zielgruppenadressierungselement angegebene Wert nicht vorhanden ist, wenn der Registrierungswert im Zielelement angegebenen Daten enthält oder die Versionsnummer im Registrierungswert nicht innerhalb des im Zielelement angegebenen Bereichs ist, angewendet werden.
Sicherheitsgruppe
Ein Zielelement für Sicherheitsgruppen kann ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur dann, wenn der verarbeitende Computer oder Benutzer Mitglied der Gruppe im Zielelement und optional nur angegeben ist, wenn die angegebene Gruppe die primäre Gruppe für den verarbeitenden Computer oder Benutzer ist. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, wenn der verarbeitende Computer oder Benutzer nicht Mitglied der Gruppe angegeben wird, wenn die angegebene Gruppe nicht die primäre Gruppe für den verarbeitenden Computer oder Benutzer im Zielelement und optional.
Sicherheitsgruppe
Domänengruppen
Lokal (in Domäne)
Globale Gruppen
Universelle Gruppen
Lokale Gruppen
Lokale Gruppen (einschließlich integrierter Gruppen)
Well-Known
Standort
Ein Zielgruppenadressierungselement Standort kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn der verarbeitende Computer am Standort in Active Directory im Zielelement angegeben ist. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, wenn der verarbeitende Computer nicht in der Site in Active Directory im Zielelement angegeben.
Auflistung für die Zielgruppenadressierung
Um ein Voreinstellungselement angewendeten Zielgruppenadressierungselemente werden als logischer Ausdruck ausgewertet. Eine Auflistung für die Zielgruppenadressierung ermöglicht das Erstellen einer eingeklammerten Gruppierung innerhalb dieses Ausdrucks. Sie können eine Auflistung der für die Zielgruppenadressierung innerhalb einer anderen komplexe logische Ausdrücke erstellen schachteln.
Eine Auflistung für die Zielgruppenadressierung ermöglicht es, ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn die Auflistung der Zielelemente Ergebnisse der Wert True angegeben wird. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, nur, wenn die Auflistung der Zielelemente Ergebnisse der Wert False angegeben.
Der Terminalserver-Sitzung
Ein Zielgruppenadressierungselement für Terminalserver-Sitzung kann es sich um ein Einstellungselement auf Benutzer angewendet werden, nur dann, wenn der Benutzer für die Verarbeitung einer Terminaldienste-Sitzung mit den Einstellungen im Zielgruppenadressierungselement angegebenen angemeldet ist. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement nur, wenn der Benutzer nicht mit einer Terminaldienste-Sitzung angemeldet ist oder der Benutzer eine Terminaldienste-Sitzung ohne den im Zielgruppenadressierungselement angegebenen Einstellungen angemeldet ist angewendet werden.
Zeitbereich
Ein Zielgruppenadressierungselement Zeitraum kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn die aktuelle Uhrzeit auf dem Computer des Endbenutzers innerhalb des im Zielelement angegebenen Zeitraums ist. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, wenn die aktuelle Uhrzeit auf dem Computer des Endbenutzers nicht innerhalb des im Zielelement angegebenen Bereichs.
User
Ein Zielgruppenadressierungselement für Benutzer kann ein Einstellungselement nur dann, wenn der Benutzer für die Verarbeitung der im Zielgruppenadressierungselement angegebene Benutzer ist auf Benutzer angewendet werden. Wenn ist nicht aktiviert ist, kann das Voreinstellungselement angewendet werden, wenn der Benutzer für die Verarbeitung nicht den im Zielgruppenadressierungselement angegebenen Benutzer.
WMI-Abfrage
Eine WMI-Abfragen kann es sich um ein Einstellungselement auf Computer oder Benutzer angewendet werden, nur, wenn der verarbeitende Computer die WMI-Abfrage als True ausgewertet wird. Ist ist nicht aktiviert ist, kann das Einstellungselement nur anzuwenden, wenn der verarbeitende Computer die WMI-Abfrage als False ausgewertet wird.
Verarbeitung
Dieses Dokument erläutert früher Verarbeitung von Gruppenrichtlinien. Group Policy clientseitigen Erweiterungen für befolgen dieselben Regeln. Daher können verknüpfte Hierarchie, Sicherheit und WMI-Filterung den Bereich des Gruppenrichtlinienobjekts mit Gruppenrichtlinien konfiguriert ändern. Ändern Sie den Bereich, Benutzer und-Computer können oder nicht Einstellungen oder Einstellungselemente, die in diese Gruppenrichtlinienobjekte konfiguriert.
Gruppenrichtlinieneinstellungen der clientseitigen Erweiterung haben jedoch ihre eigenen interne Verarbeitung. Sie können eine oder mehrere Einstellungselemente für eine einzelne Gruppenrichtlinieneinstellungen-Erweiterung verarbeitet ein einzelnes Gruppenrichtlinienobjekt konfigurieren. Beispielsweise können Sie ein einzelnes GPO um 10 Laufwerk Karte Einstellungselemente innerhalb eines einzelnen Gruppenrichtlinienobjekts enthalten konfigurieren.
.jpeg "One GP object that includes 10 drive map items")
Eine Liste der Erweiterungen von Gruppenrichtlinie durchläuft die Gruppenrichtlinieninfrastruktur, während der Verarbeitung von Gruppenrichtlinien. Wie es auf jede Erweiterung wechselt, hat sie relevante Informationen für die Erweiterung um einen Teil der Gruppenrichtlinie zu verarbeiten. Wichtige Komponenten gemeinsam mit den Erweiterungen Informationen enthalten eine Liste der Gruppenrichtlinienobjekte, die geändert wird, enthalten eine Liste der Gruppenrichtlinienobjekte, die nicht mehr im Gültigkeitsbereich der Benutzer oder Computer enthalten sind. Die Infrastruktur der Gruppenrichtlinie bietet außerdem Informationen zu dieser Instanz der Verarbeitung von Gruppenrichtlinien wie z. B., wenn die Verbindung eine langsame Verbindung betrachtet wird.
Die Erweiterung für die Gruppenrichtlinieneinstellungen verwendet die Informationen über die geänderten und außerhalb des Bereichs von Gruppenrichtlinienobjekten, um seinen Richtlinien zu verarbeiten. Gruppe Richtlinie clientseitigen Erweiterungen verarbeiten Einstellungselemente in der Reihenfolge von oben in der Liste am Ende der Liste.
Die Ergebnisse der Verarbeitung jedes Einstellungselement variieren abhängig von der Aktion, die in das Einstellungselement konfiguriert. Darüber hinaus kann Zielgruppenadressierung auf Elementebene das Einstellungselement verhindern, dass für den Benutzer oder Computer anwenden. Die Gruppenrichtlinieneinstellungen der clientseitigen Erweiterung gilt jedes Element in der Liste aus, bis das Ende der Liste erreicht, oder aufgrund einer gemeinsamen Konfigurationen, wie z. B. beendetVerarbeitung der Elemente in dieser Erweiterung beenden, tritt ein Fehler auf diesem Element oder einmal anwenden und nicht erneut anwenden. Sobald die einstellungserweiterungen wendet alle Einstellungselemente in der Liste, zurück Steuerelement an der Gruppenrichtlinien-Dienst.