Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive le regole dell'applicazione criteri di gruppo per i controller di dominio.
Numero KB originale: 259576
Riepilogo
I controller di dominio estraggono alcune impostazioni di sicurezza solo dagli oggetti Criteri di gruppo collegati alla radice del dominio. Poiché i controller di dominio condividono lo stesso database account per il dominio, alcune impostazioni di sicurezza devono essere impostate in modo uniforme in tutti i controller di dominio. In questo modo, i membri del dominio hanno un'esperienza coerente indipendentemente dal controller di dominio usato per accedere. Windows esegue questa attività consentendo l'applicazione solo di determinate impostazioni nei criteri di gruppo ai controller di dominio a livello di dominio. Questo comportamento dei criteri di gruppo è diverso per il server membro e le workstation.
Le impostazioni seguenti vengono applicate ai controller di dominio in Windows quando i criteri di gruppo sono collegati al contenitore Dominio:
Tutte le impostazioni in Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza/Criteri account (inclusi tutti i criteri di blocco account, password e Kerberos).
Le tre impostazioni seguenti in Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza/Criteri locali/Opzioni di sicurezza:
- Disconnettere automaticamente gli utenti alla scadenza dell'accesso
- Rinominare l'account amministratore
- Rinominare l'account guest
Le impostazioni seguenti vengono applicate ai controller di dominio basati su Windows solo quando i criteri di gruppo sono collegati al contenitore di dominio. (Le impostazioni si trovano in Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza/Criteri locali/Opzioni di sicurezza.
- Account: stato account Administrator
- Account: stato account Guest
- Account: rinomina account amministratore
- Account: rinomina account guest
- Sicurezza di rete: imponi disconnessione al termine dell'orario di accesso
Ulteriori informazioni
Queste impostazioni dagli oggetti Criteri di gruppo non vengono applicate all'unità organizzativa Controller di dominio perché un controller di dominio può essere spostato dall'unità organizzativa Controller di dominio e in un'unità organizzativa diversa. L'uso del contenitore Domain consente di applicare queste impostazioni indipendentemente dalla posizione in cui risiede il contenitore di dominio.
Il processo per l'applicazione di queste impostazioni in un controller di dominio include:
- Il controller di dominio raccoglie l'elenco di oggetti Criteri di gruppo eseguendo una ricerca nei contenitori padre dell'oggetto Computer del controller di dominio.
- Il controller di dominio applica le impostazioni elencate in precedenza solo se l'oggetto Criteri di gruppo è collegato al contenitore Domain.
- Se sono presenti più oggetti Criteri di gruppo collegati al contenitore Dominio, l'applicazione degli oggetti Criteri di gruppo inizia con l'oggetto Criteri di gruppo nella parte inferiore dell'elenco e termina con l'oggetto Criteri di gruppo nella parte superiore. In questo modo, l'oggetto Criteri di gruppo in alto ha la precedenza sugli altri.