web-dev-qa-db-ja.com

なぜgpeditと対応するレジストリエントリが同期しないのですか?

私はWindows 10 Proを使用しています。 gpeditを介していくつかのポリシーを適用すると、対応するエントリがレジストリに作成されることに気付きました。元に戻すと、エントリもレジストリから削除されます。

したがって、私はそれが逆の方法でも機能すると予想しましたが、レジストリを介して手動で同じポリシーを設定した場合、対応するgpeditエントリはまだ「未構成」として表示されます。

何か不足していますか? gpeditポリシーはレジストリエントリ以上のものですか?だから...どこに保管されていますか?

windowswindows-registrygpedit
11
Dr. Gianluigi Zane Zanettini

グループポリシーエディターで行った変更は、レジストリに表示される内容に影響するため、その逆も当てはまると考えるのは完全に論理的です。ただし、その方法では機能しません。

Localグループポリシー設定(投稿で言及していると思います)は、registry.polにあるC:\Windows\system32\GroupPolicyファイルに保存されています。これらのファイルは、システムがグループポリシーの更新を実行するたびに、レジストリ内の対応するキーを上書きします。エディターが実際にレジストリを読み取って、そこに含まれる設定を確認することはありません。

グループポリシーの更新は、次のいずれかのイベントが発生するたびにトリガーされます。

  • 定期的にスケジュールされた更新間隔(デフォルトでは90分ごと)
  • ユーザーのログオンまたはログオフイベント(ユーザーポリシーのみ)
  • コンピューターの再起動(コンピューターポリシーのみ)
  • gpupdateによる手動での更新
  • 管理者がドメインコントローラーから発行したポリシー更新コマンド(コンピューターがドメインに参加している場合)。

コンピューターがドメインに参加している場合、ドメインポリシーが適用されることを覚えておくことが重要ですローカルグループポリシーファイルが処理されます(つまり、一部の設定がドメインポリシーによって上書きされる可能性があります)。ローカルグループポリシーエディターでドメインポリシーを表示することはできません。

12
Wes Sayeed

これは、3つの理由でこのように機能します。

  • グループポリシーは、Active Directoryドメインコントローラーからの "プッシュ"を考慮して設計されています。マシンは、ドメインコントローラに戻すポリシーを制御するためのものではありません。

  • ポリシーとActive Directoryの概念は、ダイヤルアップ接続が非常に一般的でブロードバンドが一般的ではなかった時代に開発されました。レジストリの変更がこの状況でドメインコントローラーにミラーバックするため、おそらく非常に限られた帯域幅を大量に消費し、システムがここでダイヤルアップセッションを介してドメインコントローラーとたまにしか通信せず、 NT4日だと思います。

  • 多くのポリシーに「未構成」、「有効」、または「無効」の設定があることに気付いたと思います。グループポリシーには「未構成」設定があり、ローカル設定をポリシーに影響されないままにできます。これは、具体的には、ユーザー、アプリケーション、またはローカル管理者が関連するレジストリエントリを変更でき、ポリシーはそれを変更しないことを意味します。ポリシーによってシステムのすべての側面を制御したくない場合があります。

そのため、ローカルレジストリとグループポリシーは、意図的にmachine-> ADから同期されません。 gpedit.mscのローカルグループポリシーは、ドメインコントローラーと同期していなくても同じように機能します。

9
LawrenceC