策略 CSP - ADMX_Netlogon
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>
。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
Netlogon_AddressLookupOnPingBehavior
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_AddressLookupOnPingBehavior
此策略设置配置域控制器 (DC) 在响应其 IP 地址未映射到任何已配置站点的客户端时的行为方式。
域控制器在 DC 定位器 ping 请求期间使用客户端 IP 地址来计算客户端所属的 Active Directory 站点。 如果无法计算站点映射,则 DC 可能会对客户端网络名称执行地址查找,以发现其他 IP 地址,这些地址随后可用于计算客户端的匹配站点。
此设置的允许值会导致以下行为:
0 - DC 永远不会执行地址查找。
1 - DC 将执行详尽的地址查找,以发现其他客户端 IP 地址。
2 - DC 将执行快速的仅限 DNS 的地址查找,以发现其他客户端 IP 地址。
若要在 DC 定位符 DNS SRV 记录中指定此行为,请单击“已启用”,然后输入一个值。 值的范围为 0 到 2。
如果未配置此策略设置,则不会将其应用于任何 DC,并且 DC 使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_AddressLookupOnPingBehavior |
友好名称 | 指定 DC 定位符 ping 的地址查找行为 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_AddressTypeReturned
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_AddressTypeReturned
此策略设置取消为域控制器返回的 IP 地址类型。 DC 定位符 API 返回 DC 的 IP 地址以及信息的其他部分。 在支持 IPv6 之前,返回的 DC IP 地址为 IPv4。 但在 IPv6 支持下,DC 定位符 API 可以返回 IPv6 DC 地址。 某些现有应用程序可能无法正确处理返回的 IPv6 DC 地址。 因此,提供此策略以支持此类方案。
默认情况下,DC 定位符 API 可以返回 IPv4/IPv6 DC 地址。 但是,如果某些应用程序由于返回的 IPv6 DC 地址而中断,则此策略可用于禁用默认行为,并强制仅返回 IPv4 DC 地址。 修复应用程序后,可以使用此策略启用默认行为。
如果启用此策略设置,DC 定位符 API 可以返回 IPv4/IPv6 DC 地址。 这是 DC 定位符的默认行为。
如果禁用此策略设置,DC 定位符 API 将仅返回 IPv4 DC 地址(如果有)。 因此,如果域控制器同时支持 IPv4 和 IPv6 地址,则 DC 定位符 API 将返回 IPv4 地址。 但是,如果域控制器仅支持 IPv6 地址,则 DC 定位符 API 将失败。
如果未配置此策略设置,DC 定位符 API 可以返回 IPv4/IPv6 DC 地址。 这是 DC 定位符的默认行为。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_AddressTypeReturned |
友好名称 | 返回域控制器地址类型 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | AddressTypeReturned |
ADMX 文件名 | Netlogon.admx |
Netlogon_AllowDnsSuffixSearch
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_AllowDnsSuffixSearch
此策略设置指定应用此设置的计算机是否通过追加不同的已注册 DNS 后缀来尝试单lablel域名的 DNS 名称解析,并且仅在 DNS 名称解析失败时使用 NetBIOS 名称解析。 如果启用了 AllowSingleLabelDnsDomain 策略设置,则不会使用此策略(包括指定的默认行为)。
默认情况下,如果未为此策略指定任何设置,则行为与显式启用此策略相同,除非启用了 AllowSingleLabelDnsDomain 策略设置。
如果启用此策略设置,则当 AllowSingleLabelDnsDomain 策略未启用时,应用此策略的计算机将通过追加不同的已注册 DNS 后缀来执行 DNS 名称解析,找到托管使用单标签名称指定的 Active Directory 域的域控制器。 除非计算机已加入 Active Directory 林中具有单标签 DNS 名称的域,否则不会在未追加 DNS 后缀的情况下使用单标签名称。 NetBIOS 名称解析仅在 DNS 解析失败的情况下对单标签名称执行。
