Чому gpedit та відповідні записи реєстру не синхронізуються?

Я в Windows 10 Pro. Я помітив, що коли я застосовую деякі політики через gpedit, відповідні записи створюються в реєстрі. Якщо я скасую, записи також видаляються з реєстру.

Тож я очікував, що це буде працювати навпаки, але якщо я вручну встановити ту саму політику через реєстр, відповідні записи gpedit все ще відображаються як "не налаштовані".

Я щось пропускаю? чи політика gpedit щось більше, ніж запис реєстру? так ... де вони зберігаються?

Оскільки зміни, внесені в редакторі групової політики, впливають на те, що ви бачите в реєстрі, цілком логічно припустити, що зворотне значення також відповідає дійсності. Однак це не працює таким чином.

Налаштування політики локальної групової політики (на яку я вважаю, на яку ви посилаєтесь у своїй публікації) зберігаються у registry.polфайлах, розташованих у C:\Windows\system32\GroupPolicy. Ці файли перезаписують відповідні ключі в реєстрі щоразу, коли система виконує оновлення групової політики. Редактор ніколи насправді не читає реєстр, щоб побачити, які параметри він містить.

Оновлення групової політики спрацьовує кожного разу, коли відбувається одна з наступних подій:

• З регулярним плановим інтервалом оновлення (за замовчуванням кожні 90 хвилин)
• Подія входу користувача або вихід із системи (лише для політики користувачів)
• Перезавантаження комп'ютера (лише для комп'ютерної політики)
• Оновити вручну оновлення через gpupdate
• Команда оновлення політики, видана адміністратором від контролера домену (якщо комп'ютер приєднаний до домену).

Важливо пам’ятати, що якщо до комп'ютера приєднано домен, доменні політики застосовуватимуться після обробки файлів політик локальної групової політики (це означає, що деякі параметри можуть бути перезаписані політикою домену). Ви не зможете побачити політику домену в редакторі локальної групової політики.

Це працює так з трьох причин:

• Групова політика розроблена з урахуванням "натискання" контролера домену Active Directory. Машини не призначені для управління політикою назад до контролера домену.

• Поняття політики та Active Directory було розроблено в той час, коли комутовані комунікації були дуже поширеними, а широкосмугового зв'язку не було. Для змін у реєстрі віддзеркалення до контролера домену в цій ситуації, ймовірно, потребує дуже обмеженої пропускної здатності, і ситуації, коли системи лише час від часу спілкуються з контролером домену через сеанси комутованого доступу, і тут не було нечуваного в NT4 дні я вірю.

• Ви, мабуть, помітили, що в багатьох полісах є налаштування "Не налаштовано", "Увімкнено" або "Не вимкнено". У груповій політиці встановлено параметр "Не налаштовано", щоб дозволити місцевим налаштуванням не торкатися політики. Це спеціально означає, що ви, програма чи місцевий адміністратор можете змінити відповідні записи реєстру, і політика не змінить їх. Можливо, ви не хочете контролювати кожен аспект системи за допомогою політики.

Тож локальний реєстр та групова політика не синхронізуються із машиною-> AD за дизайном. Політика локальної групи gpedit.mscпрацює так само, хоча вона не синхронізується з будь-яким контролером домену.