域控制器的组策略应用程序规则

本文介绍域控制器的组策略应用程序规则。

适用于:  Windows Server 2012R2
原始 KB 编号:   259576

摘要

域控制器仅从链接到域根目录的组策略对象拉取一些安全设置。 由于域控制器与域共享同一帐户数据库,因此必须在所有域控制器上统一设置某些安全设置。 这将确保域成员拥有一致的体验,无论他们使用哪个域控制器登录。 Windows 2000 仅允许将组策略中的某些设置应用于域级别的域控制器,从而完成此任务。 此组策略行为对于成员服务器和工作站是不同的。

只有在组策略链接到域容器时,以下设置Windows 2000 中的域控制器:

  • Computer Configuration/Windows 设置/Security 设置/Account Policies (其中包括所有帐户锁定、密码和 Kerberos 策略。)

  • Computer Configuration/Windows 设置/Security 设置/Local Policies/Security Options 中的以下三个设置

    • 登录时间到期时自动注销用户
    • 重命名管理员帐户
    • 重命名来宾帐户

只有在组策略链接到Windows时,以下设置才应用于基于 Windows Server 2003 的域控制器。 (这些设置位于 Computer Configuration/Windows 设置/Security 设置/Local Policies/Security Options.)

  • 帐户:管理员帐户状态
  • 帐户:来宾帐户状态
  • 帐户:重命名管理员帐户
  • 帐户:重命名来宾帐户
  • 网络安全:登录时间到期时强制注销

更多信息

组策略对象中的这些设置不适用于域控制器组织单位,因为域控制器可以从域控制器组织单位移到其他组织单位中。 使用域容器允许应用这些设置,而不管域容器驻留在哪个组织单位中。

在域控制器上应用这些设置的过程包括:

  • 域控制器通过搜索域控制器的 Computer 对象的父容器来收集组策略对象的列表。
  • 域控制器仅在组策略对象链接到域容器时应用之前列出的设置。
  • 如果有多个链接到域容器的组策略对象,则组策略对象的应用从列表底部的组策略对象开始,到顶部的组策略对象结束。 这导致位于顶部的组策略对象优先于其他组策略对象。