如果禁用此策略设置,则当 AllowSingleLabelDnsDomain 策略未启用时,应用此策略的计算机将仅使用 NetBIOS 名称解析来尝试查找托管使用单标签名称指定的 Active Directory 域的域控制器。 在这种情况下,计算机不会尝试 DNS 名称解析,除非计算机在 Active Directory 林中搜索具有此计算机加入的单个 DNS 名称标签的域。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_AllowDnsSuffixSearch |
友好名称 | 如果未启用 AllowSingleLabelDnsDomain 设置,则使用单标签域名时,通过追加不同的已注册 DNS 后缀来使用 DNS 名称解析。 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | AllowDnsSuffixSearch |
ADMX 文件名 | Netlogon.admx |
Netlogon_AllowNT4Crypto
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_AllowNT4Crypto
此策略设置控制 Net Logon 服务是否允许使用 Windows NT 4.0 中使用的旧加密算法。 Windows NT 4.0 及更低版本中使用的加密算法不如 Windows 2000 或更高版本(包括此版本的 Windows)中使用的较新算法安全。
默认情况下,Net Logon 不允许使用较旧的加密算法,并且不会将它们包含在加密算法的协商中。 因此,运行 Windows NT 4.0 的计算机将无法建立到此域控制器的连接。
如果启用此策略设置,Net Logon 将允许协商和使用与 Windows NT 4.0 兼容的旧加密算法。 但是,使用较旧的算法存在潜在的安全风险。
如果禁用此策略设置,Net Logon 将不允许协商和使用较旧的加密算法。
如果未配置此策略设置,Net Logon 将不允许协商和使用较旧的加密算法。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_AllowNT4Crypto |
友好名称 | 允许与 Windows NT 4.0 兼容的加密算法 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | AllowNT4Crypto |
ADMX 文件名 | Netlogon.admx |
Netlogon_AllowSingleLabelDnsDomain
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_AllowSingleLabelDnsDomain
此策略设置指定应用此设置的计算机是否尝试对单标签域名进行 DNS 名称解析。
默认情况下,使用 AllowDnsSuffixSearch 中指定的行为。 如果 AllowDnsSuffixSearch 策略被禁用,则 NetBIOS 名称解析将独占使用,以查找托管使用单标签名称指定的 Active Directory 域的域控制器。
如果启用此策略设置,则应用此策略的计算机将尝试查找托管使用 DNS 名称解析的单标签名称指定的 Active Directory 域的域控制器。
如果禁用此策略设置,则应用此设置的计算机将使用 AllowDnsSuffixSearch 策略(如果未禁用或执行 NetBIOS 名称解析,否则)尝试查找托管使用单标签名称指定的 Active Directory 域的域控制器。 在这种情况下,计算机不会进行 DNS 名称解析,除非计算机正在搜索具有单个标签 DNS 名称的域,该域存在于此计算机加入的 Active Directory 林中。
如果未配置此策略设置,则不会将其应用于任何计算机,并且计算机使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_AllowSingleLabelDnsDomain |
友好名称 | 将 DNS 名称解析与单标签域名(而不是 NetBIOS 名称解析)配合使用来查找 DC |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | AllowSingleLabelDnsDomain |
ADMX 文件名 | Netlogon.admx |
Netlogon_AutoSiteCoverage
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_AutoSiteCoverage
此策略设置确定域控制器 (DC) 是否为最近的站点动态注册特定于 DC 定位符站点的 SRV 记录,这些站点 () 不存在同一域的 DC 或不存在同一林的全局目录。 这些 DNS 记录由 Net Logon 服务动态注册,它们用于查找 DC。
如果启用此策略设置,则应用此设置的 DC 会动态注册最靠近的站点的 DC 定位符站点特定的 DNS SRV 记录,这些站点不存在同一域的 DC 或同一林的全局编录。
如果禁用此策略设置,DC 不会为任何其他站点注册特定于站点的 DC 定位符 DNS SRV 记录,但不是它们自己的站点。
如果未配置此策略设置,则不会将其应用于任何 DC,并且 DC 使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_AutoSiteCoverage |
友好名称 | 使用 DC 定位符 DNS SRV 记录的自动站点覆盖范围 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | AutoSiteCoverage |
ADMX 文件名 | Netlogon.admx |
Netlogon_AvoidFallbackNetbiosDiscovery
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_AvoidFallbackNetbiosDiscovery
此策略设置允许你控制域控制器 (DC) 位置算法。 默认情况下,如果 DNS 域名已知,DC 位置算法首选基于 DNS 的发现。 如果基于 DNS 的发现失败并且 NetBIOS 域名已知,则算法将使用基于 NetBIOS 的发现作为回退机制。
基于 NetBIOS 的发现使用 WINS 服务器和 mailslot 消息,但不使用站点信息。 因此,它不能确保客户端会发现最近的 DC。 它还允许中心站点客户端发现分支站点 DC,即使分支站点 DC 仅注册站点特定的 DNS 记录 (建议) 。 出于这些原因,不建议使用基于 NetBIOS 的发现。
请注意,如果只有 NetBIOS 域名已知,则此策略设置不会影响 DC 位置的基于 NetBIOS 的发现。
如果启用或未配置此策略设置,则 DC 位置算法不会在基于 DNS 的发现失败时使用基于 NetBIOS 的发现作为回退机制。 这是默认行为。
如果禁用此策略设置,当基于 DNS 的发现失败时,DC 位置算法可以使用基于 NetBIOS 的发现作为回退机制。
除非禁用 BlockNetbiosDiscovery 设置,否则此设置不起作用。 基于 NetBIOS 的发现被视为不安全,存在许多限制,并将在未来的版本中弃用。 出于这些原因,不建议使用基于 NetBIOS 的发现。 有关详细信息,请参阅 https://aka.ms/dclocatornetbiosdeprecation。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_AvoidFallbackNetbiosDiscovery |
友好名称 | 基于 DNS 的发现失败时,不要对域控制器位置使用基于 NetBIOS 的发现 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | AvoidFallbackNetbiosDiscovery |
ADMX 文件名 | Netlogon.admx |
Netlogon_AvoidPdcOnWan
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_AvoidPdcOnWan
此策略设置定义域控制器 (DC) 是否应尝试验证客户端使用 PDC 模拟器提供的密码(如果 DC 未能验证密码)。
如果客户端的密码最近已更改且尚未传播到 DC,则联系 PDC 模拟器非常有用。 如果 PDC 模拟器位于慢速 WAN 连接上,则用户可能需要禁用此功能。
如果启用此策略设置,如果 DC 无法验证密码,则应用此策略设置的 DC 将尝试使用 PDC 模拟器验证密码。
如果禁用此策略设置,DC 不会尝试使用 PDC 模拟器验证任何密码。
如果未配置此策略设置,则不会将其应用于任何 DC。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_AvoidPdcOnWan |
友好名称 | 登录失败时联系 PDC |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | AvoidPdcOnWan |
ADMX 文件名 | Netlogon.admx |
Netlogon_BackgroundRetryInitialPeriod
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_BackgroundRetryInitialPeriod
此策略设置确定对无法找到 DC 的域控制器执行定期搜索) (DC) 的应用程序在首次重试之前 (等待的时间(以秒为单位)。
此设置的默认值为 10 分钟 (1060) 。此设置的最大值为 49 天 (0x492460 60=4233600) 。 此设置的最小值为 0。
此设置仅与已指定 DS_BACKGROUND_ONLY 标志的 DsGetDcName 的调用方相关。
如果此设置的值小于 NegativeCachePeriod 子项中指定的值,则使用 NegativeCachePeriod 子项中的值。
警告
如果此设置的值太大,客户端不会尝试查找任何最初不可用的 DC。 如果此设置中设置的值非常小,并且 DC 不可用,则定期 DC 发现导致的流量可能会过多。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_BackgroundRetryInitialPeriod |
友好名称 | 对后台调用方使用初始 DC 发现重试设置 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_BackgroundRetryMaximumPeriod
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_BackgroundRetryMaximumPeriod
