Определение хранилища объектов групповой политики
Параметры групповой политики представлены в средствах пользовательского интерфейса доменных служб Active Directory в виде объектов групповой политики, однако фактически объект групповой политики состоит из двух компонентов.
Что такое контейнеры и шаблоны групповой политики?
Эти два компонента описаны в следующей таблице.
Компонент
Description
Контейнер групповой политики
Контейнер объектов групповой политики находится в Active Directory и хранит метаданные объекта групповой политики. Он содержит не фактические параметры, а сведения о том, когда объект групповой политики был создан, сколько раз были изменены параметры пользователя и компьютера, версию объекта групповой политики и его глобальный уникальный идентификатор (который используется для связывания параметров групповой политики с шаблоном групповой политики).
Шаблон групповой политики
Этот шаблон представляет собой коллекцию файлов, хранящихся в SYSVOL каждого контроллера домена в пути %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID, где GPOGUID — глобальный уникальный идентификатор (GUID) контейнера групповой политики. Шаблон групповой политики содержит параметры групповой политики.
Примечание.
Аналогично всем объектам доменных служб Active Directory каждый контейнер групповой политики содержит атрибут GUID, однозначно определяющий объект в доменных службах Active Directory.
При изменении параметров объекта групповой политики изменения сохраняются в общей папке SYSVOL. По умолчанию используется контроллер домена, выполняющий роль мастера операций эмулятора PDC. Затем внесенные изменения реплицируются на другие контроллеры домена.
Совет
По умолчанию при обновлении групповой политики расширения на стороне клиента применяют параметры в объекте групповой политики только в том случае, если был обновлен объект групповой политики.
Клиент групповой политики может определить обновленный объект групповой политики по номеру версии, как показано ниже.
- Каждый объект групповой политики имеет номер версии, который увеличивается каждый раз при внесении изменений.
- Номер версии хранится в виде атрибута контейнера групповой политики и в текстовом файле GPT.ini в папке шаблона групповой политики.
- Клиент групповой политики знает номер версии каждого ранее примененного объекта групповой политики.
- Если при обновлении групповой политики клиент групповой политики обнаруживает, что номер версии контейнера групповой политики изменился, Windows Server сообщает расширениям на стороне клиента о том, что объект групповой политики обновлен.
Репликация объекта групповой политики
Как контейнер групповой политики, так и шаблон групповой политики реплицируются между всеми контроллерами домена в локальном домене в доменных службах Active Directory. Однако эти два элемента используют разные механизмы репликации.
- Контейнер групповой политики в доменных службах Active Directory реплицируется с помощью агента репликации каталогов (DRA). Агент DRA использует топологию, которую формирует средство проверки согласованности знаний и которую можно определить или уточнить вручную. В результате контейнер групповой политики в течение нескольких секунд реплицируется на все контроллеры домена в сайте, а также реплицируется между сайтами на основе конфигурации межсайтовой репликации.
- Шаблон групповой политики в SYSVOL реплицируется с помощью репликации распределенной файловой системы (DFS-R).
Внимание
Поскольку контейнер групповой политики и шаблон групповой политики реплицируются отдельно, на короткий промежуток времени между ними возможна рассинхронизация. Как правило, в этом случае первым реплицируется на контроллер домена контейнер групповой политики.
Системы, получившие от этого контроллера домена упорядоченный список объектов групповой политики, будут определять новый контейнер групповой политики. Эти системы попытаются загрузить шаблон групповой политики и заметят, что номера версий не совпадают. В журналах событий появятся записи об ошибке обработки политики.
Если происходит обратное и объект групповой политики реплицируется на контроллер домена до контейнера групповой политики, клиенты, которые получают упорядоченный список объектов групповой политики из этого контроллера домена, не будут уведомлены о новом объекте групповой политики до тех пор, пока контейнер групповой политики не будет реплицирован.