В каждом домене Active Directory по умолчанию есть два объекта групповой политики:
• Политика контроллера домена по умолчанию (Default Domain Controllers Policy) Стандартный GPO для подразделения Domain Controllers. Это GPO применим ко всем контроллерам домена (если они не удалены из подразделения). Применяйте его для управления параметрами безопасности контроллеров домена.
• Политика домена по умолчанию (Default Domain Policy) Стандартный GPO для домена Active Directory в целом. Применяйте его для настройки базового уровня параметров политик, применимых ко всем пользователям и компьютерам домена.
• Как правило, политика домена по умолчанию обладает наивысшим приоритетом на уровне домена, а политика контроллера домена по умолчанию обладает наивысшим приоритетом на уровне па уровне контейнера Domain Controllers. Как с доменом, так и с контейнером Domain Controllers можно связать и другие GPO. При этом необходимо всегда помнить, что параметры GPO с высоким приоритетом перекрывают параметры GPO с низким приоритетом. Эти GPO не предназначены для общего управления групповой политикой.
Политика домена по умолчанию применяется только для управления стандартными параметрами политик учетных записей, в частности, политики паролей, политики блокировки учетных записей и политики Kerberos. При помощи этого GPO управляются также параметры безопасности Учетные записи: Переименование учетной записи администратора (Accounts: Rename Administrator Account), Учетные записи: Переименование учетной записи гостя (Accounts: Rename Guest Account), Сетевая безопасность: Принудительный вывод из сеанса по истечении допустимых часов работы (Network Security: Force Logoff When Logon Hours Expire) и Доступ к сети: Разрешить трансляцию анонимного SID в имя (Network Access: Allow Anonymous SID/Name Translation). Один из способов перекрытия этих параметров состоит в создании нового GPO с другими значениями для них и связывании его с контроллером домена с более высоким приоритетом.
В политику контроллера домена по умолчанию включены права пользователей и параметры безопасности, ограничивающие использование контроллера домена. Один из способов перекрытия этих параметров состоит в создании нового GPO с другими значениями для них и связывании его с контейнером Domain Controllers с более высоким приоритетом.
Для управления другими аспектами политики создайте новый GPO и свяжите его с доменом или с одним из его подразделений.
Групповые политики сайта, домена и подразделений хранятся на контроллерах домена в папке %SystemRoot%\ Sysvol\Domain\Policies. В пей вы найдете по одной подпапке для каждой политики, определенной вами на контроллере домена. Имя панки политики является идентификатором GUID этой политики. В папке политики размещены следующие подпапки:
• Machine Сценарии компьютера (в подпапке Script) и информация о политике для раздела реестра HKEYLOCAL_MACHINE в файле Registry.pol.
• User Сценарии пользователя (в подпапке Script) и информация о политике для раздела реестра HKEY_CURRENT_USER в файле Registry.pol.
