Definire l'archiviazione di oggetti Criteri di gruppo
Le impostazioni di Criteri di gruppo si presentano come oggetti Criteri di gruppo negli strumenti dell'interfaccia utente di Active Directory Domain Services, ma un oggetto Criteri di gruppo è costituito in realtà da due componenti.
Che cosa sono i contenitori e i modelli di Criteri di gruppo?
Questi due componenti sono descritti nella tabella seguente.
Componente
Descrizione
Il contenitore dei criteri di gruppo
Il contenitore Oggetti Criteri di gruppo si trova in Active Directory e archivia i metadati dell'oggetto Criteri di gruppo. Non contiene impostazioni effettive, ma informazioni su quando è stato creato l'oggetto Criteri di gruppo, quante volte sono state modificate le impostazioni utente e computer, la versione dell'oggetto Criteri di gruppo e il relativo GUID (che viene usato per collegare le impostazioni di Criteri di gruppo a un modello di Criteri di gruppo.
Il modello Criteri di gruppo
Questo modello è una raccolta di file archiviati nel SYSVOL di ogni controller di dominio nel percorso %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID, dove GPOGUID è l'identificatore univoco globale (GUID) del contenitore dei Criteri di gruppo. Il modello Criteri di gruppo contiene le impostazioni di Criteri di gruppo.
Annotazioni
Analogamente a tutti gli oggetti di Active Directory Domain Services, ogni contenitore criteri di gruppo include un attributo GUID che identifica in modo univoco l'oggetto all'interno di Active Directory Domain Services.
Quando si modificano le impostazioni di un oggetto Criteri di gruppo, le modifiche vengono salvate nella condivisione SYSVOL. Per impostazione predefinita, viene utilizzato il controller di dominio che detiene il ruolo di master delle operazioni dell'emulatore PDC. Le modifiche apportate vengono quindi replicate in altri controller di dominio.
Suggerimento
Per impostazione predefinita, quando si verifica l'aggiornamento dei Criteri di gruppo, le estensioni lato client applicano le impostazioni in un GPO solo se il GPO è stato aggiornato.
Il client di Criteri di gruppo è in grado di identificare un oggetto Criteri di gruppo aggiornato in base al relativo numero di versione, come descritto di seguito:
- Ogni GPO ha un numero di versione che viene incrementato ogni volta che si apporta una modifica.
- Il numero di versione viene archiviato come attributo del contenitore dei criteri di gruppo e in un file di testo, GPT.ini, nella cartella modello di Criteri di gruppo.
- Il client Criteri di gruppo conosce il numero di versione di ogni oggetto Criteri di gruppo che ha applicato in precedenza.
- Se, durante l'aggiornamento di Criteri di gruppo, il client di Criteri di gruppo rileva che il numero di versione del contenitore Criteri di gruppo è stato modificato, Windows Server informa le estensioni lato client che l'oggetto Criteri di gruppo è stato aggiornato.
Replica degli oggetti Criteri di gruppo
Il contenitore e il modello di Criteri di gruppo vengono entrambi replicati tra tutti i controller di dominio nel dominio locale in Active Directory Domain Services. Tuttavia, questi due elementi usano meccanismi di replica diversi.
- Il contenitore Criteri di gruppo in Active Directory Domain Services viene replicato tramite l'agente di replica directory (DRA). Dra usa una topologia generata dal controllo coerenza delle informazioni, che è possibile definire o perfezionare manualmente. Il risultato è che il contenitore dei Criteri di gruppo viene replicato in pochi secondi su tutti i controller di dominio di un sito, e viene replicato tra siti in base alla configurazione della replica intersite.
- Il modello di Criteri di gruppo in SYSVOL viene replicato tramite la replica del file system distribuito (DFS-R).
Attenzione
Poiché il contenitore Criteri di gruppo e il modello criteri di gruppo vengono replicati separatamente, è possibile che diventino non sincronizzati per un breve periodo di tempo. In genere, quando ciò accade, il contenitore Criteri di gruppo viene replicato prima in un controller di dominio.
I sistemi che hanno ottenuto l'elenco ordinato di oggetti Criteri di gruppo dal controller di dominio identificheranno il nuovo contenitore Criteri di gruppo. Questi sistemi tenteranno quindi di scaricare il modello di Criteri di gruppo e noteranno che i numeri di versione non sono uguali. Un errore di elaborazione dei criteri verrà registrato nei registri degli eventi.
Se si verifica il contrario e l'oggetto Criteri di gruppo viene replicato in un controller di dominio prima del contenitore Criteri di gruppo, i client che ottengono l'elenco ordinato di oggetti Criteri di gruppo da tale controller di dominio non riceveranno una notifica del nuovo oggetto Criteri di gruppo finché il contenitore Criteri di gruppo non viene replicato.