Ponovitev skupinske politike

Razmnoževanje skupinske politike v aktivnem imeniku nadzirata dva različna mehanizma podvajanja: FRS in podvajanje Active Directory. Poskusimo podrobneje govoriti o teh tehnologijah..

Politike skupin so postale pomembno in priročno orodje za upravljanje voznega parka osebnih računalnikov in strežnikov v Active Directoryu, zato mora sistemski administrator razumeti podrobnosti dela skupinskih politik (glejte članek o značilnih težavah pri uporabi GPO). Tehnologija skupinske politike vključuje različne komponente, vključno z razširitvami strank, kot so datoteke ADM / ADMX, GPC, GPT in številne druge. S kakršno koli spremembo v skupinskem pravilniku se ta sprememba pojavi samo na enem regulatorju domene, zato je treba podatke o tej spremembi v GPO kopirati na vse preostale krmilnike domen. Tak mehanizem podvajanja vključuje več različnih tehnologij kopiranja, in če ni pravilno dokončan, lahko povzroči velike težave. V tem članku bomo razpravljali o postopku podvajanja pravilnikov skupine in o korakih za pravilno izvedbo podvajanja..

Sprožitev GP replikacije

Takšen sprožitveni sprožilec se sproži, ko se spremenijo nastavitve predmeta GPO. To je lahko sprememba katere koli od več kot 5.000 nastavitev skupinskih pravil v sistemu Windows Server 2008. Sprememba se lahko zgodi tako v razdelku s konfiguracijo računalnika kot v razdelku za uporabniške nastavitve, vsaka taka sprememba bo povzročila podvajanje skupina politika!

Sistem ločeno spremlja takšen zagon pri spreminjanju nastavitev v politiki računalnikov in uporabnikov. Če si ogledate podrobnosti GPO na konzoli za upravljanje skupinskih politik (GPMC), boste videli, da obstaja seznam nastavitev različic za računalnike in uporabnike..

Ko pride do spremembe v katerem koli delu GPO, se številka različice (poveča) ustreznega dela pravilnika skupine.

Če urejanje GPO poteka z urejevalnikom urejanja skupinskih politik (GPME), je privzeto uporabljen krmilnik domene, ki deluje kot emulator PDC. Tako bodo vse replike stekle s tega krmilnika domene. Če je izbran drug krmilnik domene (lahko ga izberete v GPMC-ju), se bo v tem primeru podvajanje začelo s tem regulatorjem domene.

Podvajanje predloge skupinske politike

Predloga skupinske politike (GPT) je del pravilnika skupine, katere nastavitve so shranjene v eni ali več datotekah. Ta del GPO in z njim povezane datoteke so shranjeni na krmilnikih domen v imeniku Sysvol. Privzeto se nahajajo na naslovu: c: \ Windows\ Sysvol\ Sysvol\> \ Politike


Mapa Sysvol na krmilnikih domen se uporablja za zagotavljanje nastavitev skupinskih pravilnikov in skriptov za prijavo / prijavo strankam. Ker se Sysvol uporablja za preverjanje pristnosti uporabnikov in računalnikov, morajo biti podatki v njem ustrezni na vseh upravljalcih domen. Kadar se v Sysvolu na enem krmilniku domene spremenijo kakršne koli informacije, to povzroči ponovitev procesa Sysvol na druge krmilnike domen.

Sysvol se podvaja s sistemom za podvajanje datotek (FRS). FRS ne uporablja načrtovane podvajanja, temveč uporablja podvajanje na podlagi države. To pomeni, da se takoj, ko se v kateri koli datoteki ali strukturi mape Sysvol zgodi sprememba, zažene mehanizem podvajanja. Ta rešitev ponuja zelo učinkovit in hiter model kopiranja za GPT..

Kot stransko opombo velja omeniti, da se podvajanje FRS ne ujema z mejami spletnega mesta. Tako bo takšna razmnoževanje v nekaj minutah vplivala na vse krmilnike domen, ne glede na to, na katerem mestu (tudi oddaljenem) so ti DC-ji.

Opomba: V sistemu Windows Server 2008 lahko Sysvol za kopiranje vsebine uporablja tako FRS kot DFS-R. Mimogrede, preberite članek o tem, kako omogočiti podvajanje FRS na ločenih vratih..

Ponavljanje vsebnikov skupinske politike

Vsebniki skupinskih pravilnikov (GPC) so shranjeni v Active Directoryu. GPC načeloma ne vsebuje nobenih nastavitev, ker vse nastavitve skupinskih pravilnikov so shranjene v GPT. Vsebnik za skupinsko politiko vsebuje vse referenčne informacije za GPO, in sicer pot do GPT, vključno z GPO, in vse informacije o GPC v Active Directory.

Vse GPC-je in njihove lastnosti si lahko ogledate s pomočjo vtičnika Active Directory Uporabniki in računalniki (ADUC). V konzoli ADUC morate najprej omogočiti prikaz naprednih funkcij (Napredne funkcije).
Po tem pojdite na oddelek ime domene> \ Sistem\ Politike.

Tu boste videli celoten seznam GUID-jev, ki ustrezajo GPC-ju za vsak GPO v domeni.

Podvajanje GPC-ja sprožijo tudi spremembe v nastavitvah skupinske politike, tako kot v primeru GPT. Vendar podvajanje GPC ne temelji na preverjanju stanja objekta ali na FRS. Razmnoževanje vsebnikov skupinskih pravilnikov in podvajanje drugih predmetov Active Directory se izvaja z mehanizmom podvajanja Active Directory.

Podvajanje Active Directory uporablja privzeto dve vrsti urnikov. Med krmilniki domen, ki so na istem spletnem mestu, obstaja podvajanje in medmrežno podvajanje.

Za krmilnike domen na enem mestu se podvajanje zgodi vsakih 15 sekund. Tega intervala ni mogoče spremeniti in ga nadzira preverjevalnik skladnosti znanja (KCC)..

Druga vrsta podvajanja se privzeto pojavi vsake 3 ure, spremlja pa jo storitev medsebojne topologije Intersite Topology Generator (ISTG). Ta interval je mogoče spremeniti in v večini primerov ga je treba zmanjšati, da se optimizira širjenje sprememb med krmilniki domen. Te spremembe je mogoče izvesti s konzolo Active Directory Sites and Services. Da bi to naredili, moramo izbrati potrebno povezavo med spletnimi mesti v njem in nastaviti urnik.


Preverite podvajanje GPO

Najpreprostejše diagnostično orodje za kopiranje GPC in GPT je GPOTool. To orodje je brezplačno in zelo enostavno za uporabo. Priložen je operacijski sistem in ga je mogoče zagnati iz ukazne vrstice. Samo vtipkajte v ukazni vrstici gpotool > / besedno .


Rezultat tega ukaza bo prikaz številk različic GPT in GPC za vsak GPO na vseh naštetih kontrolerjih domen.

Če torej veste, da je bil spremenjen GPO, vendar nastavitve niso uporabljene, bi bilo lepo, da se prepričate, da so bili GPO podvojeni v regulatorju domene, na katerem ste bili overjeni.

Povzetek

Podvajanje skupinske politike nadzirata dva različna mehanizma podvajanja: FRS in podvajanje Active Directory. Da bo vsebina GPO pomembna za vse krmilnike domen, je treba izvesti podvajanje obeh delov skupinske politike, GPT in GPC, le če je ta pogoj izpolnjen, bo GPO pravilno deloval. S pomočjo pripomočka GPOTool lahko vedno zagotovite, da so bili vsi GPO podatki kopirani na vaš krmilnik domene.