Политики обновляются при запуске компьютера. Когда пользователь включает компьютер, система применяет политику для DeviceLock.

Опционально политики могут обновляться на периодической основе. По умолчанию политика обновляется каждые 90 минут. Чтобы задать другой интервал, через который политика будет обновляться, используйте Редактор объектов групповой политики. Более подробно об этом читайте в базе знаний Microsoft по адресу support.microsoft.com/kb/203607.

Политики также могут быть обновлены по требованию. Для немедленного обновления текущих политик, администратор может вызвать утилиту командной строки: gpupdate.exe /force, предоставляемую операционной системой Windows.

При применении политики система запрашивает у службы каталогов список объектов групповой политики (GPO), которые нужно обработать. При обновлении политики система запрашивает у Active Directory список объектов групповой политики. Каждый объект групповой политики связан с контейнером служб каталогов, содержащему компьютеры. Компьютер получает установки последнего обработанного контейнера службы каталогов Active Directory.

Обрабатывая объекты групповой политики, система проверяет список управления доступом (ACL), связанный с каждым объектом. Если запись управления доступом (ACE) запрещает доступ компьютера к объекту групповой политики, система не применит политики, определенные в этом объекте. Если запись управления доступом дает доступ к объекту, система применяет политики этого объекта.

Любые неопределенные (не заданные) настройки в объекте политики (GPO) игнорируются, поскольку они не наследуются вниз по дереву. Только определенные (заданные) настройки наследуются.

Возможны три сценария:

Если у GPO есть настройки, заданные для родительской организационной единицы, а у потомка для дочерней организационной единицы эти политики не настроены, потомок наследует родительские настройки GPO.

Если объект политики содержит настройки, определенные (заданные) для родительской записи, и они не конфликтуют с настройками, определенными (заданными) для записи потомка, то потомок наследует эти настройки от родителя и также применяет свои собственные настройки.

Если объект политики содержит настройки, определенные (заданные) для родительской записи, которые конфликтуют с настройками, определенными (заданными) для записи потомка, то потомок не наследует эти настройки от родителя, а применяет свои собственные настройки. Т.е. в этом случае настройки потомка имеют приоритет над настройками родителя.

При включенном параметре Windows BitLocker To Go (см. Шифрование) сервис DeviceLock может препятствовать применению административных шаблонов из объектов групповой политики. Это вызвано тем, что данный параметр запрещает включать настройку групповой политики “Запретить запись на съемные диски, не защищенные BitLocker” (находится в папке Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Съемные носители с данными), в результате чего любая групповая политика с конфликтующим значением этой настройки не будет применена на компьютере.

Для устранения данной проблемы необходимо отключить параметр Windows BitLocker To Go (включен по умолчанию). Если настройки сервиса DeviceLock поступают из объекта групповой политики или из объекта политики сервера (см. Политики DeviceLock Enterprise Server), то параметр Windows BitLocker To Go необходимо явно отключить в этом объекте. В противном случае этот параметр получит значение по умолчанию, т.е. будет включен. При использовании локальных настроек сервиса DeviceLock достаточно отключить этот параметр в консоли DeviceLock Management Console.