Tại sao gpedit và các mục đăng ký tương ứng không được đồng bộ hóa?

Tôi đang dùng Windows 10 Pro. Tôi nhận thấy rằng khi tôi áp dụng một số chính sách thông qua gpedit, các mục tương ứng được tạo trong sổ đăng ký. Nếu tôi hoàn tác, các mục cũng bị xóa khỏi sổ đăng ký.

Vì vậy, tôi hy vọng nó cũng hoạt động theo cách khác, nhưng nếu tôi tự đặt chính sách tương tự thông qua sổ đăng ký, các mục gpedit tương ứng vẫn hiển thị là "không được định cấu hình".

Tui bỏ lỡ điều gì vậy? chính sách gpedit có gì đó hơn một mục đăng ký? vậy ... chúng được cất giữ ở đâu?

Vì những thay đổi bạn thực hiện trong trình chỉnh sửa chính sách nhóm ảnh hưởng đến những gì bạn thấy trong sổ đăng ký, nên hoàn toàn hợp lý khi cho rằng điều ngược lại cũng đúng. Tuy nhiên, nó không hoạt động theo cách đó.

Cài đặt chính sách nhóm cục bộ (đó là những gì tôi tin rằng bạn đang đề cập đến trong bài đăng của mình) được lưu trữ trong registry.polcác tệp nằm trong C:\Windows\system32\GroupPolicy. Các tệp này ghi đè các khóa tương ứng trong sổ đăng ký mỗi khi hệ thống thực hiện làm mới chính sách nhóm. Trình chỉnh sửa không bao giờ thực sự đọc sổ đăng ký để xem nó chứa những cài đặt nào.

Làm mới chính sách nhóm được kích hoạt bất cứ khi nào một trong các sự kiện sau xảy ra:

• Tại một khoảng thời gian làm mới được lên lịch thường xuyên (cứ sau 90 phút theo mặc định)
• Một sự kiện đăng nhập hoặc đăng xuất người dùng (chỉ chính sách người dùng)
• Khởi động lại máy tính (chỉ chính sách máy tính)
• Làm mới bằng tay được kích hoạt thông qua gpupdate
• Lệnh làm mới chính sách do quản trị viên cấp từ bộ điều khiển miền (nếu máy tính được nối miền).

Điều quan trọng cần nhớ là nếu máy tính được nối miền, các chính sách miền sẽ được áp dụng sau khi các tệp chính sách nhóm cục bộ được xử lý (có nghĩa là một số cài đặt có thể bị ghi đè bởi chính sách miền). Bạn sẽ không thể thấy các chính sách miền trong trình chỉnh sửa chính sách nhóm cục bộ.

Nó hoạt động như thế này vì ba lý do:

• Chính sách nhóm được thiết kế với mục đích "đẩy" từ bộ điều khiển miền Active Directory. Máy không nhằm kiểm soát chính sách trở lại bộ điều khiển miền.

• Khái niệm về chính sách và Active Directory được phát triển vào thời điểm các kết nối quay số rất phổ biến và băng thông rộng thì không. Đối với các thay đổi đăng ký để phản chiếu lại bộ điều khiển miền trong tình huống này có thể sẽ tiêu tốn rất nhiều băng thông rất hạn chế và các tình huống trong đó các hệ thống chỉ thỉnh thoảng nói chuyện với bộ điều khiển miền thông qua các phiên quay số ở đây và không có gì lạ NT4 ngày tôi tin.

• Bạn có thể nhận thấy rất nhiều chính sách có cài đặt "Không được định cấu hình", "Đã bật" hoặc "Đã tắt". Chính sách nhóm có cài đặt "Không được định cấu hình" để cho phép cài đặt cục bộ không bị ảnh hưởng bởi chính sách. Điều này đặc biệt có nghĩa là bạn, một ứng dụng hoặc quản trị viên cục bộ có thể sửa đổi các mục đăng ký có liên quan và chính sách sẽ không thay đổi nó. Bạn có thể không muốn kiểm soát mọi khía cạnh của hệ thống thông qua chính sách.

Vì vậy, sổ đăng ký cục bộ và chính sách nhóm không đồng bộ hóa từ máy-> AD theo thiết kế. Chính sách nhóm cục bộ gpedit.mschoạt động theo cùng một cách mặc dù nó không đồng bộ hóa với bất kỳ bộ điều khiển miền nào.