กฎของแอพลิเคชันนโยบายกลุ่มสำหรับตัวควบคุมโดเมน

นำไปใช้กับ: Windows Servers

สรุป


ตัวควบคุมโดเมนดึงการตั้งค่าความปลอดภัยบางอย่างจากวัตถุนโยบายกลุ่มที่เชื่อมโยงกับรากของโดเมนเท่านั้น เนื่องจากตัวควบคุมโดเมนใช้ฐานข้อมูลบัญชีเดียวกันสำหรับโดเมนการตั้งค่าความปลอดภัยบางอย่างจะต้องตั้งค่าสม่ำเสมอบนตัวควบคุมโดเมนทั้งหมด ซึ่งจะช่วยให้มั่นใจได้ว่าสมาชิกของโดเมนมีประสบการณ์ที่สอดคล้องกันโดยไม่คำนึงถึงตัวควบคุมโดเมนที่พวกเขาใช้ในการเข้าสู่ระบบ Windows ๒๐๐๐สำเร็จงานนี้โดยอนุญาตให้มีการตั้งค่าบางอย่างในนโยบายกลุ่มที่จะนำไปใช้กับตัวควบคุมโดเมนที่ระดับโดเมนเท่านั้น ลักษณะการทำงานของนโยบายกลุ่มนี้แตกต่างกันสำหรับเซิร์ฟเวอร์สมาชิกและเวิร์กสเตชัน การตั้งค่าต่อไปนี้ถูกนำไปใช้กับตัวควบคุมโดเมนใน Windows ๒๐๐๐เฉพาะเมื่อนโยบายกลุ่มเชื่อมโยงกับคอนเทนเนอร์ของโดเมน:
  • การตั้งค่าทั้งหมดในการกำหนดค่าคอมพิวเตอร์/การตั้งค่า Windows/การตั้งค่าความปลอดภัย/นโยบายบัญชี (ซึ่งรวมถึงนโยบายการปิดบัญชี, รหัสผ่านและ Kerberos ทั้งหมด)
  • การตั้งค่าสามต่อไปนี้ในการตั้งค่าคอนฟิกคอมพิวเตอร์/การตั้งค่า Windows/การตั้งค่าความปลอดภัย/นโยบายท้องถิ่น/ตัวเลือกความปลอดภัย:
    • ออกจากระบบผู้ใช้โดยอัตโนมัติเมื่อหมดเวลาการเข้าสู่ระบบ
    • เปลี่ยนชื่อบัญชีผู้ดูแล
    • เปลี่ยนชื่อบัญชี guest
การตั้งค่าต่อไปนี้จะใช้กับตัวควบคุมโดเมนที่ใช้ Windows Server ๒๐๐๓เฉพาะเมื่อนโยบายกลุ่มเชื่อมโยงกับคอนเทนเนอร์ของโดเมนเท่านั้น (การตั้งค่าจะอยู่ในการตั้งค่าคอนฟิกคอมพิวเตอร์/การตั้งค่า Windows/การตั้งค่าความปลอดภัย/นโยบายท้องถิ่น/ตัวเลือกความปลอดภัย)
  • บัญชี: สถานะบัญชีผู้ดูแล
  • บัญชี: สถานะบัญชี Guest
  • บัญชี: เปลี่ยนชื่อบัญชีผู้ดูแล
  • บัญชี: เปลี่ยนชื่อบัญชี guest
  • ความปลอดภัยของเครือข่าย: บังคับการออกจากระบบเมื่อชั่วโมงการล็อกออนได้หมดอายุ

ข้อมูลเพิ่มเติม


การตั้งค่าเหล่านี้จากวัตถุนโยบายกลุ่มจะไม่ถูกนำไปใช้บนหน่วยขององค์กรตัวควบคุมโดเมนเนื่องจากตัวควบคุมโดเมนสามารถย้ายออกจากตัวควบคุมโดเมนหน่วยองค์กรและในหน่วยขององค์กรที่แตกต่างกัน การใช้คอนเทนเนอร์ของโดเมนช่วยให้สามารถใช้การตั้งค่าเหล่านี้ได้โดยไม่คำนึงถึงหน่วยขององค์กรที่คอนเทนเนอร์ของโดเมนอยู่ กระบวนการสำหรับการใช้การตั้งค่าเหล่านี้บนตัวควบคุมโดเมนรวมถึง:
  • ตัวควบคุมโดเมนที่รวบรวมรายการของวัตถุนโยบายกลุ่มโดยการค้นหาคอนเทนเนอร์หลักของวัตถุคอมพิวเตอร์ของตัวควบคุมโดเมน
  • ตัวควบคุมโดเมนใช้การตั้งค่าที่แสดงรายการไว้ก่อนหน้านี้เฉพาะเมื่อวัตถุนโยบายกลุ่มเชื่อมโยงกับคอนเทนเนอร์ของโดเมน
  • ถ้ามีวัตถุนโยบายกลุ่มหลายที่เชื่อมโยงกับคอนเทนเนอร์โดเมนแอพลิเคชันของวัตถุนโยบายกลุ่มเริ่มต้นด้วยวัตถุนโยบายกลุ่มที่ด้านล่างของรายการและลงท้ายด้วยวัตถุนโยบายกลุ่มที่ด้านบน ซึ่งส่งผลให้วัตถุนโยบายกลุ่มที่ด้านบนจะมีความสำคัญเหนือกว่าคนอื่นๆ
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับนโยบายกลุ่มให้ดูเอกสารทางเทคนิค "บทนำไปยัง Windows ๒๐๐๐นโยบายกลุ่ม" ที่เว็บไซต์ต่อไปนี้ของ Microsoft: