Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Standaard wordt Group Policy overgenomen en cumulatief toegepast, en het is van invloed op alle computers en gebruikers in een Active Directory (AD) container en de onderliggende objecten. Computergerelateerde beleidsinstellingen overschrijven beleidsinstellingen die betrekking hebben op gebruikers.
Groepsbeleidsobjecten (GPO) worden verwerkt in de volgende volgorde:
- Het lokale groepsbeleidsobject wordt toegepast.
- GPO’s die aan sites zijn gekoppeld, worden toegepast.
- GPO's die aan domeinen zijn gekoppeld, worden toegepast.
- GPO's die zijn gekoppeld aan organisatie-eenheden (OE's) worden toegepast. In een geneste OE-structuur worden GPO's die zijn gekoppeld aan bovenliggende organisatie-eenheden eerst toegepast, gevolgd door GPO's die zijn gekoppeld aan de onderliggende organisatie-eenheden.
Tip
De volgorde van groepsbeleidsobjectverwerking is van cruciaal belang omdat elke volgende beleidstoepassing instellingen kan overschrijven die door eerdere beleidsregels worden toegepast.
De standaard overervingsmethode is het evalueren van het groepsbeleid, beginnend met de hoogste bovenliggende AD-container. De AD-container die het dichtst bij de computer of gebruiker ligt, overschrijft groepsbeleid dat is ingesteld in een AD-container op een hoger niveau. Overerving wordt genegeerd wanneer u de afdwingoptie voor die GPO-link instelt of wanneer de instelling voor het blokkeren van overerving wordt toegepast. Lokaal groepsbeleid wordt verwerkt vóór beleid op basis van een domein. Beleidsinstellingen van GPO's die zijn gekoppeld aan AD-containers overschrijven lokale beleidsinstellingen.
U kunt meer dan één groepsbeleidsobject koppelen aan een AD-container. De GPO-koppeling met de laagste koppelingsvolgorde in de lijst Groepsbeleidsobjectkoppelingen heeft standaard voorrang.
Hoe verwerking van groepsbeleid werkt
Groepsbeleid voor computerinstellingen wordt toegepast wanneer de computer wordt gestart. Groepsbeleid wordt toegepast bij het aanmelden voor gebruikers. Deze initiële verwerking van beleid kan ook worden aangeduid als een toepassing van voorgrondbeleid.
De voorgrondverwerking van Groepsbeleid kan synchroon of asynchroon zijn. In de synchrone modus voltooit de computer de systeemstart pas als het computerbeleid succesvol is toegepast. Het aanmeldingsproces van de gebruiker wordt pas voltooid als het gebruikersbeleid is toegepast. Als er in de asynchrone modus geen beleidswijzigingen zijn waarvoor synchrone verwerking is vereist, kan de computer de beginvolgorde voltooien voordat de toepassing van het computerbeleid is voltooid. Het bureaublad kan ook beschikbaar zijn voor de gebruiker voordat de toepassing van gebruikersbeleid is voltooid in de asynchrone modus. Het systeem past vervolgens periodiek groepsbeleid toe (vernieuwt) op de achtergrond. Tijdens het vernieuwen worden beleidsinstellingen asynchroon toegepast.
Alle beleidsverwerking moet binnen 60 minuten worden voltooid. Er is geen methode om deze time-outperiode te wijzigen.
Na de eerste verwerking van groepsbeleid (ook wel bekend als toepassing voor voorgrondbeleid), past het systeem periodiek (vernieuwingen) groepsbeleid op de achtergrond toe. Tijdens het vernieuwen worden beleidsinstellingen asynchroon toegepast.
Standaard wordt elke 90 minuten een vernieuwing uitgevoerd. Het systeem kan een willekeurige tijd van maximaal 30 minuten toevoegen aan het vernieuwingsinterval. U kunt deze standaardwaarden wijzigen met behulp van een groepsbeleidsinstelling in de extensie Beheersjablonen in Groepsbeleid. Als u de waarde instelt op nul minuten, wordt de vernieuwingsfrequentie ingesteld op zeven seconden. Niet alle groepsbeleidsextensies worden verwerkt tijdens een achtergrondvernieuwing. De verwerking van mapomleiding vindt bijvoorbeeld alleen plaats wanneer een gebruiker zich aanmeldt. De verwerking van software-installatiebeleid vindt ook alleen plaats wanneer een computer wordt gestart en wanneer een gebruiker zich aanmeldt.
Hoewel het systeem de scriptextensies voor Groepsbeleid tijdens het vernieuwen op de achtergrond verwerkt, worden afzonderlijke scripts alleen uitgevoerd wanneer de computer wordt gestart en afgesloten, en wanneer een gebruiker zich aanmeldt en zich afmeldt.
