Nyissuk meg a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) MMC konzolt. Kattintsunk arra a szervezeti egységre a jobboldali egérgombbal, amelyiknek a hatókörébe eső gépek és felhasználók csoportházirend objektumának gépválasztását elő akarjuk írni. Ha nem elérhető a PDC gép, akkor a tartomány összes gépének beállítását módosítani kell, ez esetben a tartomány gyökérpontjára kattintsunk.
A megjelenő menüben lépjünk a "Tulajdonságok" ("Properties") sorra, majd a "Csoportházirend" ("Group Policy") oldalra. Nyissuk meg a házirend MMC konzolját a "Szerkesztés" ("Edit") gombbal. Kattintsunk a megjelenő farendszer gyökérpontjára. Amennyiben a tartománynál is a gyökérpontot választottuk, akkor most a "Default Domain Policy [tartománynév] házirend" ("Default Domain Policy [tartománynév] Policy") sornál vagyunk. Lépjünk a Nézet > Tartományvezérlő beállításai (View > Options for domain controller) menüre.
Megjelenik egy "Lehetőségek tartományvezérlő választásához" ("Options for domain controller selection") fejléccel rendelkező ablak, benne három rádiógombbal. Ezekkel lehet kiválasztani, hogy az adott csoportházirend melyik tartományvezérlő kezelésébe essen.
"Az elsődleges tartományvezérlő emulációját irányító műveleti főkiszolgáló" ("The one with the Operations Master token for the PDC emulator"):
Azon túl, hogy ez az első és alapértelmezett választási lehetőség, egyben ez a leginkábban preferált is, ugyanis akkor garantált, hogy nem történik adatvesztés a hálózatban (a csoportházirendekre vonatkozóan), ha minden házirendet az elsődleges tartományvezérlő (PDC) kezel. Milyen adatvesztés léphet fel? Például két rendszergazda dolgozik egy időben két különböző gépen ugyanazon a csoportházirenden. Amennyiben az alábbi két lehetőséget választjuk (második vagy harmadik rádiógomb), előfordulhat, hogy két különböző tartományvezérlő kezeli az adott házirend példányokat. Tehát ugyanazt a beállítást módosítják két különböző gépen, egy replikációs cikluson belül. A replikáció során az Active Directory érzékeli a konfliktust és a beépített algoritmusoknak megfelelően feloldja azt, így az egyik rendszergazda munkája elveszik.
PDC gép csak egy lehet az egész Active Directory címtárban. Ha minden csoportházirend objektumot a PDC kezeli, akkor nem állhat elő a fenti szituáció. Biztonsági okokból ez az alapértelmezett beállítás.
Másik megoldás, hogy lehetőleg csak egy rendszergazda legyen jogosult a házirendek módosítására - ami nyilván nem mindig járható út.
"Az Active Directory beépülő moduljai által használt kiszolgáló" ("The one used by the Active Directory Snap-ins"):
Lazít a biztonságon a második rádiógomb, mert annak a tartományvezérlőnek adja át a kezelési jogot, amelyik éppen a felügyeleti konzol hatókörébe esik. Tartományvezérlőt váltani a következőképpen lehet: kattintsunk az "Active Directory - felhasználók és számítógépek" ("Active Directory Users and Computers") konzolban a tartomány nevére a jobboldali egérgombbal és lépjünk a "Csatlakozás tartományvezérlőhöz" ("Connect to Domain Controller") menüre, majd a megjelenő ablakban lévő listából válasszuk ki a kívánt gépet.
Ezzel fennáll a lehetősége az egy időben történő módosításoknak, de mivel kézzel kell a csatlakozást elvégezni a rendszergazdának tudomása van róla, hogy másik tartományvezérlőn dolgozik. Nem úgy, mint a következő esetben.
"Bármelyik elérhető tartományvezérlő" ("Use any available domain controller"):
A harmadik lehetőség a legtoleránsabb: ha egy vagy több tartományvezérlő üzemen kívül kerül, gyakorlatilag mindenfajta közbeavatkozás nélkül működik tovább a hálózat, mert bármelyik még működő tartományvezérlő azonnal átveszi a csoportházirendek kezelését. Ugyanakkor a rendszergazdák részéről fokozottabb figyelmet igényel bármiféle közbeavatkozás, lévén hogy a felügyeleti konzol megnyitásakor még nem tudják valójában melyik tartományvezérlőn is fognak dolgozni.
A fentiek figyelembevételével bánjuk óvatosan az alapértelmezett beállítások megváltoztatásán, ha mégis megtesszük, akkor pedig nagyon óvatosan hajtsuk végre a módosításokat. A hálózat működése szempontjából a legnagyobb biztonságot akkor érhetjük el, ha csak egy rendszergazda jogosult a csoportházirend megváltoztatására és a harmadik rádiógombot aktivizáljuk. Ekkor amíg legalább egy tartományvezérlő működik, a csoportházirend is működik és nem történhetnek párhuzamos módosítások.
A rádiógombok átállítása után a számítógépet újra kell indítani.