有没有人有权威的政策来源,如果设置,必须设置在默认域策略(如果select设置)? 在我的头顶,我知道密码策略和某些用户会话策略必须在默认域策略中设置。 我正在清理我们的域名GPO,并试图分离任何可以在默认设置之外设置的GP。
为了澄清 ,我不是在问什么是必须制定的政策,我是在问我应该select设置哪些政策,必须在默认政策范围内设置。
在域控制器的组策略应用程序规则中枚举您要查找的设置,只要域控制器(DC)计算机如何应用在域级别设置的组策略对象(GPO)设置即可。 您不一定需要在“默认域策略”中指定这些设置(实际上,我build议不要修改“默认域策略”)。 相反,根据域根目录下GPO的链接顺序,这些设置的结果集决定了DC应用的有效设置。
这些设置包括所有Active Directory DC的以下设置。
基于Windows Server 2003的DC(以及可能基于Windows Server 2008和2008 R2的DC)也将应用“安全选项”设置:
没有需要在默认域策略中定义的设置。 实际上,最好不要触及默认域策略和默认域控制器策略。
根据Microsoft培训手册,“默认域策略”应该只包含密码,帐户locking和Kerberos策略的设置。 默认域控制器策略应该包含您的审计策略。
应始终对默认域策略GPO进行设置到域安全策略的更改。
用户权限分配和审核策略的域控制器安全策略设置中的更改必须设置为默认GPO,而不是新创build的GPO。
默认域策略:密码策略,帐户locking策略,Kerberos策略。
默认域控制器策略:审核策略,用户权限分配,安全选项,事件日志策略。
适用于:Windows Server 2003/2008和R2