Tijdens een beleidsvernieuwing wordt door een client-side extensie standaard alleen het beleid opnieuw toegepast als een wijziging in een van de GPO's of in de lijst met GPO's wordt gedetecteerd. Dit gedrag is om prestatieredenen.
Afgedwongen GPO's
Bepaal of er beleidsinstellingen zijn die altijd moeten worden afgedwongen voor bepaalde groepen gebruikers of computers. Maak GPO's die deze beleidsinstellingen bevatten, koppel ze aan de juiste site, domein of OU, en stel deze koppelingen in als afgedwongen. Door deze optie in te stellen, dwingt u de beleidsinstellingen van een groepsbeleidsobject op een hoger niveau af door te voorkomen dat GPO's in AD-containers op lager niveau deze overschrijven. Als u bijvoorbeeld een specifiek groepsbeleidsobject op domeinniveau definieert en de afgedwongen optie instelt, zijn de beleidsregels die het groepsbeleidsobject bevat van toepassing op alle OE's onder dat domein. Groepsbeleidsobjecten die zijn gekoppeld aan de organisatie-eenheden op lager niveau, kunnen het afgedwongen groepsbeleid voor domeinen niet overschrijven. Als meerdere GPO's aan dezelfde site, hetzelfde domein of dezelfde organisatie-eenheid zijn gekoppeld en de optie 'afgedwongen' is ingesteld, heeft de hoogste groepsbeleidsobjectkoppeling, die is ingesteld op 'afgedwongen', prioriteit.
Overname blokkeren
In de Console Groepsbeleidsbeheer (GPMC), overname van beleid blokkeren of overname blokkeren, verwijst naar een functie die invloed heeft op de verwerkingsvolgorde van Groepsbeleid. Elk domein en elke organisatie-eenheid in AD heeft een GPOptions-kenmerk , dat kan worden geconfigureerd om overname te blokkeren. Hierdoor worden geen beleidsinstellingen toegepast op de lokale, site-, domein- en hogere OE-niveaus die van invloed zijn op computers of gebruikers binnen de organisatie-eenheid. Hoewel geblokkeerde overname echter voorkomt dat de meeste instellingen worden toegepast op een organisatie-eenheid, heeft dit geen invloed op instellingen die worden toegepast via GPO's met de afgedwongen optie. Afgedwongen is een koppelingseigenschap en heeft voorrang op overname van blokbeleid, een containereigenschap.
Beleidsinstellingen die aan een domein zijn gekoppeld, zijn doorgaans van toepassing op alle computers en gebruikers binnen het domein, ongeacht hun bovenliggende organisatie-eenheid. Met behulp van GPMC kunt u overname op een domein of organisatie-eenheid blokkeren om te voorkomen dat normale groepsbeleidsinstellingen worden toegepast. Het blokkeren van overname op domeinniveau voorkomt dat instellingen van GPO's die zijn gekoppeld aan een AD-site, worden toegepast op het domein, terwijl het blokkeren op organisatie-eenheidsniveau voorkomt dat instellingen van GPO's die zijn gekoppeld aan sites en domeinen, van invloed zijn op deze OE's.
Naast het blokkeren van overname:
- Een groepsbeleidsobject zelf kan volledig worden uitgeschakeld
- Een groepsbeleidsobject kan de computerinstellingen uitschakelen
- Een groepsbeleidsobject kan de gebruikersinstellingen uitschakelen
- Een groepsbeleidsobject kan alle instellingen ervan uitschakelen
Extensies aan clientzijde voor groepsbeleidvoorkeuren
Extensies aan de clientzijde van groepsbeleidsvoorkeur hebben hun eigen unieke verwerkingsmethoden. Binnen één groepsbeleidsobject kunt u een of meer voorkeursitems configureren voor een specifieke groepsbeleidsvoorkeurextensie die moet worden verwerkt. Eén groepsbeleidsobject kan bijvoorbeeld meerdere stationstoewijzingsvoorkeuren bevatten.
Tijdens de verwerking van groepsbeleid doorloopt de infrastructuur een reeks extensies. Voor elke extensie biedt het essentiële informatie, waaronder een lijst met GPO's met wijzigingen en GPO's die niet meer van toepassing zijn op de gebruiker of computer. De infrastructuur deelt ook contextspecifieke details, zoals of de netwerkverbinding als traag wordt beschouwd. De extensie Groepsbeleidvoorkeuren maakt gebruik van informatie over de gewijzigde en buiten het toepassingsgebied vallende GPO's om de instellingen te verwerken.
