4 votos

Aplicación de directiva de grupo en controladores de dominio

Estoy construyendo una prueba de bosque de Active Directory en un entorno virtual. Voy a ser parte de un equipo en el futuro que va a construir un nuevo Bosque para nuestra organización. No tengo experiencia en la gestión de un bosque o dominio en un entorno de producción, pero estoy familiarizado con los Gpo y trabajar con ellos como un Sys Admin. Estoy usando el Servidor de 2019 y el Bosque y el Dominio Funcional de los niveles de Windows Server 2016 (que es la versión más reciente disponible). He creado un nuevo GPO para agregar nuestra configuración de seguridad, vinculadas al nuevo GPO a la unidad organizativa Controladores de Dominio, hizo gpupdate /force (esto indica que se complete con éxito), reiniciado, ha sido un día o así y me voy a verificar algunos ajustes se han aplicado. gpresult muestra el GPO se aplica, pero numerosos ajustes que se establecen en el GPO, no están establecidos en la salida de gpresult. He aquí dos ejemplos: He "Configuración del Equipo >> Configuración de Windows >> Configuración de Seguridad >> Directiva de Auditoría Avanzada > Configuración> Directivas de Auditoría del Sistema >> Inicio de sesión/cierre de sesión >> "Auditoría de Bloqueo de Cuenta" situado en la GPO para auditar el éxito y el fracaso. También tengo la "Auditoría: la Fuerza de la directiva de auditoría de la subcategoría de configuración (Windows Vista o posterior) para invalidar la categoría de directiva de auditoría configuración de la" habilitado. Pero esto no se aplica para el servidor de todos. La ejecución de "AuditPol /get /categoría:*" y mirando en la salida lo confirma. El segundo ejemplo es el "Equipo de Política >> Configuración del Equipo >> Configuración de Windows >> Configuración de Seguridad >> Directivas de Cuenta >> Directiva de Bloqueo de Cuenta". Tengo tres, pero no se aplican en la salida de gpresult.

En ambos ejemplos, gpresult indica que la política local es el ganador del gpo.

Hay otros valores que faltan. También hay ajustes en la gpresult que se han aplicado desde el GPO. Nada de lo que me puede estar faltando? Gracias de antemano.

5voto

MDMarra Puntos 81543

Usted debe leer este pedazo de documentación de Microsoft

Ciertas políticas que sólo se aplican a los controladores de dominio cuando están vinculadas a la root del dominio, esto incluye las políticas en los siguientes nodos:

  • Configuración Del Equipo/Configuración De Windows/Configuración De Seguridad/Directivas De Cuenta
  • Configuración Del Equipo/Configuración De Windows/Configuración De Seguridad/Directivas Locales/Opciones De Seguridad

3voto

yulia Puntos 16

Los controladores de dominio tienen varios incorporado en la configuración de seguridad que hace que la aplicación de Gpo para ellos algo complejo, sobre todo cuando las Gpo están tratando de gestionar la configuración de seguridad.

Usted debe tener una mirada en el "Default Domain Controllers Policy", que está vinculado a los "Controladores de Dominio" OU; es probable que este en conflicto con el GPO.

Como una nota del lado, se debe evitar thinkering con los controladores de dominio y el "Default Domain Controllers Policy" GPO, a menos que realmente sepa lo que está haciendo; si usted necesita para probar algo, utilizar diferentes servidores o estaciones de trabajo), las unidades Organizativas y Gpo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: