Wie funktioniert der Loopbackverarbeitungsmodus?

Wie funktioniert der Loopbackverarbeitungsmodus?
Loopback processing of Group Policy
http://support.microsoft.com/default.aspx?scid=kb;en-us;231287

Loopbackverarbeitungsmodus, LBVM
Die Situation: Man möchte, daß der Benutzer spezielle Einstellungen übernimmt, abhängig vom Computer, an dem er sich anmeldet.
Klassische Beispiele sind in dem Fall: Terminal Server und Notebooks.
Bei einem TS möchte man in der Regel, daß der Benutzer wesentlich restriktiver gehandhabt wird, als wenn er sich an seiner Workstation anmeldet und bei Notebooks ist es oftmals genau das Gegenteil: Der Benutzer "darf" mehr, als an seiner festen Workstation.
Am Ende kommt es auf die gleiche Situation hinaus. Ich benötige Richtlinien abhängig vom Computer.

Das Problem:
Ich kann die Richtlinie nur auf das Computerkonto anwenden. Aber der Computer ignoriert den Anteil der Benutzerkonfiguration einer Richtlinie, da er ja schliesslich ein Computerobjekt ist und kein Benutzer. Ebenfalls, ist dem anmeldenden Benutzer die Benutzerkonfiguration auf dem Computerobjekt egal, da der Benutzer die Computerkonfiguration, und damit die Richtlinie, nicht übernehmen kann.

Schauen wir uns die normale Verarbeitung von Richtlinien an.
Stellen wir uns folgende Struktur vor:

-	OU "Terminal Server", darin enthalten der Computer
	- verlinktes GPObjekt "TerminalServer Einschränkungen", darin enthalten konfigurierte Einstellungen im Bereich Computer~ und Benutzerkonfiguration
-	OU "Meine Benutzer", darin enthalten alle Benutzerkonten
	- verlinktes GPObjekt "Meine Std. Firmenvorgaben", nur Einstellungen im Bereich Benuntzerkonfiguration

In dieser Situation würde sich folgender Ablauf ergeben:

1.	Der Computer aus der OU "Terminal Server" liest den Anteil Computerkonfiguration der Richtlinie "TerminalServer Einschränkungen"
	Der Computer kann als Objekt keine Benutzereinstellungen übernehmen.
2.	Der Benutzer aus der OU "Meine Firma" liest den Anteil Benutzerkonfiguration der Richtlinie "Meine Std. Firmenvorgaben"
	Der Benutzer kann als Objekt keine Computereinstellungen übernehmen.

Jetzt aktiviert man den Loopbackverarbeitungsmodus auf einer beliebigen Richtlinie, die auf den Computer wirkt.
Sie kann als eigene Richtlinie integriert werden und gilt dann für alle Richtlinien, die das Computerobjekt übernimmt.

Wir erweitern das Beispiel um eine weitere Richtlinie: "Loopbackverarbeitungsmodus aktiviert"
Konfiguration, Pfad für Einstellungen:
Computerkonfiguration \ Administrative Vorlagen \ System \ Gruppenrichtlinien
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie = aktiviert

-	OU "Terminal Server", darin enthalten der Computer
	- verlinktes GPObjekt "Loopbackverarbeitungsmodus aktiviert", darin nur die oben aktivierte Richtlinie
	- verlinktes GPObjekt "TerminalServer Einschränkungen"
-	OU "Meine Benutzer", darin enthalten alle Benutzerkonten
	- verlinktes GPObjekt "Meine Std. Firmenvorgaben"

Ab diesem Zeitpunkt ändert sich der Ablauf und die Übernahme:

1.	Der Computer aus der OU "Terminal Server" liest den Anteil Computerkonfiguration der Richtlinie "Loopbackverarbeitungsmodus aktiviert"
2.	Der Computer aus der OU "Terminal Server" liest den Anteil Computerkonfiguration der Richtlinie "TerminalServer Einschränkungen"
3.	Der Benutzer aus der OU "Meine Firma" liest den Anteil Benutzerkonfiguration der Richtlinie "Meine Std. Firmenvorgaben"
4.	Der Benutzer aus der OU "Meine Firma" liest den Anteil Benutzerkonfiguration der Richtlinie "TerminalServer Einschränkungen"

Durch den "Loop" wird eine Schleife bei der Übernahme erzeugt, die den Process der Benutzeranmeldung dazu anhält noch einmal die Richtlinien der Computerobjekte durchzuschauen. Da nur in diesem speziellen Fall das Benutzerobjekt die Richtlinie des Computers liest und jetzt "Benutzerkonfigurationen" findet, die es lesen kann, funktioniert der Trick.
In jedem anderen Fall würde kein Benutzer Computerkonfigurationen lesen und kein Computer Benutzerkonfigurationen. Da jedes Mal das "falsche" Ziel angesprochen wird.

Durch diese Manipulation können sich natürlich Probleme ergeben, da jetzt mehr Richtlinien auf das Benutzerobjekt angewendet werden, als vorher.
Dadurch kann es wieder zu "Phänomenen" kommen, daß bestimmte Richtlinieneinstellungen sich nicht durchsetzen etc.
Der Ablauf der Vererbung muss in diesem Fall noch einmal genau kontrolliert werden, um Fehler zu finden, in denen sich 2 Einstellungen zB durch den normalen Überschreibungsvorgang der zuletzt angewendeten Richtlinie überstimmen oder ins Gegenteil gesetzt werden.

Der Loopbackverarbeitungsmodus kennt 2 Konfigurationseinstellungen: Zusammenführen (Merge) und Ersetzen (Replace)
Im ersten Fall werden alle vorhandenen Benutzerrichtlinien des Benutzerobjekts mit denen des Computerobjekts zusammengeführt, wobei die Einstellungen aus der Benutzerkonfiguration der Computerrichtlinie, die Einstellungen des Benutzerobjekts überschreiben können, wenn sie sich widersprechen.
Im Replace Modus, werden alle Benutzereinstellungen des Benutzerobjekts ignoriert und verworfen und es kommen nur die Einstellungen der Benutzerkonfiguration des Computerobjekts zum Einsatz.

Ich persönlich bevorzuge den "Ersetzen" Modus, da ich im Falle eines Falles nur eine Stelle (die Einstellungen des Computers) kontrollieren muss um a) genau zu wissen, was beim Benutzer ankommt und b) die Fehlersuche zu reduzieren und damit c) den Ablauf insgesamt vereinfache.
Der Nachteil ist, daß ich u.U einige Einstellungen erneut definieren muss, die schon beim Benutzer konfiguriert sind, da sie ja in diesem Fall verworfen werden. Aber diese Problem ist seit der GPMC relativ leicht zu umgehen, da ich die vorhandenen Richtlinien die ich übernehmen möchte leicht kopieren kann und dann nur noch mit der Computer OU verlinken muss.

(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright