Definieren des GPO-Speichers
Gruppenrichtlinieneinstellungen werden in AD DS Benutzeroberflächentools als GPOs dargestellt, ein GPO umfasst aber eigentlich zwei Komponenten.
Was sind Gruppenrichtliniencontainer und -vorlagen?
Diese beiden Komponenten werden in der folgenden Tabelle beschrieben.
Komponente
Beschreibung
Gruppenrichtliniencontainer
Der Container für Gruppenrichtlinienobjekte befindet sich in Active Directory und speichert GPO-Metadaten. Er enthält keine tatsächlichen Einstellungen, sondern Informationen darüber, wann das GPO erstellt wurde und wie oft Benutzer- und Computereinstellungen geändert wurden, GPO-Version und zugehörige GUID (die verwendet wird, um Gruppenrichtlinieneinstellungen mit einer Gruppenrichtlinienvorlage zu verknüpfen).
Gruppenrichtlinienvorlage
Bei dieser Vorlage handelt es sich um mehrere Dateien, die in SYSVOL der einzelnen Domänencontroller im Pfad %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID gespeichert sind, wobei GPOGUID die GUID (Globally Unique Identifier) des Gruppenrichtliniencontainers ist. Die Gruppenrichtlinienvorlage enthält die Gruppenrichtlinieneinstellungen.
Hinweis
Ähnlich wie alle AD DS-Objekte enthält jeder Gruppenrichtliniencontainer ein GUID-Attribut, das das Objekt in AD DS eindeutig identifiziert.
Wenn Sie die Einstellungen eines GPOs ändern, werden die Änderungen in der SYSVOL-Freigabe gespeichert. Standardmäßig wird der Domänencontroller verwendet, der die Betriebsmasterrolle "PDC-Emulation" (primärer Domänencontroller) enthält. Die vorgenommenen Änderungen werden dann auf die anderen Domänencontroller repliziert.
Tipp
Bei einer Gruppenrichtlinienaktualisierung wenden die clientseitigen Erweiterungen die Einstellungen in einem GPO standardmäßig nur dann an, wenn das GPO aktualisiert wurde.
Der Gruppenrichtlinienclient kann ein aktualisiertes GPO wie nachfolgend beschrieben anhand seiner Versionsnummer identifizieren:
- Jedes GPO verfügt über eine Versionsnummer, die jedes Mal erhöht wird, wenn Sie eine Änderung vornehmen.
- Die Versionsnummer wird als Gruppenrichtliniencontainer-Attribut und in der Textdatei „GPT.ini“ im Ordner für Gruppenrichtlinienvorlagen gespeichert.
- Der Gruppenrichtlinienclient kennt die Versionsnummer jedes GPO, das zuvor angewendet wurde.
- Wenn der Gruppenrichtlinienclient während der Gruppenrichtlinienaktualisierung feststellt, dass die Versionsnummer des Gruppenrichtliniencontainers geändert wurde, werden die clientseitigen Erweiterungen von Windows Server darüber informiert, dass das GPO aktualisiert wurde.
GPO-Replikation
Der Gruppenrichtliniencontainer und die Gruppenrichtlinienvorlage werden in AD DS zwischen allen Domänencontrollern in der lokalen Domäne repliziert. Für diese beiden Elemente werden jedoch unterschiedliche Replikationsmechanismen verwendet.
- Der Gruppenrichtliniencontainer in AD DS wird mit dem Verzeichnisreplikations-Agenten (DRA) repliziert. Der DRA verwendet eine Topologie, die von der Konsistenzprüfung generiert wird und die Sie manuell definieren oder verfeinern können. Dies hat zur Folge, dass der Gruppenrichtliniencontainer an einem Standort innerhalb von Sekunden auf alle Domänencontroller und standortübergreifend basierend auf der Replikationskonfiguration zwischen Standorten repliziert wird.
- Die Gruppenrichtlinienvorlage in SYSVOL wird mit der DFS-Replikation (DFS-R) repliziert.
Achtung
Da der Gruppenrichtliniencontainer und die Gruppenrichtlinienvorlage getrennt repliziert werden, ist es möglich, dass beide für einen kurzen Zeitraum nicht mehr synchronisiert sind. In diesem Fall wird normalerweise der Gruppenrichtliniencontainer zuerst auf einen Domänencontroller repliziert.
Systeme, die ihre geordnete Liste von GPOs von diesem Domänencontroller erhalten haben, erkennen den neuen Gruppenrichtliniencontainer. Diese Systeme versuchen dann, die Gruppenrichtlinienvorlage herunterzuladen, und stellen fest, dass die Versionsnummern nicht identisch sind. In den Ereignisprotokollen wird ein Richtlinienverarbeitungsfehler aufgezeichnet.
Wenn das Gegenteil der Fall ist und das GPO vor dem Gruppenrichtliniencontainer auf einen Domänencontroller repliziert wird, werden Clients, die ihre geordnete Liste von GPOs von diesem Domänencontroller erhalten, erst dann über das neue GPO benachrichtigt, wenn der Gruppenrichtliniencontainer repliziert wurde.