Definir armazenamento de GPO
As configurações de Política de Grupo são apresentadas como GPOs nas ferramentas de interface do usuário do AD DS, mas um GPO na verdade inclui dois componentes.
O que são os contêineres e modelos da Política de Grupo?
Esses dois componentes são descritos na tabela a seguir.
Componente
Descrição
O contêiner da Política de Grupo
O contêiner Objetos de Política de Grupo está localizado no Active Directory e armazena metadados de GPO. Ele não contém configurações reais, mas informações sobre quando o GPO foi criado, quantas vezes as configurações de usuário e computador foram modificadas, versão gpo e seu GUID (que é usado para vincular as configurações da Política de Grupo a um modelo de Política de Grupo.
O modelo da Política de Grupo
Este modelo é uma coleção de arquivos armazenados no SYSVOL de cada controlador de domínio no caminho %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID, onde GPOGUID é o GUID (identificador global exclusivo) do contêiner de Política de Grupo. O modelo Política de Grupo contém as Configurações de Política de Grupo.
Observação
Semelhante a todos os objetos do AD DS, cada contêiner de Política de Grupo inclui um atributo GUID que identifica exclusivamente o objeto no AD DS.
Quando você altera as configurações de um GPO, as alterações são salvas no compartilhamento SYSVOL. Por padrão, o controlador de domínio que contém a função mestra de operações do Emulador PDC é usado. As alterações feitas são replicadas para outros controladores de domínio.
Dica
Por padrão, quando ocorre a atualização da Política de Grupo, as extensões do lado do cliente aplicam configurações em um GPO somente se o GPO tiver sido atualizado.
O cliente de Política de Grupo pode identificar um GPO atualizado por seu número de versão, como descreve a seguir:
- Cada GPO tem um número de versão que é incrementado cada vez que você faz uma alteração.
- O número de versão é armazenado como um atributo de contêiner de Política de Grupo e em um arquivo de texto, GPT.ini, na pasta de modelo de Política de Grupo.
- O cliente de Política de Grupo sabe o número de versão de cada GPO aplicado anteriormente.
- Se, durante a atualização da Política de Grupo, o cliente de Política de Grupo descobrir que o número de versão do contêiner de Política de Grupo foi alterado, o Windows Server informará às extensões do lado do cliente que o GPO foi atualizado.
Replicação de GPO
O contêiner de Política de Grupo e o modelo de Política de Grupo replicam entre todos os controladores de domínio no domínio local no AD DS. No entanto, esses dois itens usam mecanismos de replicação diferentes.
- O contêiner de Política de Grupo no AD DS é replicado usando o DRA (Agente de Replicação de Diretório). O DRA usa uma topologia gerada pelo Verificador de Consistência de Conhecimento, que você pode definir ou refinar manualmente. O resultado é que o contêiner de Política de Grupo é replicado em segundos para todos os controladores de domínio em um site e replica entre sites com base na configuração de replicação entre sites.
- O modelo de Política de Grupo no SYSVOL é replicado usando a Replicação do Sistema de Arquivos Distribuído (DFS-R).
Cuidado
Como o contêiner de Política de Grupo e o modelo de Política de Grupo são replicados separadamente, é possível que eles fiquem fora de sincronia por um breve tempo. Normalmente, quando isso acontece, o contêiner de Política de Grupo será replicado primeiro para um controlador de domínio.
Os sistemas que obtiveram a lista ordenada de GPOs desse controlador de domínio identificarão o novo contêiner de Política de Grupo. Esses sistemas tentarão baixar o modelo de Política de Grupo e observarão que os números de versão não são os mesmos. Um erro de processamento de política será registrado nos logs de eventos.
Se o inverso acontecer e o GPO for replicado para um controlador de domínio antes do contêiner de Política de Grupo, os clientes que obtiverem sua lista ordenada de GPOs desse controlador de domínio não serão notificados do novo GPO até que o contêiner da Política de Grupo seja replicado.