none
父域的帐户策略会影响到子域吗? RRS feed

  • 问题

  • 看了TECHNET上的一篇文章,感到困惑了,其中有这样一段描述:

    Account Policies

    Defined for computers, account policies affect how user accounts can interact with the computer or domain. Account policies are implemented at the domain level. For domain controllers, Windows Server 2003 and Windows 2000 allow only one domain account policy:the account policy applied to the root domain of the domain tree. The domain account policy becomes the default account policy of any Windows-based computer that is a member of the domain; this account policy affects all domain users. If an account policy is defined for an organizational unit (OU), it will affect only local accounts on member servers. The account policy settings for the OU affect the local policy on any computers contained in the OU.

    For domain accounts, only one account policy is permitted per domain. This account policy must be specified in the Default Domain Policy GPO, or in a new GPO that is linked to the root of the domain and has precedence over the Default Domain Policy GPO. The Default Domain Policy GPO is created when a computer running Windows Server 2003 or Windows 2000 Server is first promoted to domain controller. A domain controller always gets the account policy from a GPO linked to the domain, by default from the Default Domain Policy GPO.

    http://technet.microsoft.com/zh-cn/library/cc785052(v=WS.10).aspx#feedback

    按照上述文字,不考虑到实施PSO的情况下:

    第一处加粗的文字,根域的帐户策略即为此域树的帐户策略,会影响到其下的子域(因为子域和父域属于同一棵树)。

    第二处加粗的文字,每个域(父域、子域)都可以部署一个自己的帐户策略。

    显然这个说法是前后矛盾的,我印象中也是第二种说法是对的,难道说"per domain"的指的是一棵域树?

    望指教,谢谢!

        

    2012年11月9日 8:32

全部回复

  • 父域设置的组策略并不会影响到子域,域是安全边界的概念,所以2个域的组策略并不会互相影响。

    在IT的路上,You'll never walk alone

    2012年11月9日 8:39
  • 那应该如何理解第一处加粗文字呢?
    2012年11月9日 8:43
  • 对不起,纠正一下,当没看仔细理解错了。

    在域里面的继承关系,就是总的来说 低层是无条件继承高层的一切设置,也就是说父域(即根域)的账户策略会影响到以下的子域,这是一种继承关系。

    但当底层的的设置和高层有冲突或不一样时,以低层的设置为准,那也就是说子域的优先级高于父域。


    在IT的路上,You'll never walk alone

    2012年11月9日 9:03
  • “Windows Server 2003 and Windows 2000 allow only one domain account policy:the account policy applied to the root domain of the domain tree

    这句话显然在强调“allow only one domain account policy:applied to the root domain of the domain tree

    按照这个解释,无论怎么样,子域上的帐户策略根本不会起作用了,因为只允许一个帐户策略生效,而且是必须链接在“域树”的根域上。

    和你说的还是存在明显的矛盾,望指教!

    2012年11月9日 10:01