■GPT(Group Policy Template)
由文件系统管理的数据,保存有 GPO 所定义的策略,是 GPO 的实体,通过文件共享 (SYSVOL) 进行公开。
■GPC(Group Policy Container)
由 AD 数据库管理的数据,保存有 GPT 的配置信息(GPT 的位置、版本信息等)。
-->也有部分策略保存在 GPC 而非 GPT 中,如:软件安装策略、802.1x 认证相关的策略。
■GPSVC(Group Policy Client Service)
客户端的 GPSVC 组件主导 GPO 的获取与执行过程。
-->[组策略模板] 中的策略由 GPSVC 负责反映到设备上。
■CSE(Client Side Extension)
客户端的各 CSE 组件依据 GPO 将策略反映到设备上。
-->各 CSE 组件详见:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
组策略模板中定义的策略一般通过 CSE 反映到注册表中,有关策略与注册表的对应关系,请见:
Download Group Policy Settings Reference for Windows and Windows Server from Official Microsoft Download Center
■SYSVOL
本地位置:C:\Windows\SYSVOL\domain\Policies
共享位置:\<域名>\SYSVOL
-->共享位置实际共享此路径:C:\Windows\SYSVOL\domain\Policies\sysvol
-->[sysvol] 会向域内公开,以便域成员计算机能够拉取策略。
-->[sysvol] 实为 Junction (目录链接),实际指向 [SYSVOL\domain]。
-->目录链接不同于快捷方式 (.lnk),应将其理解为一个载入点,用户从此载入点进入,获得的权限是此载入点与被载入目录权限的合集。
-->虽说是合集,但依旧遵守拒绝优先原则。
路径采用 DFS 命名空间进行共享。
-->所有域控制器管理同一份策略,为了保障数据的一致性,采用 DFSR 技术在域级别对 SYSVOL 数据进行复制。
-->SYSVOL 的复制与 AD 数据库的复制机制不同,但复制所使用的逻辑/技术是相同的。
■安全策略
[账户策略] 和 [本地策略] 构成了 [安全策略]。
安全策略由以下路径的文件管理
C:\Windows\SYSVOL¥domain¥Policies¥
-->如果不存在,则表明对应的 GPO 未定义安全策略。
参考文献
【AD基礎】グループ ポリシーのデータ構成と適用処理 | ねこまるの AD フリーク (pkiwithadcs.com)