Zrovna tuhle jsem psal o Group Policy Preferences, což sice není zrovna moc novinka, ale protože to moc lidí vlastně pořádně nezná a nepoužívá, rovnou tu vyvstaly různé otázky ohledně řešení potíží apod.
Takže následují odpovědi na některé z nich.
Kdy se provádí uživatelské položky z Group Policy Preferences?
Většina se provádí při každém přihlášení. A pouze při přihlášení uživatele. Tzn. periodická aplikace politiky, která je normálně 90+/-30 minut na to nemá vliv. Aby se vám například namapoval disk, musíte se odhlásit a znovu přihlásit.
Některé položky se ale mohou provádět i na pozadí. Například kopírování souborů, výtváření složek, nebo jejich sdílení. Osobně bych na to ale nespoléhal. Restart, nebo příhlášení je jistota.
Uvidím někde nějaké logy, nebo výsledný stav?
Bohužel, výsledek těchto zásad se ukazuje pouze v Group Policy Management Console (GPMC) - tedy v průvodcích Group Policy Modeling i v Group Policy Results. Na cílové stanici to není vidět ani v RSOP.MSC, ani v textovém GPRESULT. Aby se vám vypsal výsledek preferencí na stanici, musíte spustit toto:
GPRESULT /H vystupni-prehled.htm
Jinou metodou, jak to sledovat, ladit a řešit potíže na stanici, je zapnout si tracing pomocí Group Policy. V položce:
Computer Configuration
Policies
Administrative Templates
System
Group Policy
Logging and tracing
Jsou tam zapínátka pro každou součástku preferencí, takže si můžete průběh nechat logovat do souboru, jehož cestu si zadáte libovolně. Ale musíte si to dodatečně zapnout a není to už tak pohodlné jako pustit jednoduše na stanici RSOP.MSC.
Mám zaškrtnout položku Run in user's security context?
Ano, pro preference typu mapování disků, připojování tiskáren, kopírování souborů apod. je vhodné to zapnout - byť je to ve výchozím stavu vypnuto (podle mě nesmyslně). Proč? No chová se to chaoticky.
V nápovědě se píše, že mapování disku normálně běží v kontextu systému. To by znamenalo, že přístup do namapovaného disku by byl nikoliv pod účtem přihlášeného uživatele, ale pod účtem systému - to není pravda. Bez ohledu na tohle zaškrtávátko do toho sdíleného adresáře přistupujete (samozřejmě) vždy pod svým účtem. Takže kvůli tomuhle to tam není..
Taky se tam píše, že pod systémovým účtem nejsou vidět uživatelovy proměnné prostředí, jako například %USERNAME%. Ale to taky není pravda, mapování disků funguje v pohodě i s uživatelovými proměnnými.
Mohlo by se zdát, že třeba to mapování potom zůstane i ostatním uživatelům, ale ani to není pravda. Nápověda prostě kecá v případě mapování disků.
V případě jiných položek to ale už tak jednoduché není. Například kopírování souborů (preference zvaná Files). Pokud to tam necháte ve výchozím stavu - tedy vypnutá volba, tak kopírování běží pod účtem systému. Ano, uživatelovy proměnné prostředí jsou skutečně načteny i v tomto případě (překvapivě), ale samotný proces kopírování potom běží pod systémovým účtem. Takže jestli chcete, aby se kopírovalo ze sítě, nebo vám jde o precizní zabezpečení, tak byste měli zaškrtnout Run in user's security context.
Takže odpověď je obecně - ano, pokud se jedná o uživatelskou preferenční položku, vždycky to zaškrtněte, aby to nemělo nepředvídatelné výsledky.
Jak funguje volba Apply once and do not reapply a jak to můžete znovu vynutit?
Na každé jednotlivé preferenční položce (preference item) je možné zaškrtnout volbu Apply once and do not reapply. Způsobí to, že se daná akce provede jenom jednou. Jenom jednou pro každého uživatele (tedy pokud se jedná o uživatelskou preferenční položku).
Znovu se to neprovádí ani v případě že provedete::
- GPUPDATE /FORCE - neprovede se znovu
- změníte nějaké parametry té položky - znovu se neprovede
- zakážete (disable) tu položku a později ji znovu povolíte - znovu se stejně neprovede
Takže jak položku přinutíte, aby se provedla znovu? Máte dvě možnosti:
- vyškrtnete tu volbu Apply once and do not reapply, dáte čudlík Apply, znovu tu volbu zapnete a dáte zase Apply
- půjdete do registrů na dané stanici a vymažete tam správný GUID ID z registrového klíče
HKCU\Software\Microsoft\Group Policy\Client\RunOnce
Proč to takhle funguje? Každá jednotlivá preference item (pokud je zapnuto Apply once and do not reapply) má svoje vlastní IDčko. To si můžete prohlédnout, když na ní kliknete na volbu Display XML. Najdete uvnitř element Filters a v něm FilterRunOnce a jeho atribut ID.
Tohle IDčko se generuje při každém zapnutí té volby Apply once and do not reapply náhodně. A stanice, nebo lépe řečeno uživatelský profil, si tu hodnotu pamatuje ve zmíněném registrovém klíči. Takže stačí to buď prokliknout, nebo tu hodnotu smazat z registrů a položka se znovu provede.