定义基于域的 GPO

可以在 AD DS 中创建基于域的 GPO，并将其存储在域控制器上。可以使用这些 GPO 集中管理域用户和计算机的配置。安装 AD DS 时，Windows Server 将创建两个默认 GPO：

注释

Windows 计算机还具有本地 GPO，主要在计算机未连接到域环境时使用。

默认域策略

默认域策略 GPO 链接到域，并应用于经过身份验证的用户。此 GPO 没有任何 WMI 筛选器。因此，它会影响域中的所有用户和计算机。此 GPO 包含指定密码、帐户锁定和 Kerberos 版本 5 身份验证协议策略的策略设置。

这些设置对 AD DS 环境至关重要，因此，使默认域策略成为组策略的关键组件。不应将不相关的策略设置添加至这个 GPO。如果需要配置其他设置以广泛地应用于域中，请创建链接到域的其他 GPO。

默认域控制器策略 GPO 链接到域控制器的 OU。由于域控制器的计算机帐户仅保留在域控制器 OU 中，而其他计算机帐户应保存在其他 OU 中，因此此 GPO 仅影响域控制器或其他位于域控制器 OU 中的计算机对象。

应修改链接到域控制器 OU 的 GPO 以实现审核策略，并分配域控制器上所需的用户权限。

此页面是否有帮助？