此策略设置确定执行定期搜索域控制器的应用程序 (DC) 找不到 DC 时允许的最大重试间隔。
例如,重试间隔可以设置为 10 分钟、20 分钟和 40 分钟,但当间隔达到此设置中设置的值时,该值将成为所有后续重试的重试间隔,直到达到“最终 DC 发现重试设置”中设置的值。
此设置的默认值为 60 分钟 (6060) 。此设置的最大值为 49 天 (0x492460 60=4233600) 。 此设置的最小值为 0。
如果此设置的值小于为初始 DC 发现重试设置指定的值,则使用初始 DC 发现重试设置。
警告
如果此设置的值太大,客户端可能需要很长时间才能尝试查找 DC。
如果此设置的值太小且 DC 不可用,则频繁重试可能会产生过多的网络流量。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_BackgroundRetryMaximumPeriod |
友好名称 | 对后台调用方使用最大 DC 发现重试间隔设置 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_BackgroundRetryQuitTime
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_BackgroundRetryQuitTime
此策略设置确定对域控制器执行定期搜索的应用程序何时不再允许重试, (DC) 找不到 DC。 例如,根据“使用最大 DC 发现重试间隔”策略设置,可将停用设置为发生,但达到此策略设置中设置的值时,不再进行重试。 如果此策略设置的值小于“使用最大 DC 发现重试间隔”策略设置中的值,则使用“使用最大 DC 发现重试间隔策略”设置的值。
此设置的默认值为不退出重试 (0) 。 此设置的最大值为 49 天 (0x492460*60=4233600) 。 此设置的最小值为 0。
警告
如果此设置的值太小,客户端将停止尝试太快地查找 DC。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_BackgroundRetryQuitTime |
友好名称 | 对后台调用方使用最终 DC 发现重试设置 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_BackgroundSuccessfulRefreshPeriod
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_BackgroundSuccessfulRefreshPeriod
此策略设置确定何时刷新成功的 DC 缓存条目。 此策略设置应用于定期尝试查找 DC 的调用方程序,并在将 DC 信息返回给调用方程序之前应用该设置。 此设置的默认值为无限 (4294967200) 。 此设置的最大值为 (4294967200) ,而不被视为无穷大的最大值为 49 天 (492460*60=4233600) 。 任何较大的值都被视为无穷大。 此设置的最小值是始终刷新 (0) 。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_BackgroundSuccessfulRefreshPeriod |
友好名称 | 对后台调用方使用正定期 DC 缓存刷新 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_DebugFlag
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_DebugFlag
此策略设置指定 Net Logon 服务的调试输出级别。
Net Logon 服务将调试信息输出到目录 %windir%\debug 中的日志文件netlogon.log。 默认情况下,不记录任何调试信息。
- 如果启用此策略设置并指定非零值,则调试信息将记录到文件中。 值越高,日志记录越详细;536936447 的值通常用作最佳设置。
如果为此策略设置指定零,则默认行为将如上所述。
- 如果禁用此策略设置或未对其进行配置,则默认行为将如上所述。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_DebugFlag |
友好名称 | 指定日志文件调试输出级别 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_DnsAvoidRegisterRecords
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_DnsAvoidRegisterRecords
此策略设置确定 Net Logon 服务未注册哪些 DC 定位符 DNS 记录。
如果启用此策略设置,请选择“已启用”,并指定以空格分隔的助记符列表, (说明) ,这些记录不会由应用此设置的 DC 定位符 DNS 记录注册。 从下表中选择助记符:
记忆 类型 DNS 记录 LdapIpAddress A <DnsDomainName>
Ldap SRV _ldap._tcp。 <DnsDomainName>
LdapAtSite SRV _ldap._tcp. <SiteName>
。_网站。<DnsDomainName>
Pdc SRV _ldap._tcp.pdc._msdcs。 <DnsDomainName>
Gc SRV _ldap._tcp.gc._msdcs。 <DnsForestName>
GcAtSite SRV _ldap._tcp. <SiteName>
。_sites.gc._msdcs。<DnsForestName>
DcByGuid SRV _ldap._tcp. <DomainGuid>
。domains._msdcs。<DnsForestName>
GcIpAddress A gc._msdcs。 <DnsForestName>
DsaCname CNAME <DsaGuid>
._msdcs。<DnsForestName>
Kdc SRV _kerberos._tcp.dc._msdcs。 <DnsDomainName>
KdcAtSite SRV _kerberos._tcp. <SiteName>
。_sites.dc._msdcs。KdcAtSite SRV _kerberos._tcp. <SiteName>
。_sites.dc._msdcs。<DnsDomainName>
直流 SRV _ldap._tcp.dc._msdcs。 <DnsDomainName>
DcAtSite SRV _ldap._tcp. <SiteName>
。_sites.dc._msdcs。<DnsDomainName>
Rfc1510Kdc SRV _kerberos._tcp。 <DnsDomainName>
Rfc1510KdcAtSite SRV _kerberos._tcp. <SiteName>
。_网站。<DnsDomainName>
GenericGc SRV _gc._tcp。 <DnsForestName>
GenericGcAtSite SRV _gc._tcp. <SiteName>
。_网站。<DnsForestName>
Rfc1510UdpKdc SRV _kerberos._udp。 <DnsDomainName>
Rfc1510Kpwd SRV _kpasswd._tcp。 <DnsDomainName>
Rfc1510UdpKpwd SRV _kpasswd._udp。 <DnsDomainName>
如果禁用此策略设置,则配置为执行 DC 定位符 DNS 记录动态注册的 DC 会注册所有 DC 定位符 DNS 资源记录。
如果未配置此策略设置,DC 将使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_DnsAvoidRegisterRecords |
友好名称 | 指定 DC 定位符 DNS 记录未由 DC 注册 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_DnsRefreshInterval
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_DnsRefreshInterval
此策略设置指定应用此设置的 DC 定位符 DNS 资源记录的刷新间隔。 这些 DNS 记录由 Net Logon 服务动态注册,并由 DC 定位器算法用来查找 DC。 此设置只能应用于使用动态更新的 DC。
配置为对 DC 定位符 DNS 资源记录执行动态注册的 DC 会定期将其记录重新注册到 DNS 服务器,即使其记录的数据未更改也是如此。 如果将权威 DNS 服务器配置为对过时记录执行清理,则需要进行重新注册,以指示配置为自动删除 (清除) 过时记录的 DNS 服务器,这些记录是最新的,应保留在数据库中。
警告
如果在启用了清理的区域中注册 DNS 资源记录,则此设置的值不应超过为这些区域配置的刷新间隔。 将 DC 定位符 DNS 记录的刷新间隔设置为超过 DNS 区域的刷新间隔可能会导致意外删除 DNS 资源记录。
若要指定 DC 记录的刷新间隔,请单击“已启用”,然后输入大于 1800 的值。 此值指定 DC 记录的刷新间隔(以秒为单位), (例如,值 3600 为 60 分钟) 。
如果未配置此策略设置,则不会将其应用于任何 DC,并且 DC 使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_DnsRefreshInterval |
友好名称 | 指定 DC 定位符 DNS 记录的刷新间隔 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_DnsSrvRecordUseLowerCaseHostNames
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_DnsSrvRecordUseLowerCaseHostNames
此策略设置配置在注册 SRV 记录时,应用此设置的域控制器是否将其 DNS 主机名小写。
如果启用,则域控制器会在注册域控制器 SRV 记录时将其 DNS 主机名小写。 将尽最大努力删除任何以前注册的包含混合大小写 DNS 主机名的 SRV 记录。 有关详细信息和可能的手动清理过程,请参阅下面的链接。
如果禁用,则域控制器将在注册域控制器 SRV 记录时按原样使用其配置的 DNS 主机名。
如果未配置,域控制器将默认使用其本地配置。