Extensies aan de clientzijde verwerken voorkeursitems opeenvolgend, van boven naar beneden in de lijst. Het resultaat van het verwerken van elke voorkeur is afhankelijk van de geconfigureerde actie en targeting op itemniveau kan verhinderen dat een item wordt toegepast. De extensie verwerkt elk item totdat het de lijst voltooit of stopt vanwege configuratie-instellingen zoals Stoppen met het verwerken van items in deze extensie als er een fout optreedt op dit item of eenmaal toepassen en niet opnieuw wordt toegepast. Zodra alle voorkeursitems zijn verwerkt, keert het beheer terug naar de Groepsbeleidsservice.
Filteren van groepsbeleid
U kunt filteren of een groepsbeleidsobject van toepassing is met beveiligingsfilters of WMI-filters (Windows Management Instrumentation).
Met beveiligingsfilters kunt u verfijnen welke gebruikers en computers de beleidsinstellingen in een groepsbeleidsobject ontvangen en toepassen. Filteren van beveiligingsgroepen bepaalt of het groepsbeleidsobject van toepassing is op groepen, gebruikers of computers. Het filteren van beveiligingsgroepen kan niet selectief worden toegepast op verschillende beleidsregels binnen een groepsbeleidsobject.
Met WMI kunt u een WMI-query gebruiken om de toepassing van groepsbeleid te filteren. Wanneer u WMI-filtering gebruikt, is het GPO van toepassing op beveiligingsprinciplen die voldoen aan de voorwaarden van de WMI-query. Elk GPO kan worden gekoppeld aan één WMI-filter; hetzelfde WMI-filter kan echter worden gekoppeld aan meerdere GPO's. Voordat u een WMI-filter kunt koppelen aan een groepsbeleidsobject, moet u het filter maken. Het WMI-filter wordt geëvalueerd op de doelcomputer tijdens de verwerking van Groepsbeleid. Het groepsbeleidsobject is alleen van toepassing als het WMI-filter waar is.
Loopbackverwerkingsmodus
De loopbackverwerkingsmodus past de gebruikersconfiguratie-instellingen toe van groepsbeleidsobjecten die zijn toegewezen aan de computer, ongeacht wie zich aanmeldt. Loopbackverwerking zal de gebruikersinstellingen van de GPO's die aan de gebruiker zijn toegewezen, samenvoegen of vervangen. Deze beleidsinstelling is geschikt in bepaalde nauw beheerde omgevingen met computers met speciaal gebruik, zoals klaslokalen, openbare kiosken en receptieruimten.
U kunt deze beleidsinstelling bijvoorbeeld inschakelen op een specifieke server om gebruikersinstellingen aan te passen op basis van de computer die wordt gebruikt. Wanneer u de beleidsinstelling voor de loopbackverwerkingsmodus inschakelt, past het systeem beleidsinstellingen voor gebruikers toe op basis van de configuratie van de computer, ongeacht wie zich aanmeldt. Dit zorgt voor consistente gebruikersbeleidsinstellingen voor alle gebruikers op de computer, zoals gedefinieerd door de GPO's van de computer.
Door de beleidsinstelling voor loopbackverwerking in te schakelen in een groepsbeleidsobject, kunt u instellingen voor gebruikersbeleid configureren op basis van de computer waarop ze zich aanmelden. Zonder loopbackverwerking zullen GPO's die een computerobject toepassen alleen de configuratie-instellingen van de computer verwerken. GPO's die zijn toegepast op gebruikers verwerken alleen configuratie-instellingen van gebruikers. Wanneer u de beleidsinstelling voor de loopbackverwerkingsmodus inschakelt, moet u ervoor zorgen dat de instellingen voor computerconfiguratie en gebruikersconfiguratie in het groepsbeleidsobject zijn ingeschakeld. Deze beleidsinstellingen worden toegepast, ongeacht waar de gebruiker zich aanmeldt.
U kunt de loopback-beleidsinstelling configureren door met behulp van het GPMC het GPO te bewerken en de beleidsinstelling Gebruikersgroepbeleid loopbackverwerkingsmodus configureren in te schakelen onder Computerconfiguratie\Beleidsbeheersjablonen\Systeem\Groepsbeleid. Er zijn twee opties beschikbaar:
Samenvoegmodus: In deze modus wordt de lijst met groepsbeleidsobjecten voor de gebruiker verzameld tijdens het inlogproces. Vervolgens wordt de lijst met groepsbeleidsobjecten voor de computer verzameld. Vervolgens wordt de lijst met GPO's voor de computer toegevoegd aan de GPO's voor de gebruiker, zodat ze samen het einde vormen. Als gevolg hiervan hebben de GPO's van de computer een hogere prioriteit dan de GPO's van de gebruiker. Als de beleidsinstellingen conflicteren, worden de beleidsinstellingen van de gebruiker in de groepsbeleidsobjecten van de computer toegepast in plaats van de normale beleidsinstellingen van de gebruiker.
