关于本地安全策略、(本地)组策略、域控制器安全策略、域安全策略的思考
先列出各个策略的启动进程,其中“域控制器安全策略”&“域安全策略”的启动进程是带参数的
组策略:gpedit.msc
本地安全策略:secpol.msc 域控制器安全策略:dcpol.msc
dcpol.msc /gpobject:\ 域安全策略:dompol.msc
dompol.msc /gpobject:\
它们的关系: 1、“本地安全策略”完全隶属于“组策略”,是“计算机设置”-“Windows设置”-“安全设置”的子项。 2、“域控制器安全策略\属于OU策略的一种,它仅仅作用在Domain Controller这个组织单元(ou)上。
3、域控制器安全策略仅更改域控制器的本地用户,而域安全策略控制整个域的用户。 一直在思考,在Domain Controller启动gpedit.msc设置,会怎样生效?答案其实很简单,这个时候把它看作域中的其他计算机一样,按照组策略的优先级顺序:
从低到高分别为:local policy(本地)->site policy(站点)->domain policy(域)->ou policy(组织单元)。
默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是合并关系;但当产生冲突的时候,优先级高的策略会替代优先级低的策略,也就是排在后面的生效。 一个简单的例子:
本地策略:帐户的密码长度最小值为8个字符 域安全策略:帐户的密码长度最小值为10个字符
域控制器安全策略:帐户的密码长度最小值为12个字符
这时候,
域中的所有计算机:
它们的密码长度最小值为10个字符,在本地通过运行gpedit.msc调用组策略控制台,查看相应的数值已改为10个字符,并且不允许本地修改此数值(显示为灰色锁定状态);
域控制器:
安全策略中没有改变,仍为12个字符。但在调用gpedit.msc时的情况和域中计算机一样,显示为灰色锁定状态。(说明域控制器策略的确高于域策略--ou>domain)
4、网上一个“域安全策略”和“域控制器安全策略”的问题? 问:
我已经在“域控制器安全策略”中的“重命名管理员帐号名称”更改为test,而“域安全策略”设置为“未定义”。为什么我的administrator帐号名称依就未变?但是,如果我在“域安全策略”中设置test,而“域控制器安全策略”设置为“未定义”,则administrator帐号就自动变成了 test. 但是有点不妙的是,所有加入域的个人电脑中的administrator的帐号名称也会改成了test称。
(个人如有不对,请大家指正.......):
Domain Controller的Administrator同时也是Domain的管理员。Domain Controller是个独立的OU,里面的成员只有一个:域控制器。所以,“域控制器安全策略”重命名管理员,只对域控制器有效,导致域管理员名称更改(也就是域控制器的管理员)。但是,如果对整个域做这个策略,很明显,将导致域中所有成员的管理员名称更改。
相关推荐:
loading