ドメインコントローラでのグループポリシーアプリケーション
仮想環境でテスト用のActive Directoryフォレストを構築しています。私は将来、私たちの組織のために新しいフォレストを構築するチームの一員になります。運用環境でフォレストまたはドメインを管理した経験はありませんが、GPOに精通しており、それらをシステム管理者として使用しています。私はServer 2019を使用していますが、フォレストおよびドメインの機能レベルはWindows Server 2016です(これは入手可能な最も高いバージョンです)。セキュリティ設定を追加するために新しいGPOを作成し、新しいGPOをドメインコントローラーOUにリンクし、gpupdate/force(これは正常に完了することを示します)を行い、再起動しました。一日かそこらと私はいくつかの設定が適用されていることを確認しに行きます。 gpresultはGPOが適用されていることを示していますが、GPOで設定されている多くの設定がgpresult出力で設定されていません。ここに2つの例があります。「コンピューターの構成>> Windowsの設定>>セキュリティの設定>>詳細な監査ポリシーの構成>>システム監査ポリシー>>ログオン/ログオフ>>「監査アカウントのロックアウト」をGPOに設定しています_成功と失敗を監査します。「監査:監査ポリシーサブカテゴリの設定を強制する(Windows Vista以降)で監査ポリシーカテゴリの設定を上書きする」も有効にしています。ただし、これはサーバーにはまったく適用されません。「AuditPol/get/category:* "と出力を確認すると、これが確認されます。2番目の例は、「コンピュータポリシー>>コンピュータの構成>> Windows設定>>セキュリティ設定>>アカウントポリシー>>アカウントロックアウトポリシー」です。 、しかしそれはgpresult出力では適用されません。
これらの例の両方で、gpresultはローカルポリシーが勝利のgpoであることを示しています。
不足している他の設定があります。 GPOから適用されたgpresultの設定もあります。何か足りないものはありますか?前もって感謝します。
お読みください このMicrosoft文書の一部
特定のポリシーは、ドメインのルートでリンクされている場合にのみドメインコントローラーに適用されます。これには、次のノードのポリシーが含まれます。
- コンピューターの構成/ Windowsの設定/セキュリティの設定/アカウントポリシー
- コンピューターの構成/ Windowsの設定/セキュリティの設定/ローカルポリシー/セキュリティオプション
ドメインコントローラーにはいくつかの組み込みのセキュリティ設定があり、特にそれらのGPOがセキュリティ設定を管理しようとしている場合は、GPOをドメインコントローラーに適用することが多少複雑になります。
「ドメインコントローラー」OUにリンクされている「デフォルトドメインコントローラーポリシー」を確認する必要があります。これはおそらくGPOと競合しています。
副次的な注意として、ドメインコントローラと「デフォルトドメインコントローラポリシー」GPOを考えないでください。何かをテストする必要がある場合は、異なるサーバー(またはワークステーション)、OU、およびGPOを使用してください。