Vervangmodus: In deze modus wordt de lijst met groepsbeleidsobjecten voor de gebruiker niet verzameld. In plaats daarvan wordt alleen de lijst met GPO's op basis van het computerobject gebruikt. De gebruikersconfiguratie-instellingen uit deze lijst worden toegepast op de gebruiker.
Groepsbeleid vernieuwen
De primaire mechanismen voor het vernieuwen van groepsbeleid zijn bij het opstarten en aanmelden. Groepsbeleid wordt ook regelmatig vernieuwd op verschillende tijdsintervallen. Het vernieuwingsinterval van het beleid is van invloed op hoe snel wijzigingen in groepsbeleidsobjecten worden toegepast. Standaard controleren clients en servers elke 90 minuten op wijzigingen in GPO's met behulp van een gerandomiseerde offset van maximaal 30 minuten. Wijzigingen in groepsbeleidsinstellingen zijn mogelijk niet onmiddellijk beschikbaar op de bureaubladen van gebruikers, omdat wijzigingen in het groepsbeleidsobject eerst moeten worden gerepliceerd naar de juiste domeincontroller.
Domeincontrollers controleren om de vijf minuten op wijzigingen in het computerbeleid. Deze pollingfrequentie kan worden gewijzigd met behulp van een van deze beleidsinstellingen, het interval voor het vernieuwen van groepsbeleid voor computers, het interval voor het vernieuwen van groepsbeleid voor domeincontrollers of het interval voor het vernieuwen van groepsbeleid voor gebruikers. Het verkorten van de frequentie tussen vernieuwingen wordt niet aanbevolen vanwege de mogelijke toename van het netwerkverkeer en meer belasting op de domeincontrollers.
Onderdelen van een groepsbeleidsobject worden opgeslagen in zowel Active Directory (AD) als in de directory SYSVOL van domeincontrollers. Replicatie van een groepsbeleidsobject naar andere domeincontrollers vindt plaats door twee onafhankelijke mechanismen:
Het ingebouwde replicatiesysteem bepaalt de replicatie van AD. Standaard duurt replicatie doorgaans minder dan een minuut tussen domeincontrollers binnen dezelfde site. Dit proces kan langzamer zijn als uw netwerk langzamer is dan een LAN.
DfsR (Distributed File System Replication) bepaalt de replicatie van de MAP SYSVOL. Binnen sites vindt replicatie elke 15 minuten plaats. Als de domeincontrollers zich op verschillende sites bevinden, vindt het replicatieproces plaats met vaste intervallen op basis van de sitetopologie en planning, is het laagste interval 15 minuten.
Update van groepsbeleid activeren
Indien nodig kunt u het vernieuwen van groepsbeleid handmatig activeren op de volgende manieren:
Voer vanaf een lokale computer de opdrachtregel
gpupdate.exein. Als de opdracht wordt uitgevoerdgpupdate.exe, wordt een beleidsvernieuwing geactiveerd voor de computer waarop de opdracht wordt uitgevoerd.Gebruik de
Invoke-GPUpdatePowerShell-cmdlet. U kunt deze cmdlet gebruiken om een vernieuwing van de lokale computer te activeren of om een vernieuwing van een externe computer te activeren.Gebruik de groepsbeleidsbeheergroep om een groepsbeleidsvernieuwing op organisatie-eenheidsniveau te activeren door met de rechtermuisknop op de organisatie-eenheid te klikken en Groepsbeleidsupdate te selecteren.
GPO-verwerking optimaliseren
Om de benodigde tijd voor het verwerken van een groepsbeleidsobject te verminderen, overweeg het volgende te gebruiken.
Als een groepsbeleidsobject alleen computerconfiguratie- of gebruikersconfiguratie-instellingen bevat, schakelt u het gedeelte van de beleidsinstelling uit dat niet van toepassing is. Met deze optimalisatie scant de doelcomputer niet de gedeelten van een groepsbeleidsobject dat u uitschakelt, wat de verwerkingstijd vermindert.
Combineer kleinere GPO's tot een geconsolideerd GPO. Deze optimalisatie vermindert het aantal GPO's dat wordt toegepast op een gebruiker of computer. Het toepassen van minder GPO's op een gebruiker of computer kan opstart- of aanmeldingstijden verminderen en het eenvoudiger maken om problemen met de beleidsstructuur op te lossen.