Server 2019 域环境。问题与 DC 本身有关。
我在 DC OU 上创建了一个自行创建的 GPO,它设置了许多内容,其中一些是 Kerberos 设置:
奇怪的是,虽然 GPO 中的其他内容似乎在相关 DC 上设置,但这些特定内容却没有。扫描 GPResult 输出似乎没有显示这些设置被其他 GPO 错误配置(它们根本没有显示在 GPResult 的 HTML 文件中,甚至没有显示在 RSOP 中)。
通过 Google 搜索,我什么也没找到,只是找到了对内置 GPO“默认域策略”的引用,而该 GPO 实际上似乎完全不存在于我的(继承的)环境中。
在 AD 中是否需要其他特殊配置才能获得 Kerberos 应用的 GPO 设置?
答案1
使用组策略应用的所有帐户策略设置均在域级别应用。密码策略设置、帐户锁定策略设置和 Kerberos 策略设置的内置默认域控制器策略中存在默认值。域帐户策略将成为域成员的任何设备的默认本地帐户策略。如果在 Active Directory 域服务 (AD DS) 中在域级别以下的任何级别设置这些策略,它们仅影响成员服务器上的本地帐户。
唯一的例外是当为组织单位 (OU) 定义了另一个帐户策略时。OU 的帐户策略设置会影响 OU 中包含的任何计算机上的本地策略。例如,如果 OU 策略定义的密码最大使用期限与域级帐户策略不同,则仅当用户登录本地计算机时才会应用和强制执行 OU 策略。默认本地计算机策略仅适用于工作组或 OU 帐户策略和域策略均不适用的域中的计算机。
笔记:
每个域只能有一个帐户策略。帐户策略必须在默认域策略中定义,或者在链接到域根并优先于默认域策略的新策略中定义,由域中的域控制器强制执行。这些域范围的帐户策略设置(密码策略、帐户锁定策略和 Kerberos 策略)由域中的域控制器强制执行;因此,域控制器始终从默认域策略组策略对象 (GPO) 中检索这些帐户策略设置的值。