GPO loopback-verwerking is een mechanisme waarmee de gebruiker beleid heeft alleen effect op bepaalde computers. Normaal gesproken is het gebruikersbeleid gekoppeld aan de organisatie-eenheid van de gebruiker en wordt het toegepast, ongeacht op welke computer de gebruiker is aangemeld. In dit geval is het gebruikersbeleid echter gekoppeld aan de computer-organisatie-eenheid en wordt het niet van kracht op de gebruiker wanneer het is aangemeld bij computers buiten deze organisatie-eenheid. Het gebruikersbeleid dat op deze manier wordt toegepast, kan het normale beleid vervangen of ermee worden samengevoegd. De beheerder moet weten hoe hij GPO loopback processing kan inschakelen en welke modus bij de voorwaarde past.

hoe GPO Loopback Processing in te schakelen

In dit scenario hebben we een domein asaputra.com uitgevoerd op Windows Server 2012 R2 domeincontroller, met de OU-structuur geconfigureerd zoals in onderstaande afbeelding. Gebruikers zijn opgenomen in een van de regio OU onder de globale gebruikers. Computers zijn opgenomen in Dev of Prod onder Workstations OU. Gebruikers moeten per regio ‘Global User Policy’ en hun respectievelijke ‘Branding Policy’ ontvangen wanneer ze zich aanmelden bij een computer, behalve bij computers in de Dev OU. Wanneer de gebruiker bij de computer is aangemeld onder Dev OU, moet hij in plaats daarvan het “Dev User Policy” ontvangen.

de stap voor stap om Groepsbeleid loopback processing en analyse in te schakelen voor deze eis zijn als volgt:

1. Koppel het vereiste gebruikersbeleid aan de computer-OU
Zorg ervoor dat het vereiste gebruikersbeleid is gekoppeld aan de computer-OU. Op deze manier kan gebruikersbeleid alleen op de gebruiker worden toegepast wanneer deze is aangemeld bij de computer die lid is van deze organisatie-eenheid. In dit scenario is het “Dev User Policy” toegepast op Dev, wat een computer-OU is.

2. Besluit het computerbeleidsobject dat
GPO loopback processing gebruikt, is een computerinstelling zodat deze kan worden geconfigureerd in een computerbeleid. Het computerbeleid zelf moet worden gekoppeld aan de computer-OU. In dit scenario, GPO loopback verwerking zal worden ingeschakeld op “Dev Computer Policy”, en het is gekoppeld aan de Dev computer OU.

3. GPO loopback processing configureren
De instelling bevindt zich op Computerconfiguratie > beleid > Beheersjablonen > systeem > Groepsbeleid > loopback-verwerkingsmodus configureren voor GEBRUIKERSGROEPBELEID.

Dubbelklik op de instelling. Stel het in als ingeschakeld en selecteer vervolgens de modus in het dropdown menu.

zoals vermeld in de opening, zijn er twee modi voor loopback processing:

• vervangen: indien geselecteerd, zal gebruikersbeleid gekoppeld aan computer ou de andere gebruikersbeleid dat gekoppeld aan de gebruiker ou.
• samenvoegen: indien geselecteerd, zal gebruikersbeleid gekoppeld aan computer-OU worden toegepast samen met het andere gebruikersbeleid dat gekoppeld is aan de gebruiker-OU. Als er een conflicterende instelling is tussen beleidsregels, zal GPO deze normaal verwerken op basis van de linkvolgorde.

op basis van de vereiste in dit scenario is de meest geschikte modus vervangen omdat” Dev User Policy ” moet worden toegepast in plaats van de andere beleidsregels die normaal via de gebruiker-organisatie worden toegepast.

verificatie

voordat loopback-verwerking werd ingeschakeld, ontvangt de gebruiker alle beleidsregels die op zijn organisatie-eenheid zijn toegepast. Gebruik command GPRESULT /r en GPRESULT /r / SCOPE COMPUTER om het te bewijzen, het resultaat zoals weergegeven in onderstaande afbeelding:

wanneer loopback processing is ingeschakeld, moeten deze gebruikersbeleidsregels worden vervangen door het “Dev User Policy” dat is gekoppeld aan de computer OU. Net als bij een normaal GPO moet loopback processing toegepast worden zodra het beleid vernieuwd is, of we kunnen het forceren met het commando gpupdate /force. De foto hieronder toont het resultaat daarna:

op basis van het resultaat heeft GPO loopback processing succesvol gewerkt. Voor de laatste verificatie moet de gebruiker nog steeds zijn normale gebruikersbeleid ontvangen wanneer hij is ondertekend op een andere computer buiten de Dev-organisatie.

op deze manier kunt u GPO loopback processing inschakelen.