Windows

windows server 2008域中如何設置組策略?

  • May 26, 2011

我需要將組策略應用於 Windows Server 2008 域中的多台電腦。執行 gpmc.msc 後,我們可以看到Default Domain PolicyDefault Domain Controller Policy

  1. 你能告訴我他們的區別嗎?
  2. 哪種政策有效?

資料來源:SBS Diva (https://msmvps.com/blogs/bradley/archive/2009/05/29/group-policy-defaults-for-sbs-2008.aspx)

technet這麼說,但我不明白:

預設域策略連結到域對象,並通過策略繼承影響域中的所有使用者和電腦(包括作為域控制器的電腦)。

預設域控制器策略連結到域控制器 OU。此策略通常僅影響域控制器,因為預設情況下,域控制器的電腦帳戶保存在域控制器 OU 中。

聽起來您最好在開始進行更改之前獲得有關組策略的一些背景資訊。有關Active Directory的一些背景資訊也可能對您有所幫助。

我強烈建議不要修改預設情況下在 Active Directory 中創建的“預設…”組策略對象 (GPO)。您可以創建自己的包含自定義設置的 GPO。通過將這些設置保留為預設狀態,您可以創建一種情況,您可以禁用所有自定義 GPO 並將所有內容恢復為預設狀態。

回答您的具體問題(冒著重複 TechNet 所說內容的風險):

“預設域策略”是在創建 Active Directory 域期間創建的 GPO,其中包含預設情況下應用於域中所有電腦和使用者帳戶的設置。(在單個 OU 上使用“塊繼承”功能可以覆蓋此行為,但這更像是一個高級主題。)此 GPO 的主要預設設置是域密碼策略。此設置控制與使用者帳戶鎖定和使用者密碼相關的參數(長度、複雜性、到期、重用)。

“預設域控制器策略”是在創建 Active Directory 域期間創建的另一個 GPO。它包含僅適用於域控制器 (DC) 電腦(即託管 Active Directory 數據庫副本並執行身份驗證功能的電腦)的設置。在 Windows 2003 和更新的 Windows 版本中,此 GPO 的主要預設設置是限制 DC 與支持數字簽名伺服器消息塊 (SMB) 數據包的客戶端“對話”。此設置的目的是提高安全性。

涉及到使用者或電腦如何應用組策略的具體細節。但是,一般來說,組策略對像是按照它們遇到的順序應用的,從域的頂部開始,然後通過 OU 到電腦對象。考慮 GPO 之間的“優先級”或“衝突”的最簡單方法是想像在遇到每個 GPO 時應用所有設置,而“有效”設置是應用於給定項目的最後一個設置。

範例:在域中連結的 GPO 將電腦的“離線文件”功能設置為“啟用”。另一個 GPO 連結到電腦對象所在的 OU,該對象將“離線文件”功能設置為禁用。因為要應用的最後一個 GPO 將是連結到電腦對象所在的 OU 的 GPO,所以最後應用電腦的“有效設置”將使“離線文件”處於禁用狀態。

“塊繼承”和“無覆蓋”功能增加了複雜性和強大的功能。WMI 過濾、安全組過濾和環回策略處理也增加了很多額外的複雜性,值得學習。不過,在您對產品的一般行為有很好的背景之前,我不建議您學習這些功能中的任何一個。

引用自:https://serverfault.com/questions/272366