Definir armazenamento de GPO
As Configurações de Política de Grupo aparecem como GPOs nas ferramentas de interface do usuário do AD DS, mas um GPO, na verdade, inclui dois componentes.
O que são contêineres e modelos da Política de Grupo?
Esses dois componentes estão descritos na tabela a seguir.
Componente
Descrição
O contêiner da Política de Grupo
O contêiner Objetos de Política de Grupo está localizado no Active Directory e armazena metadados de GPO. Ele não contém as configurações reais e, sim, informações sobre quando o GPO foi criado, quantas vezes as configurações de usuário e computador foram modificadas, a versão do GPO e seu GUID (que é usado para vincular as Configurações de Política de Grupo a um modelo de Política de Grupo).
O modelo da Política de Grupo
Esse modelo é uma coleção de arquivos armazenados no SYSVOL de cada controlador de domínio no caminho %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID, em que GPOGUID é o GUID (identificador global exclusivo) do contêiner Política de Grupo. O modelo Política de Grupo contém as Configurações de Política de Grupo.
Observação
Semelhante a todos os objetos do AD DS, cada contêiner Política de Grupo inclui um atributo GUID que identifica exclusivamente o objeto no AD DS.
Quando você altera as configurações de um GPO, as alterações são salvas no compartilhamento SYSVOL. Por padrão, o controlador de domínio que contém a função mestre de operações Emulador de PDC é usado. As alterações feitas são, então, replicadas para outros controladores de domínio.
Dica
Por padrão, quando ocorre a atualização da Política de Grupo, as extensões do lado do cliente somente aplicam configurações a um GPO se o GPO tiver sido atualizado.
O cliente Política de Grupo pode identificar um GPO atualizado pelo seu número de versão, como descrito abaixo:
- Cada GPO tem um número de versão que aumenta cada vez que você faz uma alteração.
- O número de versão é armazenado como um atributo do contêiner de Política de Grupo e em um arquivo de texto, GPT.ini, na pasta de modelo Política de Grupo.
- O cliente Política de Grupo sabe o número de versão de cada GPO aplicado anteriormente.
- Se durante a atualização da Política de Grupo o cliente Política de Grupo descobrir que o número de versão do contêiner Política de Grupo foi alterado, o Windows Server informará as extensões do lado do cliente que o GPO foi atualizado.
Replicação do GPO
O contêiner Política de Grupo e o modelo Política de Grupo são replicados entre todos os controladores de domínio no domínio local do AD DS. No entanto, esses dois itens usam mecanismos de replicação diferentes.
- O contêiner Política de Grupo no AD DS é replicado usando o DRA (agente de replicação de diretório). O DRA usa uma topologia gerada pelo Knowledge Consistency Checker, que você pode definir ou refinar manualmente. O resultado é que o contêiner Política de Grupo é replicado em segundos para todos os controladores de domínio em um site e é replicado entre sites com base na sua configuração de replicação entre sites.
- O modelo Política de Grupo no SYSVOL é replicado usando a Replicação do Sistema de Arquivos Distribuído (DFS-R).
Cuidado
Como o contêiner Política de Grupo e o modelo Política de Grupo são replicados separadamente, é possível que eles fiquem fora de sincronia por um breve tempo. Normalmente, quando isso acontece, o contêiner Política de Grupo é replicado para um controlador de domínio primeiro.
Os sistemas que obtiveram suas listas ordenadas de GPOs desse controlador de domínio identificarão o novo contêiner Política de Grupo. Esses sistemas tentarão baixar o modelo Política de Grupo e observarão que os números de versão não são os mesmos. Um erro de processamento de política será registrado nos logs de eventos.
Se o inverso ocorrer e o GPO for replicado para um controlador de domínio antes do contêiner Política de Grupo, os clientes que obtiverem sua lista ordenada de GPOs desse controlador de domínio não serão notificados sobre o novo GPO até que o contêiner Política de Grupo tenha sido replicado.