Michael1985 Geschrieben 10. September Geschrieben 10. September Hallo zusammen, ich habe mal wieder eine Frage. Es geht um den zentralen Speicher bei GPO's. Wir haben zwei DC's im Einsatz und bei beiden ist die Rolle GPM installiert. Beide DC's replizieren sich sauber und alle GPO's sind auf beiden DC's vorhanden. Nun zu meiner Frage - wenn ich eine GPO bearbeite, wird mir immer der DC angezeigt, wo ich aktuell die GPO bearbeite, z. B. DC1 oder DC2. Es ist aber "eigentlich" ein zentraler Speicher für die GPO's eingerichtet --> \\domain.de\SYSVOL\domain.de\Policies\PolicyDefinitions . Sollte mir nicht in der GPO im Bearbeitungsmodus "vom zentralen Speicher abgerufen" oder ähnliches angezeigt werden? Grüße! Zitieren
Maniska Geschrieben 10. September Geschrieben 10. September Nope, es gibt keinen zentralen Speicher, es gibt einen Ordner der auf allen DCs domänenweit synchron gehalten wird. https://learn.microsoft.com/de-de/troubleshoot/windows-server/group-policy/rebuild-sysvol-tree-and-content-in-a-domain Wäre ja auch blöd wenn es nur eine Stelle gäbe auf die Alle DCs zugreifen, was machst du bei einem Internetausfall am Standort? Dann kann der DC und damit der Standort nicht mehr arbeiten? Nee, so doof ist nicht mal Microsoft. Änderungen an einem DC (egal ob AD-Konten, neue Gruppen oder GPOs) werden auf alle anderen DC übertragen. In der selben Site quasi sofort, zu allen anderen Sites standardmäßig alle 15 Minuten. Wer dabei mit wem redet kann man bei "AD-Sites&Services" nachschauen und ggf. einstellen. Deswegen kann es bei mehreren verteilen DCs vorkommen dass man auf DC-Berlin eine Änderung vornimmt und diese auf DC-München noch nicht angekommen ist wenn man sie braucht. vor 31 Minuten schrieb Michael1985: Sollte mir nicht in der GPO im Bearbeitungsmodus "vom zentralen Speicher abgerufen" oder ähnliches angezeigt werden? Nein, da du alle Änderungen immer auf einem bestimmten DC durchführst, dieser synct das dann in die Welt. Vorteil: Bei "Ups-kacke..." Kann man schnell auf einem anderen DC der noch nicht gesynct hat den Originalzustand ablinsen und zurückbauen. Zitieren
Michael1985 Geschrieben 20. September Autor Geschrieben 20. September Moin, sorry für die späte Antwort. Ich habe es noch einmal geprüft. Ein zentraler Speicher ist von einen meiner Vorgänger eingerichtet worden. \\DOMAIN\SYSVOL\DOMAIN\Policies\PolicyDefinitions Es steht auch zentraler Speicher, wenn ich eine GPO bearbeite (siehe Anhang). Zitieren
Maniska Geschrieben 20. September Geschrieben 20. September Da geht es um den Speicherort für die VORLAGEN für die GPOs, nicht die GPOs selbst. https://www.windowspro.de/wolfgang-sommergut/zentralen-store-fuer-admx-vorlagen-einrichten-aktualisieren Die Magic macht hier der Ordner "\\<FQDN der Domäne>\SYSVOL\<FQDN der Domäne>", das wäre auf einem bestimmten DC der Ordner "C:\Windows\Sysvol\<FQDN der Domäne>. Alles was hier liegt wird über die AD-Replication zwischen allen DCs synchron gehalten. Deswegen findet man auf jedem DC alle GPOs etc. Man kann ADMX-Files auch lokal auf einem Client (oder einem einzelnen DC) installieren, die jeweilige Richtlinie erstellen und (ggf. händisch) in den Ordner "\\<FQDN der Domäne>\SYSVOL\<FQDN der Domäne\Policies>" importieren. Allerdings kann man GPOs die mithilfe von ADMX-Files erstellt wurden nur sinnvoll lesen wenn man diese ADMX Files auch auf dem Gerät zur Verfügung hat auf dem man sie bearbeiten will. Sonst wird nur Kauderwelsch dargestellt. ABER: auch der "zentrale Speicher" auf den sich die Beschreibung bezieht ist kein ominöses "gibt es nur einmal und muss für alle immer erreichbar sein" Speicherplätzchen sonder bedeutet nur "ist nicht Clientlokal, kommt aus dem AD-gesyncten Store". Das kommt vor allem dann zum tragen wenn man nicht auf den DC selbst sondern auf Adminhosts arbeitet auf denen die neuen ADMX-Files und ihre Möglichkeiten erst einmal angeschaut werden sollen ohne dass es Auswirkungen auf die Domäne hat. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.