Windows tiene objetos GPO organizados en una jerarquía:

Sitio > local-> dominio-> OU

El nivel en el que MVISION Endpoint aplica su directiva es Directiva de grupo local. La Directiva de grupo local contiene cambios de MVISION Endpoint cuando se aplican al sistema:

Local (MVISION Endpoint)-sitio de >-> dominio-> OU

Los GPO se aplican a un sistema o usuario en un orden específico. Este orden específico es el mismo que en la unidad organizativa acrónimo: LSD.

La configuración se aplica de arriba abajo. MVISION Endpoint escribe directivas en el nivel local, pero todas las capas de directiva de grupo subsiguientes (sitio, dominio y unidad organizativa) que tienen la misma configuración o están activadas pueden sobrescribir esta configuración.

Significa que MVISION Endpoint establece directivas de grupo de forma local (Directiva de grupo local), pero el sistema las sobrescribe cuando se establecen las mismas directivas de grupo en los GPO de sitio, dominio o unidades organizativas.

En Active Directory, existe una capa superior denominada bosque AD. Una organización puede tener varios bosques. En cada AD bosque, puede haber varios dominios. Cada dominio puede tener varias unidades organizativas y cada unidad organizativa puede tener muchas unidades organizativas secundarias.

• Bosque 1
  • Dominio 1
    • UNIDAD ORGANIZATIVA 1
    • OU 2
      • UO 21
      • UO 22
  • Dominio 2
    • UO 3

Puede filtrar un GPO de varias formas, pero los más comunes son el filtrado de seguridad y el filtrado de WMI.

Puede modificar el procesamiento de los GPO de varias formas, pero las más comunes son orden de vínculos, implementado y bloquear herencia:

• El orden de vínculos especifica el orden en el que se procesan los mismos GPO de nivel.
• Bloquear la herencia bloquea la aplicación de GPO de jerarquía superior. Solo se aplican los GPO del mismo nivel o inferior.
• Implementado significa que si alguna otra unidad organizativa subsiguiente ha activado otra configuración (bloquear la herencia), dicha GPO se aplicará independientemente de cuál sea. Un GPO superior en el dominio o la estructura de unidades organizativas que ha implementado la Directiva se sobrescribe cualquier unidad organizativa subordinada aunque haya activado Bloquear herencia.

• Una vez que MVISION Endpoint aplica las directivas actuales en la Directiva de grupo local, el componente de directiva de grupo empieza a procesar los GPO y los aplica. El servidor de controlador de dominio debe estar disponible durante este proceso para proporcionar GPO de dominio al Endpoint. Si no se puede alcanzar el servidor del controlador de dominio, no se aplican MVISION Endpoint directivas relacionadas con los componentes de Windows (Windows antivirus de defender y Windows Defender Firewall).
• El procesamiento de directivas de grupo local no está desactivado con una directiva de grupo de dominio.
• Active el procesamiento de directivas de registro para que se ejecute en segundo plano. De lo contrario, la aplicación de directivas de MVISION Endpoint relacionadas con componentes de Windows (Windows antivirus de defender y Windows Defender Firewall) requiere reiniciar. En particular, es necesario realizar la siguiente configuración en el dominio GPO: configurar el procesamiento de directivas de registro, no aplicar durante el procesamiento periódico en segundo plano, desactivado.
• La aplicación de directivas de MVISION Endpoint relacionadas con los componentes de Windows (Windows antivirus de defender y Windows Defender Firewall) puede tardar algún tiempo. Se espera que la hora sea similar al intervalo del comando gpupdate /force para completarse.

Para ver qué objetos de directiva de grupo se aplican a un Endpoint, ejecute los dos siguientes comandos como administrador:

En el archivo generado rsop.html, en las secciones relacionadas con antivirus Windows Defender y Windows Defender Firewall, todas las opciones de configuración deben GPO de éxito establecido en Directiva de grupo local para que las directivas de MVISION Endpoint surtan efecto en el Endpoint.