Toepassingsregels voor Groepsbeleid voor domeincontrollers

Van toepassing: Windows Servers

Samenvatting


Domeincontrollers halen enkele beveiligingsinstellingen alleen uit groepsbeleidsobjecten die zijn gekoppeld aan de hoofdmap van het domein. Omdat domeincontrollers dezelfde account database voor het domein delen, moeten bepaalde beveiligingsinstellingen op alle domeincontrollers uniform worden ingesteld. Dit zorgt ervoor dat de leden van het domein een consistente ervaring hebben, ongeacht welke domeincontroller ze gebruiken om zich aan te melden. Windows 2000 bereikt deze taak doordat alleen bepaalde instellingen in het groepsbeleid kunnen worden toegepast op domeincontrollers op domeinniveau. Dit gedrag van Groepsbeleid verschilt voor lidserver en werkstations. De volgende instellingen worden alleen toegepast op domeincontrollers in Windows 2000 wanneer het Groepsbeleid is gekoppeld aan de domeincontainer:
  • Alle instellingen in computer configuratie/Windows-instellingen/Beveiligingsinstellingen/Accountbeleid (dit omvat alle accountvergrendeling, wachtwoord en Kerberos-beleid.)
  • De volgende drie instellingen in computer configuratie/Windows-instellingen/Beveiligingsinstellingen/Lokaal beleid/Beveiligingsopties:
    • Gebruikers automatisch afmelden wanneer de aanmeldingstijd is verstreken
    • Naam Administrator-account wijzigen
    • Naam van gastaccount wijzigen
De volgende instellingen worden alleen toegepast op Windows Server 2003-domeincontrollers wanneer het Groepsbeleid is gekoppeld aan de domeincontainer. (De instellingen bevinden zich in computer configuratie/Windows-instellingen/Beveiligingsinstellingen/Lokaal beleid/Beveiligingsopties.)
  • Accounts: status van beheerdersaccount
  • Accounts: status van gastaccount
  • Accounts: naam van Administrator-account wijzigen
  • Accounts: naam van gastaccount wijzigen
  • Netwerkbeveiliging: Afmelden forceren wanneer aanmeldingstijden verstrijken

Meer informatie


Deze instellingen van groepsbeleidobjecten worden niet toegepast op de organisatie-eenheid domeincontrollers omdat een domeincontroller kan worden verplaatst van de organisatie-eenheid domeincontrollers naar een andere organisatie-eenheid. Met behulp van de domeincontainer kan deze instelling worden toegepast, ongeacht in welke organisatie-eenheid de domeincontainer zich bevindt. Het proces voor het toepassen van deze instellingen op een domeincontroller omvat het volgende:
  • De domeincontroller verzamelt de lijst met groepsbeleidobjecten door te zoeken in de bovenliggende containers van het computer object van de domeincontroller.
  • De domeincontroller past de eerder vermelde instellingen alleen toe als het groepsbeleidobject is gekoppeld aan de domeincontainer.
  • Als er meerdere groepsbeleidobjecten zijn gekoppeld aan de domeincontainer, wordt de toepassing van de groepsbeleidobjecten gestart met het groepsbeleidobject onder aan de lijst en eindigt het groepsbeleidsobject bovenaan. Dit resulteert in het groepsbeleidsobject bovenaan met voorrang op de andere.
Zie voor meer informatie over Groepsbeleid het Witboek ' Inleiding tot Windows 2000 Groepsbeleid ' op de volgende Microsoft-website: