use*_*408 4 windows active-directory group-policy windows-server-2019
我正在虚拟环境中构建一个测试 Active Directory 林。未来我将成为一个团队的一员,为我们的组织建立一个新的森林。我没有在生产环境中管理林或域的经验,但我熟悉 GPO 并以系统管理员的身份与它们一起工作。我使用的是 Server 2019,林和域功能级别在 Windows Server 2016(这是可用的最高版本)。我创建了一个新的 GPO 来添加我们的安全设置,将新的 GPO 链接到域控制器 OU,执行 gpupdate /force(这表明它成功完成),重新启动,已经过了一天左右,我去验证一些设置已经应用。gpresult 显示已应用 GPO,但在 GPO 中设置的许多设置并未在 gpresult 输出中设置。这里有两个例子:我有“ 计算机配置>> Windows 设置>> 安全设置>> 高级审核策略配置>> 系统审核策略>> 登录/注销>> GPO 中设置的“审核帐户锁定”以审核成功和失败。我还启用了“审核:强制审核策略子类别设置(Windows Vista 或更高版本)以覆盖审核策略类别设置”。但这根本不适用于服务器。运行“AuditPol /get /category:*”并查看输出证实了这一点。第二个例子是“计算机策略>>计算机配置>>Windows设置>>安全设置>>账户策略>>账户锁定策略”。我将它设置为 3,但它并未应用于 gpresult 输出。> 安全设置>> 高级审计策略配置>> 系统审计策略>> 登录/注销>> GPO 中设置的“审计帐户锁定”以审计成功和失败。我还启用了“审核:强制审核策略子类别设置(Windows Vista 或更高版本)以覆盖审核策略类别设置”。但这根本不适用于服务器。运行“AuditPol /get /category:*”并查看输出证实了这一点。第二个例子是“计算机策略>>计算机配置>>Windows设置>>安全设置>>账户策略>>账户锁定策略”。我将它设置为 3,但它并未应用于 gpresult 输出。> 安全设置>> 高级审计策略配置>> 系统审计策略>> 登录/注销>> GPO 中设置的“审计帐户锁定”以审计成功和失败。我还启用了“审核:强制审核策略子类别设置(Windows Vista 或更高版本)以覆盖审核策略类别设置”。但这根本不适用于服务器。运行“AuditPol /get /category:*”并查看输出证实了这一点。第二个例子是“计算机策略>>计算机配置>>Windows设置>>安全设置>>账户策略>>账户锁定策略”。我将它设置为 3,但它并未应用于 gpresult 输出。系统审核策略 >> 登录/注销 >> GPO 中设置的“审核帐户锁定”以审核成功和失败。我还启用了“审核:强制审核策略子类别设置(Windows Vista 或更高版本)以覆盖审核策略类别设置”。但这根本不适用于服务器。运行“AuditPol /get /category:*”并查看输出证实了这一点。第二个例子是“计算机策略>>计算机配置>>Windows设置>>安全设置>>账户策略>>账户锁定策略”。我将它设置为 3,但它并未应用于 gpresult 输出。系统审核策略 >> 登录/注销 >> GPO 中设置的“审核帐户锁定”以审核成功和失败。我还启用了“审核:强制审核策略子类别设置(Windows Vista 或更高版本)以覆盖审核策略类别设置”。但这根本不适用于服务器。运行“AuditPol /get /category:*”并查看输出证实了这一点。第二个例子是“计算机策略>>计算机配置>>Windows设置>>安全设置>>账户策略>>账户锁定策略”。我将它设置为 3,但它并未应用于 gpresult 输出。
在这两个示例中,gpresult 表示本地策略是获胜的 gpo。
还缺少其他设置。gpresult 中也有从 GPO 应用的设置。有什么我可能会错过的吗?提前致谢。
您应该阅读这篇 Microsoft 文档
某些策略仅适用于在域的根链接时的域控制器,这包括以下节点中的策略: