组策略系列（三）为您深刻解析组策略应用过程

组策略系列（三）组策略应用（处理）过程

了解了组策略的基本概念后，咱们对GPMC、GPO、GPT、GPlink、GPID都有了初步的认识，可是你们必定会有个疑问，当客户端应用组策略的时候,是靠一种什么机制去应用组策略的呢？好比不一样ou里的计算机，当机器开机的时候，他怎么去识别他所须要应用的组策略的，由于不一样的ou有不一样的组策略，它怎么样进行识别的？怎么去判断组策略已经修改而须要应用的呢？应用时去哪里能准确地找到这个GPT模板来应用呢？搞清楚这个过程，对于从此的排错是十分有好处的，如今带着这些疑问，我带着你们实际图解解开这个“谜团”

组策略在处理时过程分为两个部分。
第一部分是组策略基础结构处理过程。在这一阶段，Windows 组策略客户端向其最近的域控制器进行查询以肯定 DC 的连接速度是多少、在 Active Directory 层次结构中处于什么位置（即客户端是哪一个站点、域和 OU 的成员），以及哪些 GPO 适用于该计算机或当前登陆的用，并建立一个GPO列表；
第二部分客户端扩展 (CSE) 处理过程。在 CSE 阶段，各个注册的 CSE 都会对那些已在其区域内实现了设置的 GPO 的列表进行处理。

具体步骤为：
1）慢速连接检测过程，客户端对其站点内的域控制器执行慢速连接检测以肯定连接速度，若是计算得出的连接速度低于某个阈值（默认是 500Kb/s），则认为连接过慢，这时，将在注册表标记为慢速链接，那么某些 CSE（例如“软件安装”、“文件夹重定向”以及“Internet Explorer 维护”）将不会运行。若是大于阀值，则在注册表标记为非慢速链接，并将执行全部的组策略内容。

2）客户端从本地注册表中读取CSE状态信息，并读取GPO的版本属性，在下一步将与域控上的GPO版本属性对比是不是最后处理过的，若是域控上的版本数字更大，说明该GPO是更新过的，须要在本地执行。

3）客户端使用LDAP在它于活动目录层次结构中所处的位置搜索容器对象在活动目录中的GPlink属性，而后根据结果，创建一个必须进行处理评估的GPO的列表；

 4）每一个 GPO 将评估其版本号、在 SYSVOL 中 GPO 的“组策略模板”(GPT) 部分的路径以及在该 GPO 中实现了哪些 CSE。

5）各个 CSE 都按照在 顺序运行，而且若是 GPO 自上个处理循环以来曾被更改过（在核心处理过程期间肯定），则会对实现该 CSE 的 GPO 进行处理。若是修改过（DC上的版本高），则读取相应GPT并应用。

 打开该GPT文件夹可看到相应的GPT模板了

 还有一点须要知道的是，在什么状况下版本号会更改，更改条件为： 

·      应用到用户或计算机的 GPO 列表发生改变（添加或删除了 GPO）

·      用户或计算机的安全组成员身份发生改变

·      关联到 GPO 的 WMI 筛选器发生改变（添加或删除了 WMI 筛选器）

若是知足上述任一更改条件，客户端都将在该循环中从新处理策略。

 

组策略系列（一）概览

组策略系列（二）基本概念

组策略系列（三）为您深刻解析组策略应用过程

组策略系列（四）进阶学习

组策略系列（五）软件部署

组策略系列（六）工具

组策略系列（七）自定义编写ADM模板

 http://bjyizhang.blog.51cto.com/