组策略-处理-一般过程

一：[处理间隔]

1. [计算机策略] 于 [Windows 启动时] 触发处理，[用户策略] 于 [用户登陆时] 触发处理。
   -->此处理方式称之为 [前台处理 (foreground process)]。
2. 默认情况下，成员计算机 90~120 分钟间隔再次触发处理，域控则每 5 分钟触发一次处理。
   -->此处理方式称之为 [后台处理(background process)]。
3. 可通过 [gpupdate] 或 [gpupdate /force] 手动触发处理。
4. 可通过组策略调整默认处理间隔（计算机策略-->管理模板-->系统-->组策略）

二：[处理过程]
■由 Windows 客户端设备上的 Group Policy Client Service(GPSVC) 组件主导以下过程

1. 从 DC 中获取账号 (计算机or用户) 的DN(distinguishedName)，
   由 DN 可得知自身所处的 OU。
   

2. 使用 LDAP 协议拉取 Domain 和所有层次 OU 的 GPC。
   -->OU 的 GPC (由 AD 管理的 GPO 的配信信息) 会保存在 OU 的 "gPlink" 属性中。
   [LDAP://cn={164376BB-9A6F-41F1-90CC-09CE3C1A1005},cn=policies,cn=system,DC=manage,DC=hagaki,DC=cn;0]
   [LDAP://cn={C7A46396-6C2F-4644-A84A-C45EA30810F7},cn=policies,cn=system,DC=manage,DC=hagaki,DC=cn;1]
   -->参数 0 为已启用链接；参数 1 为未启用链接。
   

3. 根据 GPC，通过 LDAP 协议去拉取 GPT (由文件系统管理的 GPO 的实体对象)。
   -->GPT 信息保存在 GPC 的 "gPCFileSysPath" 属性中。
   

4. 使用 SMB 协议访问 SYSVOL 共享并获取获取 GPT。
   -->SYSVOL 共享部署在 [NFS 命名空间] 服务之上，服务由所有的域控制器提供，具体接入流程如下：
   4-1 取得提供为 [\DomainName\SYSVOL] 命名空间提供 NFS 命名空间服务的服务器列表。
   4-2 使用 SMB 协议访问列表中优先级最高的 DC。
   -->上述两个步骤为一般访问 NFS 路径的步骤。
   4-3 取得 [gpt.ini]，并与客户端上已经应用的版本进行比较。
   4-4 若版本不一致，则下载 GPT (GPO实体)。
   -->若版本一致，则意味着 GPO 没有变更过，所以，不下载。

5. [管理模板] 中定义的策略 (registry.pol) 的应用由 [gpsvc] 直接执行。

■由 Windows 客户端上的 CSE(Client Side Extension) 组件主导以下过程。
6. [管理模板] 以外定义的策略由 CSE 依据 GPO 的配置应用策略，如，
安全设置的 [scecli.dll] 负责，脚本策略由 [gpscript.dll] 负责

7. 策略的应用结果将存储在 [WMI 存储库] 的命名空间中，可使用 gpresult 或 rsop.msc 确认结果。
   用户策略位置：¥root¥rsop¥user；计算机策略位置：¥root¥rsop¥computer
   
   -->gpresult /h (以 HTML 形式输出)；gpresult /z (以纯文本形式输出)