GPO ストレージを定義する

  • 7 分

グループ ポリシー設定は AD DS ユーザー インターフェイス ツールで GPO として存在しますが、GPO には実際には 2 つのコンポーネントが含まれています。

グループ ポリシーのコンテナーとテンプレートとは

これら 2 つのコンポーネントについて、次の表で説明します。

コンポーネント

説明

グループ ポリシー コンテナー

グループ ポリシー オブジェクト コンテナーは Active Directory にあり、GPO メタデータを格納します。 実際の設定は含まれませんが、GPO の作成時、ユーザーとコンピューターの設定が変更された回数、GPO のバージョンとその GUID (グループ ポリシー設定をグループ ポリシー テンプレートにリンクするために使用されます) に関する情報が含まれています。

グループ ポリシー テンプレート

このテンプレートは、 %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID パス内の各ドメイン コントローラーの SYSVOL に格納されているファイルのコレクションです。GPOGUID はグループ ポリシー コンテナーのグローバル一意識別子 (GUID) です。 グループ ポリシー テンプレートには、グループ ポリシーの設定が含まれています。

すべての AD DS オブジェクトと同様に、各グループ ポリシー コンテナーには、AD DS 内のオブジェクトを一意に識別する GUID 属性が含まれています。

GPO の設定を変更すると、変更内容が SYSVOL 共有に保存されます。 既定では、PDC エミュレーター操作マスターの役割を保持するドメイン コントローラーが使用されます。 加えられた変更は、他のドメイン コントローラーにレプリケートされます。

ヒント

既定では、グループ ポリシーの更新が行われると、GPO が更新された場合にのみ、クライアント側の拡張機能によって GPO の設定が適用されます。

グループ ポリシー クライアントは、次に示すように、更新された GPO をバージョン番号で識別できます。

  • 各 GPO には、変更を加えるたびにインクリメントされるバージョン番号があります。
  • バージョン番号は、グループ ポリシー コンテナー属性として、GPT.iniのテキスト ファイルのグループ ポリシー テンプレート フォルダーに格納されます。
  • グループ ポリシー クライアントは、以前に適用した各 GPO のバージョン番号を認識します。
  • グループ ポリシーの更新中に、グループ ポリシー クライアントがグループ ポリシー コンテナーのバージョン番号が変更されたことを検出した場合、Windows Server は GPO が更新されたことをクライアント側の拡張機能に通知します。

GPO のレプリケーション

グループ ポリシー コンテナーとグループ ポリシー テンプレートの両方が、AD DS のローカル ドメイン内のすべてのドメイン コントローラー間でレプリケートされます。 ただし、これら 2 つの項目では、異なるレプリケーション メカニズムが使用されます。

  • AD DS のグループ ポリシー コンテナーは、ディレクトリ レプリケーション エージェント (DRA) を使用してレプリケートします。 DRA では、ナレッジ整合性チェッカーによって生成されるトポロジが使用されます。このトポロジは、手動で定義または絞り込むことができます。 その結果、グループ ポリシー コンテナーは、サイト内のすべてのドメイン コントローラーに数秒以内にレプリケートされ、サイト間レプリケーション構成に基づいてサイト間でレプリケートされます。
  • SYSVOL のグループ ポリシー テンプレートは、分散ファイル システム レプリケーション (DFS-R) を使用してレプリケートします。

注意事項

グループ ポリシー コンテナーとグループ ポリシー テンプレートは個別にレプリケートされるため、短時間同期しなくなる可能性があります。 通常、これが発生すると、グループ ポリシー コンテナーは最初にドメイン コントローラーにレプリケートされます。

そのドメイン コントローラーから GPO の順序付きリストを取得したシステムは、新しいグループ ポリシー コンテナーを識別します。 これらのシステムでは、グループ ポリシー テンプレートのダウンロードが試みられ、バージョン番号が同じではないことに気付きます。 ポリシー処理エラーがイベント ログに記録されます。

逆の処理が行われ、GPO がグループ ポリシー コンテナーの前にドメイン コントローラーにレプリケートされた場合、そのドメイン コントローラーから GPO の順序付きリストを取得したクライアントは、グループ ポリシー コンテナーがレプリケートされるまで新しい GPO の通知を受け取りません。