Групова політика - це складна інфраструктура, яка дозволяє віддалено налаштовувати взаємодію з користувачами і комп'ютерами в домені. Велика частина поради щодо усунення несправностей дається ІТ-адміністраторам, коли групова політика не виконується належним чином. Але від таких порад мало користі, коли ви маєте справу з тисячами об'єктів групової політики, які застосовуються до тисяч комп'ютерів і користувачів.
Ми розглянемо структуру об'єкта групової політики і місця зберігання компонентів об'єкта групової політики в доменній середовищі. Потім ми проаналізуємо способи використання відомостей про стан працездатності інфраструктури групової політики для відстеження помилок реплікації об'єктів групової політики і подальшого дослідження цих помилок.
Перевірку працездатності інфраструктури групової політики за допомогою консолі управління груповими політиками можна виконувати тільки на приєднаних до домену комп'ютерах, що працюють під управлінням:
Windows 8 або Windows 8.1 із засобами адміністрування віддаленого сервера для Windows 8
Уявлення про те, як зберігаються об'єкти групової політики в домені, допоможе вам найефективніше використовувати дані, які відображаються на сторінці стану інфраструктури.
В домені, що містить кілька контролерів домену, потрібен час на поширення, або реплікацію, відомостей групової політики від одного контролера домену до іншого. Сумісність із мережею з низькою пропускною спроможністю між контролерами домену уповільнюють реплікацію. В інфраструктурі групової політики є механізми для управління цими проблемами.
Між даними об'єкта групової політики, які зберігаються в Active Directory (контейнер групової політики), і даними об'єкта групової політики, які зберігаються в SYSVOL (шаблон групової політики) може виникати тимчасова відсутність синхронізації. Це відбувається через відмінності в схемах реплікації, використовуваних Active Directory і DFS-R або FRS.
Групова політика надає платформу, яка розширює можливості керування груповою політикою. Ці компоненти називаються розширеннями або оснащеннями групової політики. Для тих розширень групової політики, які зберігають дані тільки в одному сховищі даних (Active Directory або SYSVOL), це не викликає особливих проблем, і групова політика застосовується в міру читання даних. До таких розширень належать адміністративні шаблони, скрипти, перенаправлення папок і велика частина параметрів безпеки.
Розширення групової політики, що зберігають дані в Active Directory і SYSVOL, повинні правильно обробляти випадки, коли дані не синхронізовані. Це також відноситься до розширень, яким потрібно, щоб кілька об'єктів в одному сховищі були атомарними по природі, так як жодне зі сховищ і не виконує жодних транзакції.
Приклад розширення, що зберігає дані як в службі каталогів Active Directory, так і в SYSVOL, - це установка програм. Файли скриптів зберігаються в SYSVOL, а визначення пакета установника Windows - в Active Directory. Якщо скрипт існує, але відповідні компоненти Active Directory відсутні, то нічого не відбувається. Якщо файл скрипта відсутня, але пакет відомий в Active Directory, установка додатки буде правильно припинена, а повторна спроба установки буде виконана під час наступної обробки групової політики.
В ідеальному випадку вам би хотілося мати можливість заздалегідь перевірити узгодженість всіх об'єктів групової політики. У минулому для такої перевірки використовувалася програма GPOTool.exe. Однак GPOTool.exe перевіряє тільки значення у файлі GPT.ini, що лише вказує, синхронізовані чи версії в контейнері групової політики і шаблон групової політики в кожному контролері домену.