Regras de aplicativo de Diretiva de Grupo para controladores de domínio

Os controladores de domínio aumentam algumas configurações de segurança apenas de objetos de diretiva de grupo vinculadas à raiz do domínio. Como os controladores de domínio compartilham a mesma base de dados da conta para o domínio, certas configurações de segurança devem ser definidas de maneira uniforme em todos os controladores de domínio. Isto assegura que os membros do domínio tenham uma experiência consistente não importando em qual domínio eles façam logon. O Windows 2000 realiza esta tarefa, permitindo que apenas certas configurações na diretiva de grupo sejam aplicadas para os controladores de domínio no nível do domínio. Este comportamento da diretiva de grupo é diferente para o servidor membro e para as estações de trabalho.

As configurações seguintes são aplicadas aos controladores de domínio no Windows 2000 somente quando a diretiva de grupo está vinculada ao contêiner do domínio.

• Todas as configurações em Configuração do Computador/Configurações do Windows/Configurações de Segurança/Diretivas de Contas (isto inclui todos os Bloqueios de Contas, Senhas e das Diretivas Kerberos).
• As três configurações seguintes em Configuração do Computador/Configurações do Windows/Configurações de Segurança/Diretivas Locais/Opções de Segurança:
  • O logoff de usuários é feito automaticamente quando o tempo de logon expira
  • Renomeia a conta do administrador
  • Renomeia a conta do convidado

As configurações seguintes são aplicadas aos controladores de domínio com base no Windows Server 2003 somente quando a diretiva de grupo está vinculada ao recipiente do domínio. As três configurações seguintes estão localizadas em Configuração do Computador/Configurações do Windows/Configurações de Segurança/Diretivas Locais/Opções de Segurança.)

• Contas: Status da conta do administrador
• Contas: Status da conta do convidado
• Contas: Renomeia a conta do administrador
• Contas: Renomeia a conta do convidado
• Segurança de rede: Forçar logoff quando o tempo de logon expirar

Estas configurações dos objetos de diretiva de grupo não são aplicadas à unidade organizacional dos Controladores de Domínio porque um controlador de domínio pode ser removido dessa unidade e incluído em uma unidade organizacional diferente. A utilização do contêiner do controlador de domínio permite que essas configurações sejam aplicadas não importando em qual unidade organizacional o contêiner de domínio reside.

O processo para a aplicação dessas configurações em um controlador de domínio inclui:

• O controlador de domínio reuni-se à lista de objetos da diretiva de grupo ao procurar os contêiners pais do objeto do computador do controlador de domínio.
• O controlador de domínio aplica as configurações listadas anteriormente apenas se o objeto da diretiva de grupo estiver vinculado ao contêiner do domínio.
• Se houver múltiplos objetos de diretiva de grupo vinculados ao contêiner de domínio, o aplicativo dos objetos da diretiva de grupo inicia com o objeto no final da lista e termina com ele no topo da lista. Isto resulta no objeto da diretiva de grupo no início da lista prevalecendo sobre os outros.

Para obter mais informações sobre a Diretiva de Grupo, consulte o informe oficial "Introdução à Diretiva de Grupo do Windows 2000" no seguinte site da Microsoft (em inglês):