本文介绍域控制器的组策略应用程序规则。
原始 KB 数: 259576
总结
域控制器仅从链接到域根的组策略对象中提取某些安全设置。 由于域控制器共享域的同一帐户数据库,因此必须在所有域控制器上统一设置某些安全设置。 这可确保域的成员具有一致的体验,无论他们使用哪个域控制器登录。 Windows 仅允许将组策略中的某些设置应用于域级别的域控制器来完成此任务。 对于成员服务器和工作站,此组策略行为有所不同。
当组策略链接到域容器时,以下设置将应用于 Windows 中的域控制器:
计算机配置/Windows 设置/安全设置/帐户策略中的所有设置(这包括所有帐户锁定、密码和 Kerberos 策略)。
计算机配置/Windows 设置/安全设置/本地策略/安全选项中的以下三个设置:
- 登录时间过期时自动注销用户
- 重命名管理员帐户
- 重命名来宾帐户
仅当组策略链接到域容器时,以下设置才应用于基于 Windows 的域控制器。 (设置位于 计算机配置/Windows 设置/安全设置/本地策略/安全选项。)
- 帐户: 管理员帐户状态
- 帐户: 来宾帐户状态
- 帐户: 重命名系统管理员帐户
- 帐户: 重命名来宾帐户
- 网络安全: 在超过登录时间后强制注销
详细信息
组策略对象中的这些设置不会应用于域控制器组织单位,因为域控制器可以移出域控制器组织单位,并移动到其他组织单位。 使用域容器可以应用这些设置,而不考虑域容器所在的组织单位。
在域控制器上应用这些设置的过程包括:
- 域控制器通过搜索域控制器的计算机对象的父容器来收集组策略对象列表。
- 仅当组策略对象链接到域容器时,域控制器才应用前面列出的设置。
- 如果有多个组策略对象链接到域容器,则组策略对象的应用程序从列表底部的组策略对象开始,最后以顶部的组策略对象结束。 这会导致组策略对象优先于其他对象。