Điểm khác nhau giữa "Domain Security Policy" và " Domain Controller Security Policy"

**H2SO4** · 04-10-2006, 01:52 PM

Domain Security Policy là các policy thiết lập cho tất cả các đối tượng trong domain, bao gồm cả computer và user setting.
Domain Controller Security Policy là policy thiết lập cho riêng các DC và chỉ có tác động đến computer setting (GPO này được applied vào domain controller container nên nếu move computer account của DC sang OU nào khác thì DC đó sẽ không bị tác động bởi GPO này nữa)

**nhaque321** · 04-10-2006, 02:00 PM

Cả hai cái trên đều không khác nhau ngoại trừ vị trí và thứ tự mà các Policy này được áp dụng.

"Domain Security Policy" áp dụng cho tất cả các máy tính trong domain, bất kể đó là máy client hay server, là member server hay domain controller. Do Policy này được liên kết đến domain.

Kế đến, do các server là Domain Controller nằm trong container "Domain Controllers", chúng sẽ lại chịu sự quản lý do Policy "Domain Controller Security Policy" do Policy này liên kết đến container Domain Controllers. Các thiết lập mà cả "Domain Security Policy" và "Domain Controller Security Policy" cùng có thì các server DC sẽ dùng thiết lập trong "Domain Controller Security Policy" (vì Policy này được xử lý sau).

Bạn có thể xem thêm ở đây http://www.microsoft.com/windowsserv...w/gpintro.mspx

**bembi** · 04-10-2006, 04:06 PM

Như các pác nói thì có phải Domain Security policy sẽ là cha của Domain Controller Security policy .Cái này em cung không hiểu nhiều lắm .
Tại vì mỗi lần thiết lập policy cả trên 2000 và 2003 thì đều phải ấn định chính sách trên cả 3 hoặc 2 công cụ .
Mong các anh giúp em .

**kokichi81** · 04-10-2006, 04:28 PM

Vậy trong trường hợp, Các thiết lập mà cả "Domain Security Policy" và "Domain Controller Security Policy" khác nhau thì sao hả bạn. Nếu vậy thì các DC sẽ dùng thiết lập trong "Domain Security Policy" (vì Policy này được xử lý trước) .
Có phải vậy không bạn, nếu vậy thì "Domain Controller Security Policy" có ý nghĩ gì đâu.
Bạn giải thích giùm mình với.

**nhaque321** · 04-10-2006, 11:09 PM

Originally posted by kokichi81

Vậy trong trường hợp, Các thiết lập mà cả "Domain Security Policy" và "Domain Controller Security Policy" khác nhau thì sao hả bạn. Nếu vậy thì các DC sẽ dùng thiết lập trong "Domain Security Policy" (vì Policy này được xử lý trước)

Không phải vậy bạn ạ! Thứ tự xử lý policy là Local policy -> Site Policy -> Domain Policy -> OU Policy. Policy được xử lý sau sẽ có quyền cao hơn policy được xử lý trước. Nếu một thiết lập trong các policy trên có các giá trị khác nhau thì policy nào được xử lý sau sẽ có tác dụng (dĩ nhiên, Windows có cơ chế để các policy sau không làm mất tác dụng của các policy trước, nhưng điều này nằm ngoài phạm vi câu hỏi).

Như vậy, các DC sẽ sử dụng các thiết lập của cả 2 policy Domain Security Policy và Domain Controller Security Policy, và nếu như một thiết lập nào đó trong 2 policy có giá trị khác nhau thì DC sẽ nhận giá trị xác định bới Domain Controller Security Policy.

**kokichi81** · 05-10-2006, 09:15 AM

Vậy thiết lập cái Site Policy ở đâu hả bạn, mình tìm không thấy.
Ngoài ra ở trong cái phần Group Policy Management mình thấy một policy có thuộc tính là Enforced và Link Enabled, bạn giải thích hộ mình cái này với.
Thanks

**nhaque321** · 05-10-2006, 10:09 AM

Originally posted by kokichi81

Vậy thiết lập cái Site Policy ở đâu hả bạn, mình tìm không thấy.

Để quản lý hay cấu hình Site Policy, bạn vào phần "Active Directory Sites and Services", chọn Site cần quản lý (thường là "Default-First-Site-Name", chọn "Properties", và chọn tab "Group Policy". Mình không dùng "Group Policy Management" nên không nhớ cách tìm trong "Group Policy Management"

Originally posted by kokichi81

Ngoài ra ở trong cái phần Group Policy Management mình thấy một policy có thuộc tính là Enforced và Link Enabled, bạn giải thích hộ mình cái này với.

Enforced -> Các OU dưới bắt buộc phải dùng thiết lập của Policy này, bất kể các OU dưới có dùng Policy khác hay không. Tùy chọn này cho phép bạn áp đặt một thiết lập nào đó cho một OU và tất cả các OU con của nó, và đảm bảo rằng các thiết lập trong Policy này không bị thay đổi (do cơ chế xử lý Group Policy mà mình đã nêu trên)

Link Enabled -> Group Policy này được liên kết (có hiệu lực) với OU hiện thời. Nếu bạn đặt là "Link Enabled", các thiết lập trong Policy sẽ có tác dụng. Nếu bạn bỏ lựa chọn này, các thiết lập trong Policy sẽ bị bỏ qua (kể cả có thuộc tính Enforced)

**x41006** · 05-10-2006, 11:43 AM

Cac bac cu lam phuc tap van de len, dung quan tam den cai ten nhieu, mo AD len roi nhap chuot fai len cai domain controller ou se thao tac duoc tren cac DM Controller, nhap len domain thi se thao tac duoc tren policy domain.

Viec inherit cac policy tu parent node xuong child node trong cay AD la co the kiem soat duoc, AD cho fep kiem soat viec inherit hay khong.

Mac dinh cua viec inherit the nao cac bac xem them trong tai lieu MS, khong xem cung duoc, cai Group Policy Mângement Console len chay report se xem duoc object nao duoc ap policy nao, se hinh dung duoc van de inherit ngay thoi.

Cheers,

Điểm khác nhau giữa "Domain Security Policy" và " Domain Controller Security Policy"

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment