zasady grupy reguły aplikacji dla kontrolerów domeny

W tym artykule opisano reguły aplikacji zasad grupy dla kontrolerów domeny.

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 259576

Podsumowanie

Kontrolery domeny ściągają niektóre ustawienia zabezpieczeń tylko z obiektów zasad grupy połączonych z katalogiem głównym domeny. Ponieważ kontrolery domeny współużytkują tę samą bazę danych kont dla domeny, niektóre ustawienia zabezpieczeń muszą być ustawione jednolicie na wszystkich kontrolerach domeny. Dzięki temu członkowie domeny mają spójne środowisko niezależnie od tego, którego kontrolera domeny używają do logowania. System Windows 2000 realizuje to zadanie, zezwalając na stosowanie tylko określonego ustawienia w zasadach grupy do kontrolerów domeny na poziomie domeny. To zachowanie zasad grupy różni się w przypadku serwera członkowskiego i stacji roboczych.

Następujące ustawienia są stosowane do kontrolerów domeny w systemie Windows 2000 tylko wtedy, gdy zasady grupy są połączone z kontenerem domeny:

  • Wszystkie ustawienia w konfiguracji komputera/ustawieniach systemu Windows/ustawieniach zabezpieczeń/zasadach konta (obejmuje to wszystkie zasady blokady konta, hasła i protokołu Kerberos).

  • Następujące trzy ustawienia w obszarze Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia zabezpieczeń/Zasady lokalne/Opcje zabezpieczeń:

    • Automatycznie wyloguj użytkowników po upływie czasu logowania
    • Zmienianie nazwy konta administratora
    • Zmienianie nazwy konta gościa

Następujące ustawienia są stosowane do kontrolerów domeny opartych na systemie Windows Server 2003 tylko wtedy, gdy zasady grupy są połączone z kontenerem domeny. (Ustawienia znajdują się w obszarze Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia zabezpieczeń/Zasady lokalne/Opcje zabezpieczeń).

  • Konta: Stan konta administratora
  • Konta: stan konta gościa
  • Konta: zmień nazwę konta administratora
  • Konta: zmień nazwę konta gościa
  • Zabezpieczenia sieci: wymuś wylogowanie po wygaśnięciu godzin logowania

Więcej informacji

Te ustawienia z obiektów zasad grupy nie są stosowane w jednostce organizacyjnej kontrolerów domeny, ponieważ kontroler domeny można przenieść z jednostki organizacyjnej kontrolerów domeny i do innej jednostki organizacyjnej. Użycie kontenera Domeny umożliwia zastosowanie tego ustawienia niezależnie od tego, w której jednostce organizacyjnej znajduje się kontener domeny.

Proces stosowania tych ustawień na kontrolerze domeny obejmuje:

  • Kontroler domeny zbiera listę obiektów zasad grupy, przeszukując kontenery nadrzędne obiektu Komputera kontrolera domeny.
  • Kontroler domeny stosuje ustawienia wymienione wcześniej tylko wtedy, gdy obiekt zasad grupy jest połączony z kontenerem Domeny.
  • Jeśli istnieje wiele obiektów zasad grupy połączonych z kontenerem Domeny, aplikacja obiektów zasad grupy rozpoczyna się od obiektu zasad grupy w dolnej części listy i kończy się obiektem zasad grupy u góry. Spowoduje to, że obiekt zasad grupy u góry ma pierwszeństwo przed innymi.