我有时需要临时更改 Active Directory 的计算机上与组策略相关的一些注册表设置,以便可以执行一些工作。
在阅读了一些有关如何执行此操作的文章后,我遇到了以下注册表设置:
# Disable Group Policy updates (computers, users, and domain controllers) until the user logs off the system
New-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "DisableBkGndGroupPolicy" -PropertyType DWord -Value 1 -Force
# Disable Registry Policy processing
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\Group Policy\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}" -Name "NoBackgroundPolicy" -PropertyType DWord -Value 1 -Force
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\Group Policy\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}" -Name "NoGPOListChanges" -PropertyType DWord -Value 0 -Force
“注册表策略”到底是什么?如果我禁用组策略更新直到用户注销,即计算机不会尝试刷新并重新应用策略,那么为什么需要禁用注册表策略处理?
来源:https://www.thewindowsclub.com/disable-background-processing-registry-policy
答案1
这是一个很大的话题,但这里有一个简短的概述:
后台策略处理:通常,计算机 GPO 在系统启动时处理,而用户 GPO 在用户登录时处理。您通常会打开后台策略处理,这将允许系统在后台以默认间隔(90-120 分钟之间的随机间隔)重新应用这些设置。如果您禁用后台处理,则设置将不会重新应用,直到用户注销或计算机重新启动。出于安全目的,最好将其保持打开状态。
注册表策略:当应用 GPO 时,它实际上被分解成多个部分。最大的一对是组策略 (GP) 和组策略首选项 (GPP)。
GP 是 GPO 的“常规”部分,也是两者中较老的一个。设置本地 GPO 时,您只会看到 GP 作为一个选项。GPP 仅在从域控制器设置策略时可用。
GPP 被视为“首选项”,因为这些设置旨在由用户/系统设置,然后允许更改。可以在 GPP 中设置背景、映射驱动器或注册表项,但不会将其锁定在原处。除非勾选“应用一次”选项,否则背景刷新仍会再次设置这些设置。
GP 被认为更“永久”,可以“锁定”到位。GP 分为几个类别:安全策略(如提供密码策略和审计的 secpol.msc 管理单元设置)、注册表策略(这允许您设置设置和密钥权限)和管理模板。安全策略设置应用于系统安全数据库。注册表策略应用于注册表。管理模板……从技术上讲,这是一种黑客行为,因为实际上这只是应用注册表设置的另一种方式。绝大多数组策略实际上都有一个注册表项。通常,如果您查找管理模板和“注册表”的名称,您会找到该项的名称。您还可以打开负责模板的 ADM 或 ADMX 文件,看看它在后台做什么。
大多数情况下,当您进行的更改需要临时注册表项更改时,您应该忍受并处理 90-120 刷新,或者设置临时 GPO 来更改设置。