Criteri di gruppo regole dell'applicazione per i controller di dominio

  • Articolo

Questo articolo descrive le regole dell'applicazione criteri di gruppo per i controller di dominio.

Si applica a: Windows Server 2012 R2
Numero KB originale: 259576

Riepilogo

I controller di dominio estraggono alcune impostazioni di sicurezza solo dagli oggetti Criteri di gruppo collegati alla radice del dominio. Poiché i controller di dominio condividono lo stesso database account per il dominio, alcune impostazioni di sicurezza devono essere impostate in modo uniforme in tutti i controller di dominio. In questo modo i membri del dominio hanno un'esperienza coerente indipendentemente dal controller di dominio usato per l'accesso. Windows 2000 esegue questa attività consentendo solo l'applicazione di determinate impostazioni nei criteri di gruppo ai controller di dominio a livello di dominio. Questo comportamento dei criteri di gruppo è diverso per il server membro e le workstation.

Le impostazioni seguenti vengono applicate ai controller di dominio in Windows 2000 solo quando i criteri di gruppo sono collegati al contenitore Di dominio:

  • Tutte le impostazioni in Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza/Criteri account (inclusi tutti i criteri Di blocco account, Password e Kerberos).

  • Le tre impostazioni seguenti in Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza/Criteri locali/Opzioni di sicurezza:

    • Disconnettere automaticamente gli utenti alla scadenza dell'ora di accesso
    • Rinominare l'account amministratore
    • Rinominare l'account guest

Le impostazioni seguenti vengono applicate ai controller di dominio basati su Windows Server 2003 solo quando i criteri di gruppo sono collegati al contenitore di dominio. Le impostazioni si trovano in Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza/Criteri locali/Opzioni di sicurezza.

  • Account: stato account amministratore
  • Account: stato dell'account guest
  • Account: rinominare l'account amministratore
  • Account: rinominare l'account guest
  • Sicurezza di rete: forzare l'accesso alla scadenza dell'orario di accesso

Ulteriori informazioni

Queste impostazioni dagli oggetti Criteri di gruppo non vengono applicate all'unità organizzativa Controller di dominio perché un controller di dominio può essere spostato all'esterno dell'unità organizzativa Controller di dominio e in un'unità organizzativa diversa. L'uso del contenitore Domain consente di applicare queste impostazioni indipendentemente dall'unità organizzativa in cui risiede il contenitore di dominio.

Il processo per l'applicazione di queste impostazioni in un controller di dominio include:

  • Il controller di dominio raccoglie l'elenco di oggetti Criteri di gruppo eseguendo una ricerca nei contenitori padre dell'oggetto Computer del controller di dominio.
  • Il controller di dominio applica le impostazioni elencate in precedenza solo se l'oggetto Criteri di gruppo è collegato al contenitore Domain.
  • Se sono presenti più oggetti Criteri di gruppo collegati al contenitore Dominio, l'applicazione degli oggetti Criteri di gruppo inizia con l'oggetto Criteri di gruppo nella parte inferiore dell'elenco e termina con l'oggetto Criteri di gruppo nella parte superiore. In questo modo l'oggetto Criteri di gruppo nella parte superiore ha la precedenza sugli altri.