App-V und GPO


Es kommt immer wieder die Frage auf, wie GPO's auf APP-V Anwendungen sich auswirken.


Hierzu möchte ich kurz ein paar Informationen geben:


Jedes Gruppenrichtlinienobject (Group Policy Object, GPO) endet in der Registry in Form von Keys oder Werten. Diese sind normalerweise hier zu finden: { HKCU || HKLM }\Software\Policies. Diese Werte kommen vom Active Directory, sobald sich der Benutzer anmeldet werden diese übernommen, so wie Sie vom Domain Admin eingerichtet wurden.


In Versionen vor 4.5, haben wir die lokalen Policy Dateien ausgelesen und diese im letzten Schritt der Launch Phase der VREG hinzugefügt. Diese Daten wurden aber nie gelöscht oder bereinigt, wie es auf dem nativen System passiert.  Das sorgte mit der Zeit zu Problemen, speziell mit SRP unter 4.2. Was wir noch mit einem POST HFRU2 Fix behoben haben.


Nach all diesen Problemen, haben wir uns dazu entschlossen, das GPO’s nichts in der virtuellen Registry zu suchen haben. Sie gehören auf das native OS wo diesen von den vorhandenen Windows mechanismen sicher und aktuell gehalten werden.  Was also nötig war, war nicht eine Serie von Fixen, „wie“ wir diese Einstellungen in die VREG duplizieren können, sondern viel mehr einen Weg damit diese Einstellungen gar nicht erst im Paket sind bzw. zum tragen kommen. Wenn eine Anwendung nun GPO Einstellungen aus der Registry liest, sollte die VREG niemals eine „alternative“ Ansicht dieser Keys / Werte zeigen. Also es sollte immer das zu sehen sein, was nativ vorhanden ist. Jegliche Abweichung davon würde dazu führen das Richtlinien, die vom Domain Admin definiert sind umgestaltet oder nicht ausgeführt werden.


In 4.5 werden die lokalen *.pol Dateien nicht länger auf die VREG angewendet. Zudem wird in der letzten launch Phase erzwungen, dass alle Keys / Werte nicht ausgelesen werden.


NOTIZ: Wir löschen diese nicht, den ein löschen würde dazu führen - da gelöschte Keys und Werte als in der VREG als gelöscht existieren, das unter Umständen die native GPO nicht angewendet werdet wird.


KURZUM:


GPO’s werden nicht mehr in die VREG implementiert, die Anwendung sieht immer nur das was auch lokal vorhanden ist.


Sebastian Gernert – Support Escalation Engineer

Comments (0)

Skip to main content