Режим обработки замыкания групповой политики (Loopback Policy Processing)

Режим обработки замыкания групповой политики (Loopback Policy Processing)

Понятно, что GPO, содержащие настройки пользователя, должны применяться к OU, в которых находятся пользователи. И наоборот, GPO с настройками для компьютеров должны быть назначены на OU, эти самые компьютеры содержащие. И если взять GPO, в котором находятся параметры пользователя, и попытаться применить его к OU, в котором находятся компьютеры, то ничего не произойдет, т.к. у настроек просто не будет объекта применения.

Однако иногда бывают ситуации, к пользователю необходимо применить настройки, зависящие от расположения компьютера. К примеру, у вас имеется группа терминальных серверов, для которых определены особые настройки безопасности. Соответственно пользователи, работающие на этих серверах, должны получить настройки, отличные от своих обычных настроек.

В данной ситуации требуется применить настройки пользователя к группе компьютеров. И поможет в этом режим замыкания групповой политики (Loopback Processing mode).

Для включения этого режима надо открыть нужный GPO, перейти в раздел Computer Configuration\Administrative Template\System\Group Policy, активировать параметр «Configure user Group Policy Loopback Processing mode / Настройка режима обработки замыкания пользовательской групповой политики»)  и выбрать нужный режим работы:

• Merge (Слияние) — настройки пользователя объединяются с настройками компьютера, при этом список настроек компьютера добавляется в конец списка настроек пользователя. Если происходит конфликт настроек, то настройки компьютера имеют больший приоритет и переопределяют настройки пользователя;
• Replace (Замена) — в этом режиме настройки пользователя не используются, к пользователю применяется только список настроек для компьютера.

Примечание. 
При использовании Loopback Processing mode в режиме Merge политика отрабатывает дважды. Об этом надо помнить, особенно при использовании logon-скриптов.
Режим обработки замыкания групповой политики (Loopback Policy Processing)

Например, возьмем домен с двумя организационными подразделениями — OU1 и OU2.
Режим обработки замыкания групповой политики (Loopback Policy Processing)

В первом находятся объекты учетных записей пользователей и их локальные компьютеры, во втором — объекты серверов RDS.

Если пользователь осуществляет вход в систему на локальном компьютере, то он оказывается под действием доменной групповой политики (Default domain policy), затем политики GP1 локального компьютера (которая была применена при его включении) и политики GP2 пользователя (примененной при входе в систему).

Если пользователь осуществляет вход на сервер RDS, то будут действовать доменная политика, политика сервера GP3 и политика пользователя GP2.
Если же включить Loopback Policy Processing, то при входе на сервер RDS будут действовать доменная политика, политика сервера GP3 и политика пользователя GP2+GP4 (в режиме Merge) или только GP4 (в режиме Replace).

При возникновении любых конфликтов настроек между политиками OU пользователя и OU сервера в режиме Merge политика в OU сервера будет иметь более высокий приоритет.

Используя несколько серверов RDS в кластере, просто необходимо управлять пользовательскими профилями. К счастью, для этого есть достаточно много возможностей со своими сильными и слабыми сторонами. Остается только выбрать то сочетание, которое лучше всего будет подходить для каждого конкретного случая.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.