Das Thema Loopbackverarbeitungsmodus wurde unzählige Male im Internet beschrieben, leider habe ich immer noch das Gefühl, dass die Funktionsweise nicht immer korrekt verstanden wird. Im Folgenden werde ich den Versuch unternehmen den Einsatz des Loopbackverarbeitungsmodus in einfachen Worten und mit entsprechenden Schaubildern zu erklären.
Gruppenrichtlinien
Eine Gruppenrichtlinie besteht aus zwei Zweigen: Benutzer und Computer. Wie der Name schon sagt, werden in der Computerkonfiguration die Eigenschaften / Optionen oder z.B. das Verhalten des Betriebssystems konfiguriert bzw. angepasst.
Dementsprechend werden in der Benutzerkonfiguration die benutzerspezifischen Einstellungen vorgenommen. Es gibt sowohl unterschiedliche, als auch absolut identische Einstellungen in beiden Zweigen.
Um die Verarbeitungszeit der Richtlinien zu verkürzen, können die nicht genutzten Teile der GPO deaktiviert werden:
Stark vereinfacht dargestellt, kann eine AD Struktur und die daraus resultierenden GPOs wie hier dargestellt aussehen:
1.
Die GPOs, die Benutzer-Einstellungen festlegen, werden mit den OUs verlinkt, wo sich die Benutzerkonten befinden. Dies verfolgt hauptsächlich den Zweck, benutzerspezifische Einstellungen vorzunehmen, die unabhängig vom eingesetzten Client immer gelten sollen.
2.
In dem Teil Computerkonfiguration werden die Einstellungen vorgenommen, die nur die Computers aus den entsprechenden Organisationseinheiten (OUs) betreffen.
3.
Wenn nun der Loopbackverarbeitungsmodus aktiviert wird, dann ändert sich die standardmäßige Gruppenrichtlinienverarbeitung in der Art, dass der Zweig Benutzerkonfiguration (verlinkt mit der Computer OU) bei der Anmeldung des Benutzers angewendet wird. Das bedeutet, dass die Benutzerkonfiguration aus der Benutzer OU entweder vollständig oder nur teilweise ausgehebelt wird.
Verwendungsszenarien
Der Loopbackverarbeitungsmodus wird hauptsächlich in Terminalserver-Umgebungen oder bei der Verwendung den sogenannten Kiosk-PCs eingesetzt. Ein weiterer möglichen Einsatzpunkt des Loopbackverarbeitungsmodus wäre eine große AD Infrastruktur, wo die Verwaltungsrechte auf einzelne Organisationseinheiten (OUs) beschränkt ist. Möglicherweise lassen sich die globalen Benutzer-Einstellungen nicht ändern, aber für die eigene Terminal-Server Infrastruktur sind die benötigten Rechte vorhanden.
Verarbeitungsreihenfolge - GPO Processing
Ohne Loopback-Option sieht die Verarbeitungsreihenfolge der GPOs wie folgt aus:
1. Während des Bootvorgangs des Rechners werden alle Richtlinien (Zweig Computerkonfiguration), die mit der Terminal Server-OU direkt verlinkt oder vererbt sind, abgearbeitet und angewendet.
2. Während der Benutzer-Anmeldung werden die Gruppenrichtlinien, die mit der Benutzer-OU verlinkt sind (Zweig Benutzerkonfiguration), angewendet.
Unterschied bei der aktiviertemn Loopback-Modus (Zusammenführen - Merge)
1. Der erste Schritt ist identisch. Der Loopback-Modus wird aktiviert.
2. Bei der Benutzeranmeldung werden die Zweige Benutzerkonfiguration aus der Terminal Server - OU abgearbeitet und angewendet. In einer Konfliktsituation haben die Benutzerkonfiguration-Zweige aus der Terminal Server - OU den Vorrang über die Benutzerkonfiguration-Zweige aus der Benutzer-OU.
Unterschied bei aktiviertem Loopback-Modus (Ersetzen - Replace)
1. Die ersten Schritte sind wieder identisch, mit einem dem Unterschied, dass der Loopback-Modus aktiviert wird.
2. Bei der Benutzeranmeldung werden die Zweige Benutzerkonfiguration (die mit der Benutzer-OU verlinkt sind, übersprungen.
3. Die Zweige Benutzerkonfiguration, die mit der Terminal Server-OU verlinkt sind, werden angewendet.
Folgendes Bild veranschaulicht die Verarbeitungsreihenfolge der GPOs auf einem Windows-Betriebssystem:
Funktionsprinzip
Ersetzen oder Zusammenführen
Bei der Aktivierung der Policy muß entschieden werden, in welchem Modus die Loopback-Verarbeitung ausgeführt werden soll: Zusammenführen (Merge) oder Ersetzen (Replace).
Zusammenführung-Modus (Merge Mode)
Fällt die Entscheidung für den Zusammenführungsmodus, wird die bestehende Benutzerkonfiguration der Benutzer-GPOs (Benutzer - OU) mit den Einstellungen aus der Benutzerkonfiguration der Terminal-Server GPOs (Terminal Server - OU) angereichert. Im Falle eines Konflikts (wenn in beiden GPOs die gleichen Einstellungen konfiguriert sind) überschreibt die Benutzerkonfiguration aus der Terminal Server - OU die Benutzereinstellungen aus der Benutzer - OU.
Die Computerkonfiguration hat grundsätzlich den Vorrang gegenüber der Benutzerkonfiguration.
Ersetzen-Modus
Wie der Name schon sagt, sollen alle Einstellungen aus der Benutzerkonfiguration (Benutzer-OU) durch die Einstellungen der Benutzerkonfiguration aus der Terminal Server - OU ersetzt werden, aber in der Realität wird die Benutzerkonfiguration ignoriert und nicht mal gelesen.
Bei der Benutzeranmeldung werden nur die Zweige Benutzerkonfiguration, die mit dem Computerobjekt verlinkt sind, verarbeitet und zugewiesen.
Ergebnisse ermitteln
Um mögliche negative Folgen einer Fehlkonfiguration zu vermeiden, empfiehlt es sich, die Konfiguration der Loopback-Verarbeitung zu verifizieren. Für diesen Zweck ist die Gruppenrichtlinienmodellierung optimal geeignet.
Wo wird es konfiguriert:
Group Policy Management Editor starten > Computer Configuration > Administrative Templates > System > Group Policy > Configure user Group Policy loopback processing mode
Weiterführende Infos zum Thema finden sich unter folgendem Link:
Die GetGPOList-Funktion ruft die Liste der Gruppenrichtlinienobjekte für den angegebenen Benutzer oder Computer ab - öffnen