Определение объектов групповой политики на основе домена
Объекты групповой политики на основе домена можно создавать в доменных службах Active Directory и хранить на контроллерах домена. Эти объекты групповой политики можно использовать для централизованного управления конфигурацией пользователей и компьютеров домена. При установке доменных служб Active Directory Windows Server по умолчанию создает два объекта групповой политики.
- Политика домена по умолчанию
- Default Domain Controllers Policy (Политика контроллеров домена по умолчанию)
Примечание.
Компьютеры Windows также имеют локальные объекты групповой политики, которые в основном используются, когда компьютеры не подключены к средам домена.
Политика домена по умолчанию
Объект групповой политики домена по умолчанию связан с доменом и применяется к пользователям, прошедшим проверку подлинности. У этого объекта групповой политики нет фильтров инструментария WMI. Поэтому он затрагивает всех пользователей и компьютеры в домене. Этот объект групповой политики содержит параметры политики, определяющие политики для паролей, блокировки учетных записей и протоколов проверки подлинности Kerberos версии 5.
Эти параметры имеют огромное значение для среды доменных служб Active Directory, вследствие чего политика домена по умолчанию тоже становится критически важным компонентом групповой политики. Не следует добавлять в этот объект групповой политики несвязанные параметры политики. Если необходимо настроить другие параметры для широкого применения в домене, создайте дополнительные объекты групповой политики, связанные с доменом.
Default Domain Controllers Policy (Политика контроллеров домена по умолчанию)
Объект групповой политики контроллеров домена по умолчанию связан с подразделением контроллеров домена. Поскольку учетные записи компьютеров для контроллеров домена хранятся исключительно в подразделении контроллеров домена, а другие учетные записи компьютеров должны храниться в других подразделениях, этот объект групповой политики затрагивает только контроллеры домена или другие объекты-компьютеры, находящиеся в подразделении контроллеров домена.
Чтобы реализовать политики аудита и назначить права пользователя, которые являются обязательными на контроллерах домена, следует изменить объекты групповой политики, связанные с подразделением контроллеров домена.