Windows 中的組策略和系統資料庫策略處理有什麼區別?
我有時需要在 Active Directory 的電腦部分臨時更改一些與組策略相關的系統資料庫設置,以便我可以執行一些工作。
在閱讀了一些有關如何執行此操作的文章後,我遇到了以下系統資料庫設置:
# Disable Group Policy updates (computers, users, and domain controllers) until the user logs off the system New-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "DisableBkGndGroupPolicy" -PropertyType DWord -Value 1 -Force # Disable Registry Policy processing New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\Group Policy\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}" -Name "NoBackgroundPolicy" -PropertyType DWord -Value 1 -Force New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\Group Policy\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}" -Name "NoGPOListChanges" -PropertyType DWord -Value 0 -Force
究竟什麼是“系統資料庫策略”?如果我在使用者註銷之前禁用組策略更新,即電腦不會嘗試刷新和重新應用策略,為什麼需要禁用系統資料庫策略處理?
資料來源:https ://www.thewindowsclub.com/disable-background-processing-registry-policy
這是一個很大的話題,但這裡有一個簡短的概述:
後台策略處理:通常在系統啟動時處理電腦 GPO,在使用者登錄時處理使用者 GPO。您通常會打開後台策略處理,這將允許系統在後台的預設間隔(90-120 分鐘之間的隨機間隔)上重新應用這些設置。如果您禁用後台處理,則在使用者註銷或重新啟動電腦之前,這些設置不會重新應用。出於安全目的,最好保持打開狀態。
系統資料庫策略:當 GPO 被應用時,它實際上被分解為多個部分。最大的一對是組策略 (GP) 和組策略首選項 (GPP)。
GP 是 GPO 的“正常”部分,也是兩者中較舊的部分。設置本地 GPO 時,您只會看到 GP 作為選項。GPP 僅在從域控制器設置策略時可用。
GPP 被認為是“首選項”,因為這些設置旨在設置,然後允許使用者/系統更改。可以在 GPP 中設置背景、映射驅動器或系統資料庫項,但不會鎖定到位。除非勾選“應用一次”選項,否則後台刷新仍將再次設置這些設置。
GP被認為更“永久”,可以“鎖定”到位。GP 分為幾個類別:安全策略(如在提供密碼策略和審核的 secpol.msc 管理單元設置中)、系統資料庫策略(這允許您設置設置和密鑰權限)和管理模板。安全策略設置應用於系統安全數據庫。系統資料庫策略被應用到系統資料庫。管理模板…從技術上講,這是一個 hack,因為實際上這只是應用系統資料庫設置的另一種方式。絕大多數組策略實際上都有一個系統資料庫項。通常,如果您查找管理模板的名稱和“系統資料庫”,您會找到密鑰的名稱。您還可以打開負責模板的 ADM 或 ADMX 文件並查看它的內容
大多數情況下,當您進行需要臨時系統資料庫項更改的更改時,您應該吸收它並處理 90-120 刷新,或者設置一個臨時 GPO 來更改設置。