directiva de grupo reglas de aplicación para controladores de dominio

En este artículo se describen las reglas de aplicación de directiva de grupo para controladores de dominio.

Se aplica a: Windows Server 2012 R2
Número de KB original: 259576

Resumen

Los controladores de dominio extraen algunas configuraciones de seguridad solo de los objetos de directiva de grupo vinculados a la raíz del dominio. Dado que los controladores de dominio comparten la misma base de datos de cuenta para el dominio, cierta configuración de seguridad debe establecerse uniformemente en todos los controladores de dominio. Esto garantiza que los miembros del dominio tengan una experiencia coherente independientemente del controlador de dominio que usen para iniciar sesión. Windows 2000 realiza esta tarea al permitir que solo cierta configuración de la directiva de grupo se aplique a los controladores de dominio en el nivel de dominio. Este comportamiento de directiva de grupo es diferente para el servidor miembro y las estaciones de trabajo.

La siguiente configuración se aplica a los controladores de dominio de Windows 2000 solo cuando la directiva de grupo está vinculada al contenedor dominio:

• Todos los valores de Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas de cuenta (esto incluye todas las directivas de Bloqueo de cuenta, Contraseña y Kerberos).

• Las tres opciones siguientes en Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad:

  • Cierre automáticamente la sesión de los usuarios cuando expire la hora de inicio de sesión
  • Cambiar el nombre de la cuenta de administrador
  • Cambiar el nombre de la cuenta de invitado

La siguiente configuración se aplica a los controladores de dominio basados en Windows Server 2003 solo cuando la directiva de grupo está vinculada al contenedor de dominio. (La configuración se encuentra en Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad).

• Cuentas: estado de la cuenta de administrador
• Cuentas: Estado de la cuenta de invitado
• Cuentas: cambiar el nombre de la cuenta de administrador
• Cuentas: cambiar el nombre de la cuenta de invitado
• Seguridad de red: forzar el cierre de sesión cuando expiren las horas de inicio de sesión

Más información

Esta configuración de los objetos de directiva de grupo no se aplica en la unidad organizativa Controladores de dominio porque un controlador de dominio se puede mover fuera de la unidad organizativa Controladores de dominio y en otra unidad organizativa. El uso del contenedor dominio permite aplicar esta configuración independientemente de la unidad organizativa en la que resida el contenedor de dominio.

El proceso para aplicar esta configuración en un controlador de dominio incluye:

• El controlador de dominio recopila la lista de objetos de directiva de grupo mediante la búsqueda en los contenedores primarios del objeto Computer del controlador de dominio.
• El controlador de dominio aplica la configuración enumerada anteriormente solo si el objeto de directiva de grupo está vinculado al contenedor Dominio.
• Si hay varios objetos de directiva de grupo vinculados al contenedor Dominio, la aplicación de los objetos de directiva de grupo comienza con el objeto de directiva de grupo en la parte inferior de la lista y termina con el objeto de directiva de grupo en la parte superior. Esto da como resultado que el objeto de directiva de grupo en la parte superior tenga prioridad sobre los demás.