Definiowanie obiektów zasad grupy opartych na domenie
Obiekty zasad grupy oparte na domenie można tworzyć w usługach AD DS i przechowywać je na kontrolerach domeny. Za pomocą tych obiektów zasad grupy można centralnie zarządzać konfiguracją dla użytkowników i komputerów domeny. Podczas instalowania usług AD DS system Windows Server tworzy dwa domyślne obiekty zasad grupy:
- Domyślne zasady domeny
- Domyślne zasady kontrolerów domeny
Uwaga / Notatka
Komputery z systemem Windows mają również lokalne obiekty zasad grupy, które są używane głównie wtedy, gdy komputery nie są połączone ze środowiskami domeny.
Domyślne zasady domeny
Domyślny obiekt zasad domeny jest połączony z domeną i ma zastosowanie do uwierzytelnionych użytkowników. Ten obiekt zasad grupy nie ma żadnych filtrów usługi WMI. W związku z tym ma to wpływ na wszystkich użytkowników i komputerów w domenie. Ten obiekt zasad grupy zawiera ustawienia zasad, które określają hasło, blokadę konta i zasady protokołu uwierzytelniania Kerberos w wersji 5.
Te ustawienia mają kluczowe znaczenie dla środowiska usług AD DS, a tym samym sprawiają, że domyślne zasady domeny są krytycznym składnikiem zasad grupy. Nie należy dodawać niepowiązanych ustawień zasad do tego obiektu zasad grupy. Jeśli musisz skonfigurować inne ustawienia, aby stosować szeroko w domenie, utwórz dodatkowe obiekty zasad grupy, które łączą się z domeną.
Domyślne zasady kontrolerów domeny
Domyślny obiekt zasad grupy kontrolerów domeny łączy się z jednostką organizacyjną kontrolerów domeny. Ponieważ konta komputerów dla kontrolerów domeny są przechowywane wyłącznie w jednostki organizacyjnej Kontrolery domeny, a inne konta komputerów powinny być przechowywane w innych jednostkach organizacyjnych, ten obiekt zasad grupy ma wpływ tylko na kontrolery domeny lub inne obiekty komputerów, które znajdują się w kontrolerze domeny jednostki organizacyjnej.
Należy zmodyfikować obiekty zasad grupy połączone z jednostki organizacyjnej Kontrolery domeny, aby zaimplementować zasady inspekcji i przypisać prawa użytkownika wymagane na kontrolerach domeny.