stratégie de groupe règles d’application pour les contrôleurs de domaine

  • Article

Cet article décrit les règles d’application de stratégie de groupe pour les contrôleurs de domaine.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 259576

Résumé

Les contrôleurs de domaine extrayent certains paramètres de sécurité uniquement à partir d’objets de stratégie de groupe liés à la racine du domaine. Étant donné que les contrôleurs de domaine partagent la même base de données de compte pour le domaine, certains paramètres de sécurité doivent être définis uniformément sur tous les contrôleurs de domaine. Cela garantit que les membres du domaine disposent d’une expérience cohérente, quel que soit le contrôleur de domaine qu’ils utilisent pour se connecter. Windows 2000 effectue cette tâche en autorisant uniquement certains paramètres de la stratégie de groupe à être appliqués aux contrôleurs de domaine au niveau du domaine. Ce comportement de stratégie de groupe est différent pour le serveur membre et les stations de travail.

Les paramètres suivants sont appliqués aux contrôleurs de domaine dans Windows 2000 uniquement lorsque la stratégie de groupe est liée au conteneur Domaine :

  • Tous les paramètres dans Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies de compte (cela inclut toutes les stratégies De verrouillage de compte, Mot de passe et Kerberos.)

  • Les trois paramètres suivants dans Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Options de sécurité :

    • Déconnecter automatiquement les utilisateurs à l’expiration du délai d’ouverture de session
    • Renommer le compte d’administrateur
    • Renommer le compte invité

Les paramètres suivants sont appliqués aux contrôleurs de domaine Windows Server 2003 uniquement lorsque la stratégie de groupe est liée au conteneur de domaine. (Les paramètres se trouvent dans Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Options de sécurité.)

  • Comptes : status de compte administrateur
  • Comptes : status de compte invité
  • Comptes : Renommer le compte d’administrateur
  • Comptes : Renommer le compte invité
  • Sécurité réseau : Forcer la fermeture de session à l’expiration des heures d’ouverture de session

Plus d’informations

Ces paramètres des objets de stratégie de groupe ne sont pas appliqués à l’unité d’organisation Contrôleurs de domaine, car un contrôleur de domaine peut être déplacé hors de l’unité d’organisation Contrôleurs de domaine vers une autre unité d’organisation. L’utilisation du conteneur Domaine permet d’appliquer ces paramètres, quelle que soit l’unité d’organisation dans laquelle réside le conteneur de domaine.

Le processus d’application de ces paramètres sur un contrôleur de domaine comprend :

  • Le contrôleur de domaine collecte la liste des objets de stratégie de groupe en effectuant des recherches dans les conteneurs parents de l’objet Ordinateur du contrôleur de domaine.
  • Le contrôleur de domaine applique les paramètres répertoriés précédemment uniquement si l’objet de stratégie de groupe est lié au conteneur Domaine.
  • S’il existe plusieurs objets de stratégie de groupe liés au conteneur Domaine, l’application des objets de stratégie de groupe commence par l’objet de stratégie de groupe en bas de la liste et se termine par l’objet de stratégie de groupe en haut. Cela entraîne la priorité de l’objet de stratégie de groupe situé en haut sur les autres.