Política de Grupo regras de aplicativo para controladores de domínio

  • Artigo

Este artigo descreve regras de aplicativo de política de grupo para controladores de domínio.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 259576

Resumo

Os controladores de domínio retiram algumas configurações de segurança somente de objetos de política de grupo vinculados à raiz do domínio. Como os controladores de domínio compartilham o mesmo banco de dados de conta para o domínio, determinadas configurações de segurança devem ser definidas uniformemente em todos os controladores de domínio. Isso garante que os membros do domínio tenham uma experiência consistente, independentemente de qual controlador de domínio eles usam para fazer logon. O Windows 2000 realiza essa tarefa permitindo que apenas determinada configuração na política de grupo seja aplicada a controladores de domínio no nível do domínio. Esse comportamento de política de grupo é diferente para servidor membro e estações de trabalho.

As seguintes configurações são aplicadas aos controladores de domínio no Windows 2000 somente quando a política de grupo está vinculada ao contêiner domínio:

  • Todas as configurações em Configuração do Computador/Configurações do Windows/Configurações de Segurança/Políticas de Conta (isso inclui todas as políticas de Bloqueio de Conta, Senha e Kerberos.)

  • As três configurações a seguir em Configuração do Computador/Configurações do Windows/Configurações de Segurança/Políticas Locais/Opções de Segurança:

    • Faça logon automaticamente dos usuários quando o tempo de logon expirar
    • Renomear conta de administrador
    • Renomear conta de convidado

As configurações a seguir são aplicadas aos controladores de domínio baseados no Windows Server 2003 somente quando a política de grupo está vinculada ao contêiner de domínio. (As configurações estão localizadas em Configuração do Computador/Configurações do Windows/Configurações de Segurança/Políticas Locais/Opções de Segurança.)

  • Contas: conta de administrador status
  • Contas: conta de convidado status
  • Contas: renomear conta de administrador
  • Contas: renomear conta de convidado
  • Segurança de rede: forçar logoff quando as horas de logon expirarem

Mais informações

Essas configurações de objetos de política de grupo não são aplicadas na unidade organizacional controladores de domínio porque um controlador de domínio pode ser movido para fora da unidade organizacional controladores de domínio e para uma unidade organizacional diferente. O uso do contêiner domain permite que essas configurações sejam aplicadas independentemente da unidade organizacional em que o contêiner de domínio reside.

O processo para aplicar essas configurações em um controlador de domínio inclui:

  • O controlador de domínio reúne a lista de objetos de política de grupo pesquisando os contêineres pai do objeto Computador do controlador de domínio.
  • O controlador de domínio aplica as configurações listadas anteriormente somente se o objeto de política de grupo estiver vinculado ao contêiner domínio.
  • Se houver vários objetos de política de grupo vinculados ao contêiner domínio, a aplicação dos objetos de política de grupo começará com o objeto de política de grupo na parte inferior da lista e terminará com o objeto de política de grupo na parte superior. Isso resulta no objeto de política de grupo na parte superior tendo precedência sobre os outros.