Loopback-verwerking van groepsbeleid
Dit artikel helpt u bij het oplossen van het probleem van het toepassen van de loopbackfunctie groepsbeleid wanneer een gebruiker zich aanmeldt bij een computer in een specifieke organisatie-eenheid.
Van toepassing op: Windows Server (alle ondersteunde versies)
Oorspronkelijk KB-nummer: 231287
Samenvatting
Groepsbeleid is van toepassing op de gebruiker of computer op een manier die afhankelijk is van waar zowel de gebruiker als de computerobjecten zich in Active Directory bevinden. In sommige gevallen moeten gebruikers echter mogelijk beleid toepassen op hen op basis van de locatie van zowel het gebruikersobject als het computerobject, of de locatie van het computerobject alleen." In dat geval kunt u de functie Loopback groepsbeleid gebruiken om groepsbeleidsobjecten (GPO's) overeenkomstig toe te passen.
Meer informatie
Voer de volgende stappen uit om gebruikersconfiguratie per computer in te stellen:
- Selecteer Computerconfiguratie in de Microsoft Management Console (MMC) van Groepsbeleid.
- Zoek beheersjablonen, selecteer Systeem, selecteer Groepsbeleid en schakel vervolgens de optie Loopbackverwerkingsmodus voor gebruikersgroepsbeleid configureren in.
Met dit beleid wordt het systeem om de set groepsbeleidsobjecten voor de computer toe te passen op elke gebruiker die zich aanmeldt bij een computer waarop dit beleid van toepassing is. Dit beleid is bedoeld voor computers die speciaal worden gebruikt, waarbij u het gebruikersbeleid moet wijzigen op basis van de computer die wordt gebruikt. Bijvoorbeeld computers in openbare ruimtes, in laboratoria en in klaslokalen.
Notitie
Loopback wordt alleen ondersteund in een Active Directory-omgeving. Zowel het computeraccount als het gebruikersaccount moeten zich in Active Directory bevinden. Wanneer gebruikers op hun eigen werkstations werken, kunt u groepsbeleidsinstellingen toepassen op basis van de locatie van het gebruikersobject. U wordt daarom aangeraden beleidsinstellingen te configureren op basis van de organisatie-eenheid waarin het gebruikersaccount zich bevindt. Wanneer een computerobject zich in een specifieke organisatie-eenheid bevindt, moeten de gebruikersinstellingen van een beleid worden toegepast op basis van de locatie van het computerobject in plaats van het gebruikersobject.
Notitie
U kunt de gebruikersinstellingen die worden toegepast niet filteren door de AGP en leesrechten te weigeren of te verwijderen uit het computerobject dat is opgegeven voor het loopback-beleid.
Normale verwerking van groepsbeleid gebruikers geeft aan dat computers die zich in hun organisatie-eenheid bevinden, de GPO's op volgorde hebben toegepast tijdens het opstarten van de computer. Gebruikers in hun organisatie-eenheid hebben GPO's op volgorde toegepast tijdens het aanmelden, ongeacht op welke computer ze zich aanmelden.
Deze verwerkingsorder is in sommige gevallen mogelijk niet geschikt. Als u bijvoorbeeld niet wilt dat toepassingen die aan de gebruikers in hun organisatie-eenheid zijn toegewezen of gepubliceerd, worden geïnstalleerd wanneer de gebruiker is aangemeld op een computer in een specifieke organisatie-eenheid. Met de ondersteuningsfunctie voor groepsbeleid loopback kunt u twee andere manieren opgeven om de lijst met groepsbeleidsobjecten op te halen voor elke gebruiker van de computers in deze specifieke organisatie-eenheid:
Samenvoegmodus
In deze modus wordt, wanneer de gebruiker zich aanmeldt, de lijst met groepsbeleidsobjecten van de gebruiker doorgaans verzameld met behulp van de functie GetGPOList. De functie GetGPOList wordt vervolgens opnieuw aangeroepen met behulp van de locatie van de computer in Active Directory. De lijst met GPO's voor de computer wordt vervolgens toegevoegd aan het einde van de groepsbeleidsobjecten voor de gebruiker. Dit zorgt ervoor dat de GPO's van de computer een hogere prioriteit hebben dan de GPO's van de gebruiker. In dit voorbeeld wordt de lijst met groepsbeleidsobjecten voor de computer toegevoegd aan de lijst met gebruikers.
Vervangingsmodus
In deze modus wordt de lijst met GPO's van de gebruiker niet verzameld. Alleen de lijst met GPO's op basis van het computerobject wordt gebruikt.
Gegevens verzamelen
Als u hulp nodig hebt van Microsoft-ondersteuning, raden we u aan de informatie te verzamelen door de stappen te volgen die worden vermeld in Gegevens verzamelen met behulp van TSS voor problemen met groepsbeleid.