Điểm khác nhau giữa "Domain Security Policy" và " Domain Controller Security Policy"

Cả hai cái trên đều không khác nhau ngoại trừ vị trí và thứ tự mà các Policy này được áp dụng.

"Domain Security Policy" áp dụng cho tất cả các máy tính trong domain, bất kể đó là máy client hay server, là member server hay domain controller. Do Policy này được liên kết đến domain.

Kế đến, do các server là Domain Controller nằm trong container "Domain Controllers", chúng sẽ lại chịu sự quản lý do Policy "Domain Controller Security Policy" do Policy này liên kết đến container Domain Controllers. Các thiết lập mà cả "Domain Security Policy" và "Domain Controller Security Policy" cùng có thì các server DC sẽ dùng thiết lập trong "Domain Controller Security Policy" (vì Policy này được xử lý sau).

Bạn có thể xem thêm ở đây http://www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx

++++++++++


Domain Security Policy là các policy thiết lập cho tất cả các đối tượng trong domain, bao gồm cả computer và user setting.
Domain Controller Security Policy là policy thiết lập cho riêng các DC và chỉ có tác động đến computer setting (GPO này được applied vào domain controller container nên nếu move computer account của DC sang OU nào khác thì DC đó sẽ không bị tác động bởi GPO này nữa)

+++++++
Thứ tự xử lý policy là Local policy -> Site Policy -> Domain Policy -> OU Policy. Policy được xử lý sau sẽ có quyền cao hơn policy được xử lý trước. Nếu một thiết lập trong các policy trên có các giá trị khác nhau thì policy nào được xử lý sau sẽ có tác dụng (dĩ nhiên, Windows có cơ chế để các policy sau không làm mất tác dụng của các policy trước, nhưng điều này nằm ngoài phạm vi câu hỏi).

Như vậy, các DC sẽ sử dụng các thiết lập của cả 2 policy Domain Security Policy và Domain Controller Security Policy, và nếu như một thiết lập nào đó trong 2 policy có giá trị khác nhau thì DC sẽ nhận giá trị xác định bới Domain Controller Security Policy.

Để quản lý hay cấu hình Site Policy, bạn vào phần "Active Directory Sites and Services", chọn Site cần quản lý (thường là "Default-First-Site-Name", chọn "Properties", và chọn tab "Group Policy". Mình không dùng "Group Policy Management" nên không nhớ cách tìm trong "Group Policy Management"

++++++++++


Ngoài ra ở trong cái phần Group Policy Management mình thấy một policy có thuộc tính là Enforced và Link Enabled, bạn giải thích hộ mình cái này với.

Enforced -> Các OU dưới bắt buộc phải dùng thiết lập của Policy này, bất kể các OU dưới có dùng Policy khác hay không. Tùy chọn này cho phép bạn áp đặt một thiết lập nào đó cho một OU và tất cả các OU con của nó, và đảm bảo rằng các thiết lập trong Policy này không bị thay đổi (do cơ chế xử lý Group Policy mà mình đã nêu trên)

Link Enabled -> Group Policy này được liên kết (có hiệu lực) với OU hiện thời. Nếu bạn đặt là "Link Enabled", các thiết lập trong Policy sẽ có tác dụng. Nếu bạn bỏ lựa chọn này, các thiết lập trong Policy sẽ bị bỏ qua (kể cả có thuộc tính Enforced)

+++++++

Cac bac cu lam phuc tap van de len, dung quan tam den cai ten nhieu, mo AD len roi nhap chuot fai len cai domain controller ou se thao tac duoc tren cac DM Controller, nhap len domain thi se thao tac duoc tren policy domain.

Viec inherit cac policy tu parent node xuong child node trong cay AD la co the kiem soat duoc, AD cho fep kiem soat viec inherit hay khong.

Mac dinh cua viec inherit the nao cac bac xem them trong tai lieu MS, khong xem cung duoc, cai Group Policy Mângement Console len chay report se xem duoc object nao duoc ap policy nao, se hinh dung duoc van de inherit ngay thoi.

http://vnpro.org/forum/archive/index.php?t-10047.html
++++++++++++

Domain Controller Security Policy: là policy ảnh hưởng lên những máy làm chức năng Domain Controller (ảnh hưởng lên Computer Account)


Domain Security Policy: Policy ảnh hưởng lên Domain user, các computer join vào domain ...

Ví dụ bạn muốn 1 user có quyền logon interactive trên máy DC thì bạn phải định trong Domain Controller Security Policy, ví quá trình logon này ảnh hưởng trực tiếp trên DC.

Còn nếu bạn muốn tất cả các Domain User, Local user ... có password là 7 ký tự thì phải chỉnh trong Domain Policy.

Bạn có thể thắc mắc tại sao Local User cũng bị ảnh hưởng bởi Domain Security Policy: Local User là 1 tài nguyên đặc biệt của Computer, mà Domain Security thì ảnh hưởng lên tất cả các computer trong domain
__________________
Nhất Nghệ Support Team - What may I help You?
Trần Văn Huệ -Mr.M
https://mct.support.microsoft.com/profile/TRAN.VAN%20HUE
http://www.hieu.info/blog/index.php?article=88

+++++++++