Reglas de aplicación de directiva de grupo para controladores de dominio

Se aplica: Windows Servers

Resumen


Los controladores de dominio extraen algunas opciones de seguridad solo de objetos de directiva de grupo vinculados a la raíz del dominio. Dado que los controladores de dominio comparten la misma base de datos de cuenta para el dominio, ciertas opciones de seguridad deben establecerse uniformemente en todos los controladores de dominio. Esto garantiza que los miembros del dominio tengan una experiencia coherente independientemente del controlador de dominio que usen para iniciar sesión. Windows 2000 realiza esta tarea al permitir que solo se aplique cierta configuración en la directiva de grupo a los controladores de dominio en el nivel de dominio. Este comportamiento de directiva de grupo es diferente para el servidor miembro y las estaciones de trabajo. La siguiente configuración se aplica a los controladores de dominio en Windows 2000 solo cuando la directiva de grupo está vinculada al contenedor de dominio:
  • Todas las opciones de Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas de cuenta (esto incluye todas las directivas de bloqueo de cuenta, contraseña y Kerberos.)
  • Las tres opciones siguientes en Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad:
    • Cierre la sesión automática de los usuarios cuando expire el tiempo de inicio de sesión
    • Cambiar el nombre de la cuenta de administrador
    • Cambiar el nombre de la cuenta de invitado
La siguiente configuración se aplica a los controladores de dominio basados en Windows Server 2003 solo cuando la directiva de grupo está vinculada al contenedor de dominio. (La configuración se encuentra en Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad.)
  • Cuentas: Estado de la cuenta de administrador
  • Cuentas: Estado de la cuenta de invitado
  • Cuentas: Cambiar el nombre de la cuenta de administrador
  • Cuentas: Cambiar el nombre de la cuenta de invitado
  • Seguridad de la red: forzar el cierre de sesión cuando expiran las horas de inicio de sesión

Más información


Esta configuración de los objetos de directiva de grupo no se aplica en la unidad organizativa Controladores de dominio porque un controlador de dominio se puede mover fuera de la unidad organizativa Controladores de dominio y a una unidad organizativa diferente. El uso del contenedor de dominio permite aplicar esta configuración independientemente de la unidad organizativa en la que resida el contenedor de dominio. El proceso para aplicar esta configuración en un controlador de dominio incluye:
  • El controlador de dominio recopila la lista de objetos de directiva de grupo mediante la búsqueda de los contenedores primarios del objeto Equipo del controlador de dominio.
  • El controlador de dominio aplica la configuración enumerada anteriormente solo si el objeto de directiva de grupo está vinculado al contenedor de dominio.
  • Si hay varios objetos de directiva de grupo vinculados al contenedor de dominio, la aplicación de los objetos de directiva de grupo comienza con el objeto de directiva de grupo en la parte inferior de la lista y termina con el objeto de directiva de grupo en la parte superior. Esto da como resultado que el objeto de directiva de grupo en la parte superior tendrá prioridad sobre los demás.
Para obtener más información acerca de la directiva de grupo, consulte el documento técnico "Introducción a la directiva de grupo de Windows 2000" en el siguiente sitio Web de Microsoft: