是否有人有权威的策略来源,如果设置了,必须在默认域策略中设置(如果有人选择设置它们)?我首先知道密码策略和某些用户会话策略必须在默认域策略中设置。我正在清理我们的域 GPO,并尝试分离可以在默认策略之外设置的任何 GP...
澄清,我不是问必须设置什么策略,我是问如果我选择设置它们,必须在默认域策略中设置哪些策略。
答案1
您要查找的设置列举在域控制器的组策略应用程序规则,就域控制器 (DC) 计算机如何应用在域级别设置的组策略对象 (GPO) 设置而言。您不一定需要在“默认域策略”中指定这些设置(事实上,我建议不要修改“默认域策略”)。相反,这些设置的结果集基于域根目录下 GPO 的链接顺序,决定了 DC 将应用的有效设置。
所有 Active Directory DC 的设置包括以下内容。
- 帐户政策
- 安全选项设置:“登录时间到期时自动注销用户”、“重命名管理员帐户”和“重命名来宾帐户”。
基于 Windows Server 2003 的 DC(以及可能基于 Windows Server 2008 和 2008 R2 的 DC)也将应用安全选项设置:
- 帐户:管理员帐户状态
- 帐户:访客帐户状态
- 帐户:重命名管理员帐户
- 帐户:重命名访客帐户
- 网络安全:登录时间到期时强制注销
答案2
默认域策略中无需定义任何设置。事实上,最佳做法是不要触碰默认域策略和默认域控制器策略。
答案3
根据 Microsoft 培训书籍,默认域策略应仅包含密码、帐户锁定和 Kerberos 策略的设置。默认域控制器策略应包含您的审核策略。
答案4
对域安全策略设置的更改应始终针对默认域策略 GPO 进行。
必须对默认 GPO 而不是新创建的 GPO 更改用户权限分配和审核策略的域控制器安全策略设置。
默认域策略:密码策略、账户锁定策略、Kerberos 策略。
默认域控制器策略:审计策略、用户权限分配、安全选项、事件日志策略。