Wenn keine Änderungen im Group Policy Object (GPO) gemacht wurden, werden die Sicherheitseinstellungen dennoch in regelmäßigen Intervallen am Client aktualisiert.

Dies führt dazu, dass ein Client, wenn er sich 16 Stunden nicht aktualisiert hat, beim Starten länger braucht.

Dieser Artikel beschreibt, wie man diesen Wert einstellen kann.

Wenn keine Änderungen am GPO festgestellt werden, werden diese nicht verarbeitet, die Sicherheitseinstellungen dagegen werden IMMER angewandt.

Für diese Sicherheitsrichtlinien kann man den maximalen Wert setzen, wie lange der Client ohne erneutes Anwenden der Sicherheitsrichtlinien funktionieren darf.

Standardmäßig ist dieser Wert auf 16 Stunden gesetzt (plus einem zusätzlichen Versatz von 30 Minuten).  Das bedeutet, dass auch für den Fall dass sich die GPOs, die die Sicherheitsrichtlinen beinhalten, nicht geändert haben, diese Richtlinie alle 16 Stunden gesetzt wird.

Folgender Eintrag sollte sich dann in der Ereignisanzeige unter der Rubrik Anwendung wiederfinden:

scecli

 

Event Type: Information
Event Source: SceCli
Event Category: None
Event ID: 1704
Description: Security policy in the Group policy objects are applied successfully.

Um den Wert dieses Intervalls zu verändern kann ein Eintrag in der Registry geändert werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
Value: MaxNoGPOListChangesInterval
Data: Minutes of delay, entered in hexadecimal
Standardwert: 0x3c0, (960 minutes or 16 hours)

Wenn Sie diesen Wert z.B. auf 0x2760 setzen, wartet der Client 7 Tage, bis er seine Richtlinien komplett aktualisiert. (Vorausgesetzt, es haben keine Änderungen am GPO stattgefunden).

Wenn ein Computer länger als das beschriebene Intervall abgeschaltet ist, werden die GPOs das nächste mal gesetzt, wenn er gestartet wird. Abhängig von der Art, der Größe und der Verarbeitungszeit kann es dadurch zu einer Verzögerung der Anmeldung bzw. des Startvorgangs kommen.