域控制器的组策略应用程序规则
10/20/2020
本文内容
本文介绍域控制器的组策略应用程序规则。
适用于: Windows Server 2012R2
原始 KB 编号: 259576
摘要
域控制器仅从链接到域根目录的组策略对象拉取一些安全设置。 由于域控制器与域共享同一帐户数据库,因此必须在所有域控制器上统一设置某些安全设置。 这将确保域成员拥有一致的体验,无论他们使用哪个域控制器登录。 Windows 2000 仅允许将组策略中的某些设置应用于域级别的域控制器,从而完成此任务。 此组策略行为对于成员服务器和工作站是不同的。
只有在组策略链接到域容器时,以下设置Windows 2000 中的域控制器:
Computer Configuration/Windows 设置/Security 设置/Account Policies (其中包括所有帐户锁定、密码和 Kerberos 策略。)
Computer Configuration/Windows 设置/Security 设置/Local Policies/Security Options 中的以下三个设置:
登录时间到期时自动注销用户
重命名管理员帐户
重命名来宾帐户
只有在组策略链接到Windows时,以下设置才应用于基于 Windows Server 2003 的域控制器。 (这些设置位于 Computer Configuration/Windows 设置/Security 设置/Local Policies/Security Options.)
帐户:管理员帐户状态
帐户:来宾帐户状态
帐户:重命名管理员帐户
帐户:重命名来宾帐户
网络安全:登录时间到期时强制注销
更多信息
组策略对象中的这些设置不适用于域控制器组织单位,因为域控制器可以从域控制器组织单位移到其他组织单位中。 使用域容器允许应用这些设置,而不管域容器驻留在哪个组织单位中。
在域控制器上应用这些设置的过程包括:
域控制器通过搜索域控制器的 Computer 对象的父容器来收集组策略对象的列表。
域控制器仅在组策略对象链接到域容器时应用之前列出的设置。
如果有多个链接到域容器的组策略对象,则组策略对象的应用从列表底部的组策略对象开始,到顶部的组策略对象结束。 这导致位于顶部的组策略对象优先于其他组策略对象。