Zdefiniuj magazyn obiektu zasad grupy
Ustawienia zasad grupy są widoczne jako obiekty zasad grupy (GPO) w narzędziach interfejsu użytkownika usługi AD DS, ale obiekt zasad grupy rzeczywiście zawiera dwa składniki.
Co to są kontenery i szablony zasad grupy?
Te dwa składniki zostały opisane w poniższej tabeli.
Składnik
Opis
Kontener zasad grupy
Kontener Obiektów Zasad Grupowych znajduje się w usłudze Active Directory i przechowuje metadane zasad grupowych. Nie zawiera rzeczywistych ustawień, ale informacje na temat czasu utworzenia obiektu zasad grupy, ile razy zmodyfikowano ustawienia użytkownika i komputera, wersję obiektu zasad grupy i jego identyfikator GUID (który służy do łączenia ustawień zasad grupy z szablonem zasad grupy.
Szablon zasad grupy
Ten szablon jest kolekcją plików przechowywanych w folderze SYSVOL każdego kontrolera domeny w ścieżce %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID, gdzie GPOGUID jest globalnie unikatowym identyfikatorem (GUID) kontenera zasad grupy. Szablon zasady grupy zawiera ustawienia zasad grupy.
Uwaga / Notatka
Podobnie jak wszystkie obiekty usług AD DS, każdy kontener zasad grupy zawiera atrybut GUID, który jednoznacznie identyfikuje obiekt w usługach AD DS.
Po zmianie ustawień obiektu zasad grupy zmiany są zapisywane w udziale SYSVOL. Domyślnie używany jest kontroler domeny posiadający rolę wzorca operacji Emulatora PDC. Zmiany są następnie replikowane do innych kontrolerów domeny.
Wskazówka
Domyślnie po odświeżeniu zasad grupy rozszerzenia po stronie klienta stosują ustawienia w obiekcie zasad grupy tylko wtedy, gdy obiekt zasad grupy został zaktualizowany.
Klient polityki grupowej może zidentyfikować zaktualizowany obiekt zasad grupowych według jego numeru wersji, co opisano poniżej:
- Każda GPO ma numer wersji, który zwiększa się przy każdej zmianie.
- Numer wersji jest przechowywany jako atrybut kontenera zasad grupy i w pliku tekstowym, GPT.ini, w folderze szablonu zasad grupy.
- Klient zasad grupowych zna numer wersji każdego obiektu zasad grupy, który został wcześniej zastosowany.
- Jeśli podczas odświeżania zasad grupy klient zasad grupy wykryje, że numer wersji kontenera zasad grupy został zmieniony, system Windows Server poinformuje rozszerzenia po stronie klienta, że obiekt zasad grupy jest zaktualizowany.
Replikacja obiektu zasad grupy
Kontener zasad grupy i szablon zasad grupy są replikowane między wszystkimi kontrolerami domeny w domenie lokalnej w usługach AD DS. Jednak te dwa elementy używają różnych mechanizmów replikacji.
- Kontener zasad grupy w AD DS replikuje przy użyciu agenta replikacji katalogów (DRA). Funkcja DRA używa topologii generowanej przez program sprawdzania spójności wiedzy, który można zdefiniować lub udoskonalić ręcznie. W rezultacie kontener Zasad Grupy replikuje się w ciągu kilku sekund do wszystkich kontrolerów domeny w lokacji i następnie replikuje między lokacjami na podstawie waszej konfiguracji replikacji międzylokacyjnej.
- Szablon zasad grupy w folderze SYSVOL replikuje przy użyciu replikacji rozproszonego systemu plików (DFS-R).
Ostrzeżenie
Ponieważ kontener i szablon zasad grupy replikują się oddzielnie, możliwe jest, że mogą stać się niesynchronizowane przez krótki czas. Zazwyczaj w takim przypadku kontener zasad grupy będzie najpierw replikowany do kontrolera domeny.
Systemy, które uzyskały uporządkowaną listę GPO z tego kontrolera domeny, zidentyfikują nowy kontener zasad grupy. Te systemy spróbują pobrać szablon zasad grupy i zauważą, że numery wersji nie są takie same. Błąd przetwarzania zasad zostanie zarejestrowany w dziennikach zdarzeń.
Jeśli nastąpi odwrotnie, a obiekt zasad grupy jest replikowany do kontrolera domeny przed kontenerem zasad grupy, klienci uzyskujący uporządkowaną listę obiektów zasad grupy z tego kontrolera domeny nie zostaną powiadomieni o nowym obiekcie zasad grupy, dopóki kontener zasad grupy nie zostanie zreplikowany.