如何在 windows server 2008 域中设置组策略?
Seu*_*bei 1 security windows windows-server-2008 domain group-policy
我需要将组策略应用于 Windows Server 2008 域中的多台计算机。运行 gpmc.msc 后,我们可以看到Default Domain Policy和Default Domain Controller Policy
- 你能告诉我它们的区别吗?
- 哪个政策有效?
technet这么说,但我不明白:
默认域策略链接到域对象,并通过策略继承影响域中的所有用户和计算机(包括作为域控制器的计算机)。
默认域控制器策略链接到域控制器 OU。此策略通常仅影响域控制器,因为默认情况下,域控制器的计算机帐户保存在域控制器 OU 中。
在开始进行更改之前,您最好先了解一些有关组策略的背景信息。一些有关Active Directory 的背景信息也可能对您有所帮助。
我强烈建议不要修改默认在 Active Directory 中创建的“默认...”组策略对象 (GPO)。您可以创建自己的包含自定义设置的 GPO。通过将这些设置保留为默认状态,您可以创建一种情况,您可以禁用所有自定义 GPO 并将所有内容恢复为默认状态。
要回答您的特定查询(冒着重复 TechNet 所说的风险):
“默认域策略”是在创建 Active Directory 域期间创建的 GPO,其中包含默认情况下应用于域中所有计算机和用户帐户的设置。(在单个 OU 上使用“阻止继承”功能允许覆盖此行为,但这更像是一个高级主题。)此 GPO 的主要默认设置是域密码策略。此设置控制与用户帐户锁定和用户密码(长度、复杂性、到期、重复使用)相关的参数。
“默认域控制器策略”是在创建 Active Directory 域期间创建的另一个 GPO。它包含仅应用于域控制器 (DC) 计算机(即承载 Active Directory 数据库副本并执行身份验证功能的那些计算机)的设置。Windows 2003 和更新的 Windows 版本中此 GPO 的主要默认设置是将 DC 限制为“与”支持数字签名服务器消息块 (SMB) 数据包的客户端“交谈”。此设置的目的是提高安全性。
涉及用户或计算机如何应用组策略的具体细节。但是,一般来说,组策略对象是按照它们在域顶部开始并通过 OU 向下处理到计算机对象的顺序应用的。考虑 GPO 之间的“优先级”或“冲突”的最简单方法是想象在遇到每个 GPO 时应用所有设置,“有效”设置是应用于给定项目的最后一个设置。
示例:在域中链接的 GPO 将计算机的“脱机文件”功能设置为“已启用”。另一个 GPO 链接在计算机对象所在的 OU 处,将“脱机文件”功能设置为禁用。因为要应用的最后一个 GPO 将是链接到计算机对象所在的 OU 的 GPO 最后应用的计算机的“有效设置”将使“脱机文件”处于禁用状态。
“块继承”和“无覆盖”功能增加了复杂性和强大的功能。WMI 过滤、安全组过滤和环回策略处理也增加了很多额外的复杂性,值得学习。不过,在您对产品的一般行为有很好的背景知识之前,我不建议您学习这些功能中的任何一个。
| 归档时间: |
|
| 查看次数: |
37808 次 |
| 最近记录: |