Regras de aplicação de política de grupo para controladores de domínio

Aplica-se a: Windows Servers

Resumo


Controladores de domínio separar algumas definições de segurança apenas de objectos de política de grupo ligados à raiz do domínio. Uma vez que os controladores de domínio partilham a mesma base de dados de conta para o domínio, determinadas definições de segurança tem de ser definidas uniformemente em todos os controladores de domínio. Isto garante que os membros do domínio têm uma experiência consistente independentemente de qual o controlador de domínio utilizam para iniciar sessão. Windows 2000 desempenha esta tarefa, permitindo que apenas determinada definição na política de grupo seja aplicado a controladores de domínio ao nível do domínio. Este comportamento de política de grupo é diferente para servidor membro e estações de trabalho. As seguintes definições são aplicadas aos controladores de domínio no Windows 2000 apenas quando a política de grupo está ligada o contentor de domínio:
  • Todas as definições no computador Windows/configuração definições/definições/conta as políticas de segurança (Isto inclui todas as políticas de bloqueio de conta, palavra-passe e Kerberos.)
  • As seguintes três definições no computador configuração/Windows definições de / / Local de definições de segurança/políticas de opções de segurança:
    • Terminar a sessão automaticamente os utilizadores quando expira a hora de início de sessão
    • Mudar o nome de conta de administrador
    • Mudar o nome de conta de convidado
As seguintes definições são aplicadas aos controladores de domínio baseado no Windows Server 2003 apenas quando a política de grupo está ligada o contentor de domínio. (As definições estão localizadas no computador configuração/Windows definições de / / Local de definições de segurança/políticas de opções de segurança.)
  • Contas: Estado da conta de administrador
  • Contas: Estado da conta de convidado
  • Contas: Conta de administrador de mudar o nome
  • Contas: Mudar o nome de conta de convidado
  • Segurança de rede: Forçar terminar a sessão quando expirarem as horas de início de sessão

Mais Informações


Estas definições de objectos de política de grupo não são aplicadas na unidade organizacional de controladores de domínio porque um controlador de domínio pode ser movido na unidade organizacional de controladores de domínio e na unidade organizacional diferente. A utilização de contentor de domínio permite estas definições aplicadas independentemente do facto de em que unidade organizacional no contentor de domínio reside. O processo de aplicar estas definições num controlador de domínio inclui:
  • O controlador de domínio reúne a lista de objectos de política de grupo, procurando os contentores de principal de objecto de computador do controlador de domínio.
  • O controlador de domínio aplica as definições listadas anteriormente apenas se o objecto de política de grupo está ligado ao contentor de domínio.
  • Se existirem vários objectos de política de grupo ligados para o contentor de domínio, a aplicação dos objectos de política de grupo é iniciado com o objecto de política de grupo na parte inferior da lista e termina com o objecto de política de grupo na parte superior. Isto resulta no objecto de política de grupo na parte superior ter prioridade sobre as outras.
Para mais informações sobre política de grupo, consulte a documentação técnica de "Introdução ao Windows 2000 Group Policy" no seguinte Web site da Microsoft: