gPLink & gPOptions
Mai toata lumea a aflat deja ca GPO-urile sunt stocate in SYSVOL iar acolo e usor sa le vezi, sa le identifici dupa GUID si sa vezi ce scripturi contin sau adm-uri.
Dar cam putine s-au spus despre partea din Active Directory a GPO-urilor. Si aici intervin doua atribute – gPLink si gPOptions. Aceste doua atribute le gasiti la nivelul Organizational Unit-urilor din AD si controleaza ce GPO-uri si cum se aplica la nivelul acestor containere.
GPLink contine toate GPO-urile link-uite la acel nivel sub forma unui string ce arata cam asa:
[LDAP://cn={ED9770C1-3BF8-4741-8188-88780B464060},cn=policies,cn=system,DC=winadmin,DC=local;1][LDAP://cn={587141C3-1FD5-48F8-B2C7-3E2FD900360D},cn=policies,cn=system,DC=winadmin,DC=local;3]
Cand clientul citeste GPO-urile, din acest atribut vede ce GPO-uri i se vor aplica si in ce fel. Foarte importanta aici este valoarea ce urmeaza calea LDAP a GPO-ului. In exemplul de mai sus se poate vedea ca am doua politici, una care la final are valoarea 1 si alta care are valoarea 3.
By default valoarea este 0 pentru un GPO care nu are nici o setare speciala. Valoarea 1 reprezinta un GPO Link dezactivat, 2 – Enforced, iar 3 dezactivat & enforced (este ignorat la fel ca si pentru valoarea 1).
Atributul gPOptions se refera la setarea pe care o stim sub numele de Block Inheritance. Cand Block Inheritance este activat, atunci gPOptions este 1 si politicile ce nu sunt Enforced din OU-urile superioare nu se vor aplica.
By default gPOptions este 0 sau null.
Ca si referinta pentru cei ce vor sa lucreze low level cu GPO & AD puteti sa aruncati un ochi si aici: http://msdn.microsoft.com/en-us/library/cc232505.aspx
2 Responses to “gPLink & gPOptions”
Comment from Andrei Ungureanu
Time March 27, 2013 at 11:12 pm
Salut,
Normal ca se poate face, doar ca nu as recomanda partea cu parolele sa se faca via GPO. Putem discuta pe forum daca vrei.
Comment from Alexandru Ene
Time March 27, 2013 at 10:01 pm
Salut Andrei!
Am si eu o intrebare si anume daca pot creea useri locali, schimba parolele userilor locali cu ajutorul unui GPO creat pe windows Server 2008 R2?
Cand spun useri locali ma refer la useri creati direct pe PC si nu acei useri creati in active directory.
Multumesc!