Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo zusammen, 

ich habe mal wieder eine Frage. 

Es geht um den zentralen Speicher bei GPO's. 

Wir haben zwei DC's im Einsatz und bei beiden ist die Rolle GPM installiert. 

Beide DC's replizieren sich sauber und alle GPO's sind auf beiden DC's vorhanden. 

Nun zu meiner Frage - wenn ich eine GPO bearbeite, wird mir immer der DC angezeigt, wo ich aktuell die GPO bearbeite, z. B. DC1 oder DC2. 

Es ist aber "eigentlich" ein zentraler Speicher für die GPO's eingerichtet --> \\domain.de\SYSVOL\domain.de\Policies\PolicyDefinitions . 

Sollte mir nicht in der GPO im Bearbeitungsmodus "vom zentralen Speicher abgerufen" oder ähnliches angezeigt werden?

 

Grüße!

Geschrieben

Nope, es gibt keinen zentralen Speicher, es gibt einen Ordner der auf allen DCs domänenweit synchron gehalten wird.

https://learn.microsoft.com/de-de/troubleshoot/windows-server/group-policy/rebuild-sysvol-tree-and-content-in-a-domain

Wäre ja auch blöd wenn es nur eine Stelle gäbe auf die Alle DCs zugreifen, was machst du bei einem Internetausfall am Standort? Dann kann der DC und damit der Standort nicht mehr arbeiten? Nee, so doof ist nicht mal Microsoft.

Änderungen an einem DC (egal ob AD-Konten, neue Gruppen oder GPOs) werden auf alle anderen DC übertragen. In der selben Site quasi sofort, zu allen anderen Sites standardmäßig alle 15 Minuten. Wer dabei mit wem redet kann man bei "AD-Sites&Services" nachschauen und ggf. einstellen.

Deswegen kann es bei mehreren verteilen DCs vorkommen dass man auf DC-Berlin eine Änderung vornimmt und diese auf DC-München noch nicht angekommen ist wenn man sie braucht.

vor 31 Minuten schrieb Michael1985:

Sollte mir nicht in der GPO im Bearbeitungsmodus "vom zentralen Speicher abgerufen" oder ähnliches angezeigt werden?

Nein, da du alle Änderungen immer auf einem bestimmten DC durchführst, dieser synct das dann in die Welt. Vorteil: Bei "Ups-kacke..." Kann man schnell auf einem anderen DC der noch nicht gesynct hat den Originalzustand ablinsen und zurückbauen.

  • 2 Wochen später...
Geschrieben

Moin, 

sorry für die späte Antwort. 

Ich habe es noch einmal geprüft. 

Ein zentraler Speicher ist von einen meiner Vorgänger eingerichtet worden. 

\\DOMAIN\SYSVOL\DOMAIN\Policies\PolicyDefinitions

Es steht auch zentraler Speicher, wenn ich eine GPO bearbeite (siehe Anhang). 

 

 

 

 

central_store.jpg

Geschrieben

Da geht es um den Speicherort für die VORLAGEN für die GPOs, nicht die GPOs selbst.

https://www.windowspro.de/wolfgang-sommergut/zentralen-store-fuer-admx-vorlagen-einrichten-aktualisieren

Die Magic macht hier der Ordner "\\<FQDN der Domäne>\SYSVOL\<FQDN der Domäne>", das wäre auf einem bestimmten DC der Ordner "C:\Windows\Sysvol\<FQDN der Domäne>.

Alles was hier liegt wird über die AD-Replication zwischen allen DCs synchron gehalten. Deswegen findet man auf jedem DC alle GPOs etc.

Man kann ADMX-Files auch lokal auf einem Client (oder einem einzelnen DC) installieren, die jeweilige Richtlinie erstellen und (ggf. händisch) in den Ordner  "\\<FQDN der Domäne>\SYSVOL\<FQDN der Domäne\Policies>" importieren. Allerdings kann man GPOs die mithilfe von ADMX-Files erstellt wurden nur sinnvoll lesen wenn man diese ADMX Files auch auf dem Gerät zur Verfügung hat auf dem man sie bearbeiten will. Sonst wird nur Kauderwelsch dargestellt.

ABER: auch der "zentrale Speicher" auf den sich die Beschreibung bezieht ist kein ominöses "gibt es nur einmal und muss für alle immer erreichbar sein" Speicherplätzchen sonder bedeutet nur "ist nicht Clientlokal, kommt aus dem AD-gesyncten Store".

Das kommt vor allem dann zum tragen wenn man nicht auf den DC selbst sondern auf Adminhosts arbeitet auf denen die neuen ADMX-Files und ihre Möglichkeiten erst einmal angeschaut werden sollen ohne dass es Auswirkungen auf die Domäne hat.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...