網域控制站的群組原則應用程式規則

本文說明網域控制站的群組原則應用程式規則。

原始產品版本:   Windows Server 2012 R2
原始 KB 編號:   259576

摘要

網域控制站只會從連結至網域根目錄的群組原則物件提取某些安全性設定。 因為網域控制站會共用網域的相同帳戶資料庫,所以必須在所有網域控制站上統一設定某些安全性設定。 這可確保網域的成員擁有一致的經驗,不論他們使用哪個網域控制站登入。 Windows 2000 只允許將群組原則中的特定設定套用至網域層級的網域控制站,即可完成此工作。 這個群組原則行為與成員伺服器及工作站的行為有所不同。

只有當群組原則連結至網域容器時,才會將下列設定套用至 Windows 2000 中的網域控制站:

  • 電腦設定/Windows 設定/安全性設定/帳戶原則 中的所有設定 (這包括所有帳戶鎖定、密碼及 Kerberos 原則。 )

  • 電腦設定/Windows 設定/安全性設定/本機原則/安全性選項」中的下列三個設定:

    • 登入時間到期時自動登出使用者
    • 重新命名系統管理員帳戶
    • 重新命名來賓帳戶

只有當群組原則連結至網域容器時,才會將下列設定套用至以 Windows Server 2003 為基礎的網域控制站。 (設定位於 [ 電腦設定/Windows 設定/安全性設定/本機原則/安全性選項] 中。 )

  • 帳戶:系統管理員帳戶狀態
  • 帳戶:來賓帳戶狀態
  • 帳戶:重新命名系統管理員帳戶
  • 帳戶:重新命名來賓帳戶
  • 網路安全性:登入時間到期時強制登出

詳細資訊

「群組原則」中的這些設定不會在「網域控制站」組織單位上套用,因為網域控制站可以從網域控制站組織單位移出,並移至不同的組織單位。 使用網域容器,不論網域容器所在的組織單位為何,都可以套用這些設定。

在網域控制站上套用這些設定的套裝程式括:

  • 網域控制站會搜尋「群組原則」物件的清單,方法是搜尋網域控制站的 Computer 物件的父容器。
  • 只有當群組原則物件連結至網域容器,網域控制站才會套用先前所列的設定。
  • 如果有多個群組原則物件連結至網域容器,應用群組原則物件的應用程式會以清單底部的「群組原則」物件開始,並結束于頂端的「群組原則」物件。 這會使「群組原則」物件的頂端優先順序高於其他物件。