Почему gpedit и соответствующие записи реестра не синхронизируются?

Я на Windows 10 Pro. Я заметил, что когда я применяю некоторые политики через gpedit, соответствующие записи создаются в реестре. Если я отменю, записи также будут удалены из реестра.

Поэтому я ожидал, что это будет работать и наоборот, но если я вручную установлю ту же политику через реестр, соответствующие записи gpedit по-прежнему будут отображаться как «не настроено».

Я что-то пропустил? политика gpedit - это нечто большее, чем запись в реестре? так ... где они хранятся?

Поскольку изменения, которые вы вносите в редактор групповой политики, влияют на то, что вы видите в реестре, вполне логично предположить, что обратное также верно. Тем не менее, это не работает таким образом.

Параметры локальной групповой политики (о чем я думаю, вы упоминаете в своем сообщении) хранятся в registry.polфайлах, расположенных в C:\Windows\system32\GroupPolicy. Эти файлы перезаписывают соответствующие ключи в реестре каждый раз, когда система выполняет обновление групповой политики. Редактор никогда не читает реестр, чтобы узнать, какие настройки он содержит.

Обновление групповой политики запускается всякий раз, когда происходит одно из следующих событий:

• Регулярно обновляемый интервал обновления (по умолчанию каждые 90 минут)
• Событие входа или выхода пользователя (только политика пользователя)
• Перезагрузка компьютера (только политика компьютера)
• Обновление, запускаемое вручную через gpupdate
• Команда обновления политики, выданная администратором с контроллера домена (если компьютер присоединен к домену).

Важно помнить, что если компьютер присоединен к домену, политики домена будут применяться после обработки файлов локальной групповой политики (это означает, что некоторые параметры могут быть перезаписаны политикой домена). Вы не сможете увидеть политики домена в редакторе локальной групповой политики.

Это работает так по трем причинам:

• Групповая политика разработана с учетом «выталкивания» из контроллера домена Active Directory. Машины не предназначены для управления политикой обратно на контроллер домена.

• Понятие политик и Active Directory было разработано в то время, когда коммутируемые соединения были очень распространены, а широкополосные - нет. Чтобы изменения в реестре для зеркального отражения на контроллере домена в этой ситуации, вероятно, потребляли бы очень ограниченную полосу пропускания, и в ситуациях, когда системы только изредка общались с контроллером домена через сеансы удаленного доступа здесь, и не было ничего неслыханного в NT4 дней я верю.

• Вы, вероятно, заметили, что многие политики имеют параметр «Не настроен», «Включен» или «Отключен». Групповая политика имеет параметр «Не настроен», чтобы локальный параметр не затрагивался политикой. В частности, это означает, что вы, приложение или локальный администратор можете изменить соответствующие записи реестра, а политика не изменит их. Вы можете не захотеть контролировать каждый аспект системы через политику.

Таким образом, локальный реестр и групповая политика не синхронизируются с машиной-> AD по замыслу. Локальная групповая политика gpedit.mscработает аналогично, даже если она не синхронизируется ни с одним контроллером домена.