默认域的优先级如何发挥作用控制器Windows 2003 域中的安全设置与默认域安全设置。
- 其中一个会覆盖另一个吗?这种情况的条件是什么?如果两个都已定义,则其中一个已定义,而另一个未定义,等等...
- 如果不同控制器的策略设置存在冲突,这是否仅取决于用户使用哪个控制器进行身份验证?例如,如果 DC A 的最大密码长度为 2 天,而 DC B 的最大密码长度为 5 天。4 天后,除非他们针对 DC A 进行身份验证,否则密码不会过期?
答案1
在 2003 域中,密码设置是通过默认域策略在域范围内定义的,无法在细粒度级别上定义。如果您想要细粒度的密码设置(例如按 OU),则需要升级到 2008 AD。
GPO 的优先顺序如下(优先顺序最少):
- 本地政策
- 网站政策
- 域名政策
- OU 政策
如果您在本地策略中定义了某些内容,并且站点、域或 OU 中没有与该设置相矛盾的策略,则将保留本地策略设置。否则,站点将优先,然后是域,树上最高的是 OU 策略。
答案2
GPO 按以下顺序应用:
- 本地组策略
- 基于站点的组策略
- 基于域的组策略
- 基于 OU 的组策略
当每个级别有多个策略时,最后处理链接顺序优先级最低的策略。
默认域控制器安全设置在本地级别生效,因此首先应用。站点、域或 OU 级别的任何设置都将覆盖这些设置。
密码策略设置仅支持域级别(至少在 Server 2003 和 2000 中),不支持 OU 或站点级别。如果您在本地级别设置,则它仅适用于本地帐户,而这些帐户在 DC 上不存在。