組策略系列（三）爲您深刻解析組策略應用過程

組策略系列（三）組策略應用（處理）過程

瞭解了組策略的基本概念後，咱們對GPMC、GPO、GPT、GPlink、GPID都有了初步的認識，可是你們必定會有個疑問，當客戶端應用組策略的時候,是靠一種什麼機制去應用組策略的呢？好比不一樣ou裏的計算機，當機器開機的時候，他怎麼去識別他所須要應用的組策略的，由於不一樣的ou有不一樣的組策略，它怎麼樣進行識別的？怎麼去判斷組策略已經修改而須要應用的呢？應用時去哪裏能準確地找到這個GPT模板來應用呢？搞清楚這個過程，對於從此的排錯是十分有好處的，如今帶着這些疑問，我帶着你們實際圖解解開這個「謎團」

組策略在處理時過程分爲兩個部分。
第一部分是組策略基礎結構處理過程。在這一階段，Windows 組策略客戶端向其最近的域控制器進行查詢以肯定 DC 的連接速度是多少、在 Active Directory 層次結構中處於什麼位置（即客戶端是哪一個站點、域和 OU 的成員），以及哪些 GPO 適用於該計算機或當前登陸的用，並建立一個GPO列表；
第二部分客戶端擴展 (CSE) 處理過程。在 CSE 階段，各個註冊的 CSE 都會對那些已在其區域內實現了設置的 GPO 的列表進行處理。

具體步驟爲：
1）慢速連接檢測過程，客戶端對其站點內的域控制器執行慢速連接檢測以肯定連接速度，若是計算得出的連接速度低於某個閾值（默認是 500Kb/s），則認爲連接過慢，這時，將在註冊表標記爲慢速鏈接，那麼某些 CSE（例如「軟件安裝」、「文件夾重定向」以及「Internet Explorer 維護」）將不會運行。若是大於閥值，則在註冊表標記爲非慢速鏈接，並將執行全部的組策略內容。

2）客戶端從本地註冊表中讀取CSE狀態信息，並讀取GPO的版本屬性，在下一步將與域控上的GPO版本屬性對比是不是最後處理過的，若是域控上的版本數字更大，說明該GPO是更新過的，須要在本地執行。

3）客戶端使用LDAP在它於活動目錄層次結構中所處的位置搜索容器對象在活動目錄中的GPlink屬性，而後根據結果，創建一個必須進行處理評估的GPO的列表；

 4）每一個 GPO 將評估其版本號、在 SYSVOL 中 GPO 的「組策略模板」(GPT) 部分的路徑以及在該 GPO 中實現了哪些 CSE。

5）各個 CSE 都按照在 順序運行，而且若是 GPO 自上個處理循環以來曾被更改過（在覈心處理過程期間肯定），則會對實現該 CSE 的 GPO 進行處理。若是修改過（DC上的版本高），則讀取相應GPT並應用。

 打開該GPT文件夾可看到相應的GPT模板了

 還有一點須要知道的是，在什麼狀況下版本號會更改，更改條件爲： 

·      應用到用戶或計算機的 GPO 列表發生改變（添加或刪除了 GPO）

·      用戶或計算機的安全組成員身份發生改變

·      關聯到 GPO 的 WMI 篩選器發生改變（添加或刪除了 WMI 篩選器）

若是知足上述任一更改條件，客戶端都將在該循環中從新處理策略。

 

組策略系列（一）概覽

組策略系列（二）基本概念

組策略系列（三）爲您深刻解析組策略應用過程

組策略系列（四）進階學習

組策略系列（五）軟件部署

組策略系列（六）工具

組策略系列（七）自定義編寫ADM模板

 http://bjyizhang.blog.51cto.com/