组策略域控制器的应用程序规则
本文介绍域控制器的组策略应用程序规则。
适用于: Windows Server 2012 R2
原始 KB 编号: 259576
摘要
域控制器仅从链接到域根目录的组策略对象拉取某些安全设置。 由于域控制器共享域的同一帐户数据库,因此必须在所有域控制器上统一设置某些安全设置。 这可确保域的成员具有一致的体验,无论他们使用哪个域控制器登录。 Windows 2000 通过仅允许组策略中的某些设置应用于域级别的域控制器来完成此任务。 此组策略行为对于成员服务器和工作站是不同的。
仅当组策略链接到域容器时,以下设置才会应用于 Windows 2000 中的域控制器:
计算机配置/Windows 设置/安全设置/帐户策略中的所有设置 (这包括所有帐户锁定、密码和 Kerberos 策略。)
计算机配置/Windows 设置/安全设置/本地策略/安全选项中的以下三个设置:
- 登录时间过期时自动注销用户
- 重命名管理员帐户
- 重命名来宾帐户
仅当组策略链接到域容器时,以下设置才会应用于基于 Windows Server 2003 的域控制器。 (设置位于 “计算机配置”/“Windows 设置”/“安全设置”/“本地策略”/“安全选项”中。)
- 帐户:管理员帐户状态
- 帐户:来宾帐户状态
- 帐户:重命名管理员帐户
- 帐户:重命名来宾帐户
- 网络安全:登录时间过期时强制注销
更多信息
组策略对象中的这些设置不会应用于域控制器组织单位,因为域控制器可以移出域控制器组织单位,并移到其他组织单位。 使用域容器,无论域容器位于哪个组织单位,都可以应用这些设置。
在域控制器上应用这些设置的过程包括:
- 域控制器通过搜索域控制器的 Computer 对象的父容器来收集组策略对象列表。
- 仅当组策略对象链接到域容器时,域控制器才会应用前面列出的设置。
- 如果有多个组策略对象链接到域容器,则组策略对象的应用程序从列表底部的组策略对象开始,以顶部的组策略对象结束。 这会导致位于顶部的组策略对象优先于其他对象。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