GPO のストレージとは

  • 7 分

グループ ポリシーの設定は、AD DS のユーザー インターフェイス ツールでは GPO として表示されますが、GPO には実際には 2 つのコンポーネントが含まれています。

グループ ポリシー コンテナーとテンプレートとは

次の表は、これら 2 つのコンポーネントについて説明したものです。

コンポーネント

説明

グループ ポリシー コンテナー

グループ ポリシー オブジェクト コンテナーは Active Directory にあり、GPO メタデータが格納されます。 実際の設定は含まれませんが、GPO が作成された日時、ユーザーとコンピューターの設定が変更された回数、GPO のバージョンと GUID (グループ ポリシー設定をグループ ポリシー テンプレートにリンクするために使用されます) に関する情報が含まれます。

グループ ポリシー テンプレート

このテンプレートは、%SystemRoot%\SYSVOL\Domain\Policies\GPOGUID パス内の各ドメイン コントローラーの SYSVOL に格納されているファイルのコレクションです。GPOGUID は、グループ ポリシー コンテナーのグローバル一意識別子 (GUID) です。 グループ ポリシー テンプレートには、グループ ポリシーの設定が含まれています。

注意

すべての AD DS オブジェクトと同様に、各グループ ポリシー コンテナーには、AD DS 内のオブジェクトを一意に識別する GUID 属性が含まれています。

GPO の設定を変更すると、変更が SYSVOL 共有に保存されます。 既定では、PDC エミュレーター操作マスターの役割を持つドメイン コントローラーが使用されます。 その後、行われた変更は他のドメイン コントローラーにレプリケートされます。

ヒント

既定では、グループ ポリシーの更新が行われると、GPO が更新されている場合にのみ、クライアント側拡張機能によって GPO に設定が適用されます。

次に説明するように、グループ ポリシー クライアントは、更新された GPO をそのバージョン番号によって識別できます。

  • 各 GPO には、変更を行うたびに増分されるバージョン番号が付いています。
  • バージョン番号は、グループ ポリシー テンプレート フォルダー内のテキスト ファイル GPT.ini に、グループ ポリシー コンテナーの属性として格納されます。
  • グループ ポリシー クライアントは、以前に適用した各 GPO のバージョン番号を認識しています。
  • グループ ポリシーの更新の間に、グループ ポリシー クライアントによって、グループ ポリシー コンテナーのバージョン番号が変化したことが検出された場合、Windows Server により、GPO が更新されたことがクライアント側拡張機能に通知されます。

GPO のレプリケーション

グループ ポリシー コンテナーとグループ ポリシー テンプレートは両方とも、AD DS のローカル ドメイン内のすべてのドメイン コントローラー間でレプリケートされます。 ただし、これら 2 つの項目で使用されるレプリケーション メカニズムは異なります。

  • AD DS のグループ ポリシー コンテナーは、ディレクトリ レプリケーション エージェント (DRA) を使用してレプリケートされます。 DRA では、知識整合性チェッカーによって生成されるトポロジが使用され、これは手動で定義または調整することができます。 結果として、グループ ポリシー コンテナーは、サイト内のすべてのドメイン コントローラーに数秒以内にレプリケートされ、サイト間のレプリケーション構成に基づいてサイト間でレプリケートされます。
  • SYSVOL のグループ ポリシー テンプレートは、分散ファイル システム レプリケーション (DFS-R) を使用してレプリケートされます。

注意事項

グループ ポリシー コンテナーとグループ ポリシー テンプレートは別々にレプリケートされるため、短期間同期しなくなる可能性があります。 通常、このような場合は、最初にグループ ポリシー コンテナーがドメイン コントローラーにレプリケートされます。

そのドメイン コントローラーから順序指定された GPO の一覧を取得したシステムにより、新しいグループ ポリシー コンテナーが識別されます。 その後、それらのシステムによってグループ ポリシー テンプレートのダウンロードが試みられ、バージョン番号が同じではないことが認識されます。 ポリシー処理エラーがイベント ログに記録されます。

逆に、グループ ポリシー コンテナーの前に GPO がドメイン コントローラーにレプリケートされると、そのドメイン コントローラーから順序指定された GPO の一覧を取得したクライアントには、グループ ポリシー コンテナーがレプリケートされるまで、新しい GPO は通知されません。