我需要申请组策略到 Windows Server 2008 域中的多台计算机。运行 gpmc.msc 后,我们可以看到默认域策略和默认域控制器策略
- 你能告诉我它们的区别吗?
- 哪项政策有效?
技术网这么说但我不明白:
默认域策略与域对象相链接,并通过策略继承影响域中的所有用户和计算机(包括作为域控制器的计算机)。
默认域控制器策略链接到域控制器 OU。此策略通常仅影响域控制器,因为默认情况下,域控制器的计算机帐户保存在域控制器 OU 中。
答案1
听起来你最好获取有关组策略的一些背景信息开始进行更改之前。活动目录也许也会对你有帮助。
我强烈建议不要修改默认在 Active Directory 中创建的“默认...”组策略对象 (GPO)。您可以创建包含自定义设置的 GPO。通过将这些设置保留为默认状态,您可以禁用所有自定义 GPO,并将所有内容恢复为默认状态。
回答您的具体问题(可能会重复 TechNet 所说的内容):
“默认域策略”是在创建 Active Directory 域期间创建的 GPO,其中包含默认应用于域中所有计算机和用户帐户的设置。(使用单个 OU 上的“阻止继承”功能可以覆盖此行为,但这是一个更高级的主题。)此 GPO 的主要默认设置是域密码策略。此设置控制与用户帐户锁定和用户密码相关的参数(长度、复杂性、到期时间、重复使用)。
“默认域控制器策略”是您在创建 Active Directory 域期间创建的另一个 GPO。它包含仅适用于域控制器 (DC) 计算机(即托管 Active Directory 数据库副本并执行身份验证功能的计算机)的设置。Windows 2003 和更新版本的 Windows 中此 GPO 的主要默认设置是将 DC 限制为“与”支持数字签名的服务器消息块 (SMB) 数据包的客户端“对话”。此设置的目的是提高安全性。
用户或计算机如何应用组策略的具体细节有些复杂。但一般来说,组策略对象是按照遇到的顺序应用的,从域的顶部开始,然后通过 OU 向下到计算机对象。我能想到的关于 GPO 之间的“优先级”或“冲突”的最简单的方法是想象在遇到每个 GPO 时应用所有设置,其中“有效”设置是应用于给定项目的最后一个设置。
例如:域中链接的 GPO 将计算机的“脱机文件”功能设置为“已启用”。计算机对象所在的 OU 中链接的另一个 GPO 将“脱机文件”功能设置为禁用。由于最后应用的 GPO 是最后应用的链接到计算机对象所在 OU 的 GPO,因此计算机的“有效设置”将是将“脱机文件”保留为禁用状态。
“阻止继承”和“禁止覆盖”功能增加了复杂性和强大的功能。WMI 过滤、安全组过滤和环回策略处理也增加了许多额外的复杂性,值得学习。不过,除非您对产品的一般行为有充分的了解,否则我不建议您学习这些功能。
答案2
这两种策略都对它们所链接的 OU 内的对象有效。通常,默认域控制器策略仅适用于域控制器。(您应该在该 OU 中看到您的域控制器。)
默认域策略链接到域树的顶部。要对所有计算机进行更改,请使用默认域策略或添加新策略。