定義網域型 GPO
您可以在 AD DS 中建立網域型 GPO,並將其儲存在域控制器上。 您可以使用這些 GPO 集中管理網域中使用者和電腦的設定。 當您安裝 AD DS 時,Windows Server 會建立兩個預設 GPO:
- 預設網域原則
- 預設網域控制器原則
備註
Windows 電腦也有本機 GPO,主要是在電腦未連線到網域環境時使用。
預設網域原則
預設網域原則 GPO 會連結到網域,並套用至已驗證的使用者。 此 GPO 沒有任何 WMI 篩選條件。 因此,這會影響網域中的所有使用者和電腦。 此 GPO 包含的原則設定可指定密碼、帳戶鎖定和 Kerberos 第 5 版驗證通訊協定原則。
這些設定對 AD DS 環境而言很重要,因此,請將預設網域原則設為群組原則的重要元件。 請勿將不相關的原則設定新增至此 GPO。 如果您需要進行其他設定來廣泛地套用至您的網域,請建立連結到網域的其他 GPO。
預設網域控制器原則
預設網域控制站原則 GPO 會連結至網域控制站的 OU。 由於網域控制站的電腦帳戶會單獨保存在網域控制站 OU 中 (其他電腦帳戶應該保留在其他 OU 中),因此,此 GPO 只會影響網域控制站或網域控制站 OU 中的其他電腦物件。
您應修改連結至網域控制站 OU 的 GPO,以實作您的稽核原則並指派網域控制站上所需的使用者權限。