Definování úložiště objektů skupinových politik (GPO)
Nastavení skupinových zásad se v nástrojích uživatelského rozhraní služby AD DS zobrazují jako objekty zásad skupiny, ale GPO ve skutečnosti obsahuje dvě součásti.
Co jsou kontejnery a šablony zásad skupiny?
Tyto dvě komponenty jsou popsány v následující tabulce.
Komponenta
Popis
Kontejner zásad skupiny
Kontejner objektů zásad skupiny se nachází ve službě Active Directory a ukládá metadata objektu zásad skupiny. Neobsahuje skutečná nastavení, ale informace o tom, kdy byl objekt zásad skupiny vytvořen, kolikrát bylo změněno nastavení uživatele a počítače, verze objektu zásad skupiny a jeho identifikátor GUID (který slouží k propojení nastavení zásad skupiny se šablonou zásad skupiny.
Šablona Zásad skupiny
Tato šablona je kolekcí souborů uložených v adresáři SYSVOL na každém řadiči domény v cestě %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID, kde GPOGUID je globálně jedinečný identifikátor (GUID) kontejneru zásad skupiny. Šablona Zásad skupiny obsahuje nastavení zásad skupiny.
Poznámka:
Podobně jako všechny objekty služby AD DS obsahuje každý kontejner zásad skupiny atribut GUID, který jednoznačně identifikuje objekt v rámci služby AD DS.
Když změníte nastavení objektu zásad skupiny, změny se uloží do sdílené složky SYSVOL. Ve výchozím nastavení se používá řadič domény, který má roli operací hlavního emulátoru PDC. Provedené změny se pak replikují do jiných řadičů domény.
Návod
Ve výchozím nastavení platí, že když dojde k aktualizaci zásad skupiny, rozšíření na straně klienta použijí nastavení v objektu zásad skupiny jenom v případě, že se objekt zásad skupiny aktualizoval.
Klient zásad skupiny může identifikovat aktualizovaný objekt zásad skupiny podle čísla verze, jak je popsáno níže:
- Každý objekt zásad správy má číslo verze, které se při každé změně zvýší.
- Číslo verze je uloženo jako atribut kontejneru zásad skupiny a v textovém souboru, GPT.ini, ve složce šablony zásad skupiny.
- Klient zásad skupiny zná číslo verze každého objektu zásad skupiny, který dříve aplikoval.
- Pokud klient zásad skupiny během aktualizace zjistí, že číslo verze kontejneru zásad skupiny se změnilo, Windows Server informuje rozšíření na straně klienta, že objekt zásad skupiny je aktualizován.
Replikace GPO
Kontejner Zásad skupiny i šablona Zásad skupiny se replikují mezi všemi řadiči domény v místní doméně ve službě AD DS. Tyto dvě položky však používají různé mechanismy replikace.
- Kontejner zásad skupiny ve službě AD DS se replikuje pomocí agenta replikace adresáře (DRA). Dra používá topologii, kterou generuje Nástroj pro kontrolu konzistence znalostí, který můžete definovat nebo upřesnit ručně. Výsledkem je, že se kontejner zásad skupiny replikuje během několika sekund do všech řadičů domény v lokalitě. Replikuje se také mezi lokalitami na základě vaší konfigurace replikace mezi lokalitami.
- Šablona Zásad skupiny v adresáři SYSVOL se replikuje pomocí replikace distribuovaného systému souborů (DFS-R).
Upozornění
Vzhledem k tomu, že se kontejner zásad skupiny a šablona zásad skupiny replikují samostatně, je možné, že se po krátkou dobu přestanou synchronizovat. V takovém případě se kontejner zásad skupiny obvykle replikuje nejprve do řadiče domény.
Systémy, které získaly uspořádaný seznam objektů skupinových politik z tohoto řadiče domény, identifikují nový kontejner skupinových politik. Tyto systémy se pak pokusí stáhnout šablonu zásad skupiny a zjistí, že čísla verzí nejsou stejná. V protokolech událostí se zaznamená chyba zpracování zásad.
Pokud k tomu dojde opačně a GPO se replikuje do řadiče domény před kontejnerem zásad skupiny, klienti, kteří z tohoto řadiče domény získají seřazený seznam GPO, nebudou upozorněni na nový GPO, dokud se kontejner zásad skupiny nereplikuje.