群組原則域控制器的應用程式規則

本文說明域控制器的組策略應用程式規則。

適用：Windows Server 2012 R2
原始 KB 編號： 259576

摘要

域控制器只會從連結至網域根目錄的組策略物件提取一些安全性設定。 由於域控制器共用網域的相同帳戶資料庫，因此必須在所有域控制器上統一設定特定安全性設定。 這可確保網域成員具有一致的體驗，無論他們使用哪一個域控制器來登入。 Windows 2000 只允許將組策略中的特定設定套用至網域層級的域控制器，以完成這項工作。 此組策略行為對於成員伺服器和工作站而言不同。

只有當組策略連結至網域容器時，下列設定才會套用至 Windows 2000 中的域控制器：

• 計算機設定/Windows 設定/安全性設定/帳戶原則中的所有設定 (這包括所有帳戶鎖定、密碼和 Kerberos 原則。)

• 計算機設定 /Windows 設定/安全性設定/本機原則/安全性選項中的下列三個設定：

  • 登入時間到期時自動註銷使用者
  • 重新命名系統管理員帳戶
  • 重新命名來賓帳戶

只有當組策略連結至網域容器時，下列設定才會套用至以 Windows Server 2003 為基礎的域控制器。 (設定位於 電腦設定/Windows 設定/安全性設定/本機原則/安全性選項。)

• 帳戶：系統管理員帳戶狀態
• 帳戶：來賓帳戶狀態
• 帳戶：重新命名系統管理員帳戶
• 帳戶：重新命名來賓帳戶
• 網路安全性：在登入時數到期時強制註銷

其他相關資訊

這些來自組策略對象的設定不會套用至域控制器組織單位，因為域控制器可以移出域控制器組織單位並移至不同的組織單位。 不論網域容器位於哪個組織單位，使用網域容器都可套用這些設定。

在網域控制器上套用這些設定的程式包括：

• 域控制器會搜尋域控制器之 Computer 物件的父容器，以收集組策略對象的清單。
• 只有在組策略對象連結到 Domain 容器時，域控制器才會套用稍早列出的設定。
• 如果有多個組策略對象連結至網域容器，則組策略對象的應用程式會從清單底部的組策略對象開始，並以位於頂端的組策略對象結尾。 這會導致位於頂端的組策略物件優先於其他物件。