Définissez des objets de stratégie de groupe basés sur un domaine
Vous pouvez créer des objets de stratégie de groupe basés sur un domaine dans AD DS et les stocker sur des contrôleurs de domaine. Vous pouvez utiliser ces objets de stratégie de groupe pour gérer la configuration de manière centralisée pour les utilisateurs et les ordinateurs du domaine. Lorsque vous installez AD DS, Windows Server crée deux objets de stratégie de groupe par défaut :
- Stratégie de domaine par défaut
- Stratégie des contrôleurs de domaine par défaut
Remarque
Les ordinateurs Windows ont également des objets de stratégie de groupe locaux, qui sont principalement utilisés lorsque les ordinateurs ne sont pas connectés à des environnements de domaine.
Stratégie de domaine par défaut
L’objet de stratégie de groupe de la stratégie de domaine par défaut est lié au domaine et s’applique aux utilisateurs authentifiés. Cet objet de stratégie de groupe n’a aucun filtre WMI. Par conséquent, elle affecte tous les utilisateurs et tous les ordinateurs du domaine. Cet objet de stratégie contient les paramètres de stratégie qui spécifient les stratégies de mot de passe, de verrouillage de compte et de protocole d’authentification Kerberos version 5.
Ces paramètres sont d’une importance critique pour l’environnement AD DS. Par conséquent, définissez la stratégie de domaine par défaut comme composant critique de la stratégie de groupe. Vous ne devez pas ajouter de paramètres de stratégie non liés à cet objet de stratégie de groupe. Si vous devez configurer d’autres paramètres pour qu’ils s’appliquent largement dans votre domaine, créez des objets de stratégie de groupe supplémentaires qui sont liés au domaine.
Stratégie des contrôleurs de domaine par défaut
L’objet de stratégie de stratégie de contrôleurs de domaine par défaut est lié à l’unité d’organisation des contrôleurs de domaine. Étant donné que les comptes d’ordinateur pour les contrôleurs de domaine sont conservés exclusivement dans l’unité d’organisation des contrôleurs de domaine et que d’autres comptes d’ordinateur doivent être conservés dans d’autres unités d’organisation, cet objet de stratégie de groupe affecte uniquement les contrôleurs de domaine ou d’autres objets informatiques qui se trouvent dans l’unité d’organisation des contrôleurs de domaine.
Vous devez modifier les objets de stratégie de groupe liés à l’unité d’organisation des contrôleurs de domaine pour implémenter vos stratégies d’audit et attribuer des droits utilisateur requis sur les contrôleurs de domaine.