默认本地配置已启用。
对此设置的更改无需重新启动即可生效。
有关详细信息,请参阅 https://aka.ms/lowercasehostnamesrvrecord
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_DnsSrvRecordUseLowerCaseHostNames |
友好名称 | 注册域控制器 SRV 记录时使用小写的 DNS 主机名 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | DnsSrvRecordUseLowerCaseHostNames |
ADMX 文件名 | Netlogon.admx |
Netlogon_DnsTtl
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_DnsTtl
此策略设置指定 Net Logon 服务注册的 SRV 资源记录中“生存时间 (TTL) ”字段的值。 这些 DNS 记录是动态注册的,用于查找域控制器 (DC) 。
若要为 DC 定位符 DNS 记录指定 TTL,请单击“已启用”,然后输入一个值(以秒 (为单位),例如,值“900”) 为 15 分钟。
如果未配置此策略设置,则不会将其应用于任何 DC,并且 DC 使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_DnsTtl |
友好名称 | 在 DC 定位符 DNS 记录中设置 TTL |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_ExpectedDialupDelay
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_ExpectedDialupDelay
此策略设置指定计算机在登录到网络时等待域控制器 (DC) 响应的额外时间。
若要在登录时指定预期的拨号延迟,请单击“已启用”,然后输入所需的值(以秒 (为单位),例如,值“60”) 为 1 分钟。
如果未配置此策略设置,则不会将其应用于任何计算机,并且计算机使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_ExpectedDialupDelay |
友好名称 | 指定登录时的预期拨号延迟 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_ForceRediscoveryInterval
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_ForceRediscoveryInterval
此策略设置确定 DC 定位符执行强制重新发现的间隔。
客户端使用域控制器定位器 (DC 定位器) 服务查找其 Active Directory 域的域控制器。 DC 定位器找到域控制器时,它会缓存域控制器,以提高定位算法的效率。 只要缓存的域控制器满足要求并正在运行,DC 定位器将继续返回它。 如果引入了新的域控制器,则现有客户端只有在 DC 定位符执行强制重新发现时才会发现它。 为了适应网络条件的变化,DC 定位器将默认根据特定的时间间隔执行强制重新发现,并在所有域或林中的所有可用域控制器之间保持客户端的有效负载均衡。 DC 定位符强制重新发现的默认时间间隔为 12 小时。 如果对 DC 定位符的调用使用DS_FORCE_REDISCOVERY标志,也可以触发强制重新发现。 重新发现会重置缓存域控制器条目上的计时器。
如果启用此策略设置,计算机上的 DC 定位符将根据配置的时间间隔定期执行强制重新发现。 最小时间间隔为 3600 秒 (1 小时) 以避免重新发现过多的网络流量。 允许的最大时间间隔为 4294967200 秒,而大于 4294967 秒 (~49 天的任何值) 将被视为无穷大。
如果禁用此策略设置,默认情况下,将每隔 12 小时对计算机使用强制重新发现。
如果未配置此策略设置,默认情况下,将每隔 12 小时对计算机使用强制重新发现,除非注册表中的本地计算机设置是不同的值。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_ForceRediscoveryInterval |
友好名称 | 强制重新发现间隔 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_GcSiteCoverage
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_GcSiteCoverage
此策略设置指定全局编录 (GC) 应为其注册特定于站点的 GC 定位符 DNS SRV 资源记录的站点。 除了为 GC 所在的站点注册的特定于站点的 SRV 记录外,还会注册这些记录,以及由配置为为没有最靠近 GC 的站点注册 GC 定位符 DNS SRV 记录的 GC 注册的记录。
GC 定位符 DNS 记录和特定于站点的 SRV 记录由 Net Logon 服务动态注册,它们用于查找 GC。 Active Directory 站点是一个或多个连接良好的 TCP/IP 子网,允许管理员配置 Active Directory 访问和复制。 GC 是包含 Active Directory 中每个域的部分副本 (replica) 的域控制器。
