Definieren des GPO-Speichers
Gruppenrichtlinieneinstellungen werden als GPOs in AD DS-Benutzeroberflächentools angezeigt, aber ein Gruppenrichtlinienobjekt enthält tatsächlich zwei Komponenten.
Was sind Gruppenrichtliniencontainer und -vorlagen?
Diese beiden Komponenten werden in der folgenden Tabelle beschrieben.
Bestandteil
Beschreibung
Gruppenrichtliniencontainer
Der Container "Gruppenrichtlinienobjekte" befindet sich in Active Directory und speichert GPO-Metadaten. Es enthält keine tatsächlichen Einstellungen, aber Informationen dazu, wann GPO erstellt wurde, wie oft Benutzer- und Computereinstellungen geändert wurden, GPO-Version und seine GUID (die verwendet wird, um Gruppenrichtlinieneinstellungen mit einer Gruppenrichtlinienvorlage zu verknüpfen.
Gruppenrichtlinienvorlage
Diese Vorlage ist eine Sammlung von Dateien, die im SYSVOL jedes Domänencontrollers im %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID Pfad gespeichert sind, wobei GPOGUID der GUID (Globally Unique Identifier) des Gruppenrichtliniencontainers ist. Die Gruppenrichtlinienvorlage enthält die Gruppenrichtlinieneinstellungen.
Hinweis
Ähnlich wie bei allen AD DS-Objekten enthält jeder Gruppenrichtliniencontainer ein GUID-Attribut, das das Objekt innerhalb von AD DS eindeutig identifiziert.
Wenn Sie die Einstellungen eines GPOs ändern, werden die Änderungen in der SYSVOL-Freigabe gespeichert. Standardmäßig wird der Domänencontroller, der die Masterrolle für PDC-Emulatorvorgänge enthält, verwendet. Die vorgenommenen Änderungen werden dann auf andere Domänencontroller repliziert.
Tipp
Standardmäßig wenden die clientseitigen Erweiterungen bei einer Aktualisierung der Gruppenrichtlinien nur dann Einstellungen in einem Gruppenrichtlinienobjekt an, wenn das Gruppenrichtlinienobjekt aktualisiert wurde.
Der Gruppenrichtlinienclient kann ein aktualisiertes GPO wie nachfolgend beschrieben anhand seiner Versionsnummer identifizieren:
- Jedes GPO verfügt über eine Versionsnummer, die jedes Mal erhöht wird, wenn Sie eine Änderung vornehmen.
- Die Versionsnummer wird als Gruppenrichtliniencontainerattribut und in einer Textdatei, GPT.ini, im Gruppenrichtlinienvorlagenordner gespeichert.
- Der Gruppenrichtlinienclient kennt die Versionsnummer jedes GPO, das es zuvor angewendet hat.
- Wenn der Gruppenrichtlinienclient während der Gruppenrichtlinienaktualisierung feststellt, dass die Versionsnummer des Gruppenrichtliniencontainers geändert wurde, werden die clientseitigen Erweiterungen von Windows Server darüber informiert, dass das GPO aktualisiert wurde.
GPO-Replikation
Der Gruppenrichtliniencontainer und die Gruppenrichtlinienvorlage replizieren beide zwischen allen Domänencontrollern in der lokalen Domäne in AD DS. Diese beiden Elemente verwenden jedoch unterschiedliche Replikationsmechanismen.
- Der Gruppenrichtliniencontainer in AD DS repliziert mithilfe des Verzeichnisreplikations-Agents (Directory Replication Agent, DRA). Die DRA verwendet eine Topologie, die von der Wissenskonsistenzprüfung generiert wird, die Sie manuell definieren oder verfeinern können. Das Ergebnis ist, dass der Gruppenrichtliniencontainer innerhalb von Sekunden auf alle Domänencontroller an einem Standort repliziert und basierend auf Ihrer Konfiguration der standortübergreifenden Replikation zwischen Standorten repliziert wird.
- Die Gruppenrichtlinienvorlage in SYSVOL wird mit der DFS-Replikation (DFS-R) repliziert.
Vorsicht
Da der Gruppenrichtliniencontainer und die Gruppenrichtlinienvorlage separat repliziert werden, ist es möglich, dass sie für kurze Zeit nicht mehr synchronisiert werden. In diesem Fall wird normalerweise der Gruppenrichtliniencontainer zuerst auf einen Domänencontroller repliziert.
Systeme, die ihre sortierte Liste von GPOs von diesem Domänencontroller erhalten haben, identifizieren den neuen Gruppenrichtliniencontainer. Diese Systeme versuchen dann, die Gruppenrichtlinienvorlage herunterzuladen, und sie werden feststellen, dass die Versionsnummern nicht identisch sind. Ein Richtlinienverarbeitungsfehler wird in den Ereignisprotokollen erfasst.
Wenn das Gegenteil der Fall ist und das GPO vor dem Gruppenrichtliniencontainer auf einen Domänencontroller repliziert wird, werden Clients, die ihre geordnete Liste von GPOs von diesem Domänencontroller erhalten, erst dann über das neue GPO benachrichtigt, wenn der Gruppenrichtliniencontainer repliziert wurde.