Speicherplatz (SYSVOL)
Der Speicherort der Gruppenrichtlinien liegt wider den meisten Vorstellungen nicht im Active Directory. Im Active Directory sind nur die Verweise auf die Richtlinien enthalten. Dazu gibt es bei jeder OU das Feld "gPLink", in welchem die Verweise auf die Gruppenrichtlinien liegen.
Dieser Verweis zeigt auf einen Eintrag in der OU "System" der Domäne
Die eigentlichen Einstellungen der Gruppenrichtlinie liegen aber im Dateisystem und sind normalerweise für jedermann auch einsehbar.
Unter dem DFS-Pfad der Domäne sind im Verzeichnis "Policies" alle Richtlinien mit ihrer GUID aufgelistet (Im Bild ist nur eine Richtlinie dargestellt). Dort sind in weiteren Unterverzeichnissen die ADM-Vorlagen und die Einstellungen für Benutzer und Maschinen hinterlegt.
Damit ist aber auch klar, dass diese Einstellungen nur innerhalb einer Domäne mittels FRS repliziert werden und eine Verknüpfung aus anderen Domänen entsprechende Zugriffe erfordern. Dies ist bei der Planung der Aufstellorte für Domänencontroller zu beachten.
Da Sie nun wissen, so eigentlich die Richtlinien liegen, können Sie diese auch einfach exportieren und importieren. Allerdings sollten Sie dabei die Datei GPT.INI aussparen, da Sie eine Versionsnummer enthält, die mit der Versionsnummer im Active Directory übereinstimmen muss. Wenn Sie daher eine Richtlinie wieder importieren, sollten sie danach einmal mit der MMC diese Richtlinie verändern, damit die Version erhöht wird und die Clients diese neue Richtlinie auch erneut anwenden.
Das Gesamtbild
Ganz schön komplex wird schon das vereinfachte Bild, welches die Zusammenhänge grob erläutert:
Kurze Erklärung zum Bild:
-
Die Funktion des Active Directory
Im Active Directory selbst sind die Gruppenrichtlinien aufgeführt. Dabei handelt es sich aber nur um einen "Link" auf die eigentlichen Richtlinien. -
Sysvol
Die Gruppenrichtlinien selbst liegen als Dateien in der SYSVOL-Freigabe. Unter Policies gibt es für jede GPO ein Verzeichnis mit dem Namen der GUID. -
ADM Vorlagen
Die Vorlagen, damit der Administrator in der grafischen Oberfläche die Einstellungen verstehen kann, liegen seit Windows 2000 ebenfalls in den Richtlinien. Allerdings können mit der MMC auch neue Vorlagen eingebunden werden, die dann automatisch zu den Vorlagen der Richtlinien kopiert werden. So haben später alle Administratoren immer die gleichen aktuellen Vorlagen. Problematisch hierbei ist, dass Windows auch die ADM-Vorlagen automatisch aktualisiert, wenn lokal eine neuere Datei zu finden ist. So sind die Vorlagen von Windows XP neuer als diese von Windows 2000 Server.
Bei Windows NT4 und POLEDIT war es hingegen so, dass der Administrator selbst dafür sorgen musste, dass er die passenden ADM-Vorlagen immer parat hatte, da POLEDIT ihm sonst nur einen Teil der Einstellungen angezeigt hat. Das konnte sehr verwirrend sein -
Client
Der PC bezieht dann die Richtlinien entsprechend der Hierarchie (Lokal, Standort, Domäne, OU) und wendet diese an. Beachten Sie dabei die Feinheiten von echten und falschen Richtlinien und die Effekte, wenn Sie immer noch eine NTCONFIG.POL von NT4 im NETLOGON-Verzeichnis haben.