Есть ли у кого-нибудь авторитетный источник политик, которые, если они установлены, ДОЛЖНЫ быть установлены в политике домена по умолчанию (если кто-то решит их установить)? Я совершенно не понимаю, что политики паролей и определенные политики сеансов пользователей должны быть установлены в политике домена по умолчанию. Я делаю очистку наших объектов групповой политики домена и пытаюсь отделить любые GP, которые могут быть установлены вне значений по умолчанию ...
Чтобы уточнить, Я не спрашиваю, какие политики должны быть установлены, я спрашиваю, какие политики должны быть установлены в рамках политики домена по умолчанию.
Нужные вам настройки перечислены в Правила применения групповой политики для контроллеров домена, поскольку компьютеры контроллеров домена (DC) применяют параметры объекта групповой политики (GPO), которые установлены на уровне домена. Вам не обязательно указывать эти параметры в «Политике домена по умолчанию» (и, действительно, я бы рекомендовал не изменять «Политику домена по умолчанию»). Скорее, результирующий набор этих параметров, основанный на порядке связывания объектов групповой политики в корне домена, определяет эффективные параметры, которые будут применяться контроллерами домена.
Параметры включают следующее для всех контроллеров домена Active Directory.
Контроллеры домена на базе Windows Server 2003 (и, предположительно, контроллеры домена на базе Windows Server 2008 и 2008 R2) также будут применять настройки параметров безопасности:
Согласно учебным пособиям Microsoft, политика домена по умолчанию должна содержать только настройки для пароля, блокировки учетной записи и политик Kerberos. Политика контроллеров домена по умолчанию должна содержать ваши политики аудита.
Изменения в настройках политики безопасности домена всегда следует вносить в GPO политики домена по умолчанию.
Изменения в настройках политики безопасности контроллера домена для политики назначения прав и аудита должны быть внесены в GPO по умолчанию, а не во вновь созданный GPO.
Политика домена по умолчанию: политика паролей, политика блокировки учетной записи, политика Kerberos.
Политика контроллеров домена по умолчанию: политика аудита, назначение прав пользователя, параметры безопасности, политика журнала событий.
В политике домена по умолчанию нет параметров, которые необходимо определять. Фактически, лучше всего не трогать политику домена по умолчанию и политику контроллеров домена по умолчанию.