我正在虚拟环境中构建测试 Active Directory 林。将来,我将加入一个团队,为我们的组织构建一个新的林。我没有在生产环境中管理林或域的经验,但我熟悉 GPO 并以系统管理员的身份使用它们。我正在使用 Server 2019,林和域功能级别为 Windows Server 2016(这是可用的最高版本)。我创建了一个新的 GPO 来添加我们的安全设置,将新的 GPO 链接到域控制器 OU,执行了 gpupdate /force(这表示它已成功完成),重新启动,已经过去了一天左右,我去验证是否已应用某些设置。gpresult 显示 GPO 已应用,但 GPO 中设置的许多设置未在 gpresult 输出中设置。这里有两个例子:我在 GPO 中设置了“计算机配置 >> Windows 设置 >> 安全设置 >> 高级审核策略配置 >> 系统审核策略 >> 登录/注销 >> “审核帐户锁定”来审核成功和失败。我还启用了“审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置”。但这根本不适用于服务器。运行“AuditPol /get /category:*”并查看输出证实了这一点。第二个例子是“计算机策略 >> 计算机配置 >> Windows 设置 >> 安全设置 >> 帐户策略 >> 帐户锁定策略”。我将其设置为三,但它没有应用于 gpresult 输出。
在这两个例子中,gpresult 均表明本地策略是获胜的 gpo。
还缺少其他设置。gpresult 中还存在从 GPO 应用的设置。我可能遗漏了什么吗?提前致谢。
答案1
你应该读这份微软文档
某些策略仅当域控制器链接到域的根时才适用于域控制器,这包括以下节点中的策略:
- 计算机配置/Windows 设置/安全设置/帐户策略
- 计算机配置/Windows 设置/安全设置/本地策略/安全选项
答案2
域控制器具有多个内置安全设置,这使得将 GPO 应用于它们变得有些复杂,尤其是当这些 GPO 试图管理安全设置时。
您应该查看链接到“域控制器”OU 的“默认域控制器策略”;这可能与您的 GPO 相冲突。
附注:您应该避免使用域控制器和“默认域控制器策略” GPO,除非您真正知道自己在做什么;如果您需要测试某些东西,请使用不同的服务器(或工作站)、OU 和 GPO。