Как установить групповую политику в домене Windows Server 2008?
Мне нужно подать заявку групповая политика на несколько компьютеров в домене Windows Server 2008. После запуска gpmc.msc мы видим Политика домена по умолчанию и Политика контроллера домена по умолчанию
- Вы можете сказать мне их разницу?
- Какая политика эффективна?
технет скажи это, но я этого не понимаю:
Политика домена по умолчанию связан с объектом домена и влияет на всех пользователей и компьютеры в домене (включая компьютеры, которые являются контроллерами домена) посредством наследования политик.
Политика контроллеров домена по умолчанию связан с подразделением контроллеров домена. Эта политика обычно влияет только на контроллеры домена, поскольку по умолчанию учетные записи компьютеров для контроллеров домена хранятся в подразделении контроллеров домена.
Похоже, ты преуспеешь получить некоторую справочную информацию о групповой политике прежде чем вы начнете вносить изменения. Некоторая справочная информация о Active Directory Возможно, вам тоже поможет.
Я настоятельно рекомендую не изменять объекты групповой политики (GPO) «По умолчанию ...», которые по умолчанию создаются в Active Directory. Вы можете создавать свои собственные объекты групповой политики, содержащие ваши пользовательские параметры. Оставляя эти параметры в состоянии по умолчанию, вы создаете ситуацию, в которой можете отключить все свои настраиваемые объекты групповой политики и вернуть все в состояние по умолчанию.
Чтобы ответить на ваши конкретные вопросы (рискуя повторить то, что говорит TechNet):
«Политика домена по умолчанию» - это объект групповой политики, созданный во время создания вашего домена Active Directory, который содержит параметры, которые по умолчанию применяются ко всем учетным записям компьютеров и пользователей в домене. (Использование функции «Блокировать наследование» для отдельных подразделений позволяет переопределить это поведение, но это более сложная тема.) Основным параметром по умолчанию, выходящим из этого объекта групповой политики, является политика паролей домена. Этот параметр управляет параметрами, связанными с блокировкой учетной записи пользователя и паролями пользователей (длина, сложность, срок действия, повторное использование).
«Политика контроллеров домена по умолчанию» - это еще один объект групповой политики, созданный при создании домена Active Directory. Он содержит параметры, которые применяются только к компьютерам с контроллером домена (DC) (то есть к тем компьютерам, на которых размещены копии базы данных Active Directory и выполняются функции аутентификации). Основные настройки по умолчанию, которые исходят из этого объекта групповой политики в Windows 2003 и более новых версиях Windows, заключаются в том, чтобы ограничить контроллеры домена «общением» с клиентами, которые поддерживают пакеты Server Message Block (SMB) с цифровой подписью. Цель этого параметра - повысить безопасность.
Конкретные детали того, как групповая политика применяется пользователями или компьютерами, в некоторой степени затрагиваются. Однако в целом объекты групповой политики применяются в том порядке, в котором они встречаются, начиная с верхней части домена и продвигаясь вниз через подразделения к объекту компьютера. Самый простой способ думать о «приоритете» или «конфликтах» между объектами групповой политики - это представить, что все настройки применяются при обнаружении каждого объекта групповой политики, причем «эффективный» параметр является последним параметром, применяемым к данному элементу.
Пример: объект групповой политики, связанный с доменом, устанавливает для функции «Автономные файлы» на компьютере значение «Включено». Другой объект групповой политики связан с подразделением, в котором расположен компьютерный объект, который отключает функцию «Автономные файлы». Поскольку последним применяемым объектом групповой политики будет тот объект групповой политики, который связан с подразделением, в котором расположен компьютерный объект, применяется последним, «эффективная настройка» для компьютера будет состоять в том, чтобы оставить «автономные файлы» в отключенном состоянии.
Функциональные возможности «Блокировать наследование» и «Без переопределения» добавляют сложности и расширяют функциональные возможности. Фильтрация WMI, фильтрация групп безопасности и обработка политик обратной петли также добавляют много дополнительных сложностей, и о них стоит узнать. Однако я бы не рекомендовал изучать какие-либо из этих функций, пока у вас не будет хорошего знания об общем поведении продукта.
Обе политики эффективны для объектов в тех подразделениях, с которыми они связаны. Как правило, политика контроллера домена по умолчанию применяется только к контроллерам домена (вы должны увидеть контроллеры домена в этом подразделении.
Политика домена по умолчанию связана с верхней частью дерева доменов. Чтобы внести изменения для всех компьютеров, используйте политику домена по умолчанию или добавьте новую политику.