若要指定 GC 定位符 DNS SRV 记录所涵盖的站点,请单击“已启用”,然后以空格分隔的格式输入站点的名称。
如果未配置此策略设置,则不会将其应用于任何 GC,并且 GC 使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_GcSiteCoverage |
友好名称 | 指定 GC 定位符 DNS SRV 记录涵盖的站点 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_IgnoreIncomingMailslotMessages
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_IgnoreIncomingMailslotMessages
通过此策略设置,可以控制本地域控制器 (DC) 对传入邮件的处理。
注意
若要基于其 NetBIOS (单标签) 域名查找远程 DC,DC 定位符首先从在其本地客户端设置中配置的 WINS 服务器获取 DC 的列表。 然后,DC 定位符将邮件图块消息发送到每个远程 DC 以获取详细信息。 仅当远程 DC 响应 mailslot 消息时,DC 位置才会成功。
建议使用此策略设置来减少 DC 上的攻击面,并且可以在没有 WINS 的环境中、仅限 IPv6 的环境中使用,以及不需要基于 NetBIOS 域名的 DC 位置时使用。 此策略设置不会影响基于 DNS 名称的 DC 位置。
如果启用此策略设置,则此 DC 不会处理用于基于 NetBIOS 域名的 DC 位置的传入邮件。
如果禁用或未配置此策略设置,则此 DC 将处理传入邮件。 这是 DC 定位符的默认行为。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_IgnoreIncomingMailslotMessages |
友好名称 | 不要根据 NetBIOS 域名处理用于域控制器位置的传入邮件 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | IgnoreIncomingMailslotMessages |
ADMX 文件名 | Netlogon.admx |
Netlogon_LdapSrvPriority
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_LdapSrvPriority
此策略设置指定域控制器注册的 SRV 资源记录中的“优先级”字段, (应用此设置的 DC) 。 这些 DNS 记录由 Net Logon 服务动态注册,用于查找 DC。
SRV 记录中的“优先级”字段设置在 SRV 记录的“目标”字段) 中指定的目标主机 (首选项。 查询 SRV 资源记录的 DNS 客户端尝试联系列出的优先级最低的第一个可访问主机。
若要在 DC 定位符 DNS SRV 资源记录中指定优先级,请单击“已启用”,然后输入一个值。 值的范围为 0 到 65535。
如果未配置此策略设置,则不会将其应用于任何 DC,并且 DC 使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_LdapSrvPriority |
友好名称 | 在 DC 定位符 DNS SRV 记录中设置优先级 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_LdapSrvWeight
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_LdapSrvWeight
此策略设置指定域控制器注册的 SRV 资源记录中的“权重”字段, (应用此设置的 DC) 。 这些 DNS 记录由 Net Logon 服务动态注册,它们用于查找 DC。
除了优先级值之外,还可以使用 SRV 记录中的“权重”字段来提供负载均衡机制,其中 SRV 记录“目标”字段中指定了多个服务器,并且都设置为相同的优先级。 DNS 客户端随机选择要联系的目标主机的概率与 SRV 记录中的“权重”字段值成正比。
若要在 DC 定位符 DNS SRV 记录中指定权重,请单击“已启用”,然后输入一个值。 值的范围为 0 到 65535。
如果未配置此策略设置,则不会将其应用于任何 DC,并且 DC 使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_LdapSrvWeight |
友好名称 | 在 DC 定位符 DNS SRV 记录中设置权重 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_MaximumLogFileSize
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_MaximumLogFileSize
此策略设置指定启用日志记录时目录 %windir%\debug 中日志文件netlogon.log的最大大小(以字节为单位)。
默认情况下,日志文件的最大大小为 20MB。
如果启用此策略设置,日志文件的最大大小将设置为指定大小。 达到此大小后,日志文件将保存到netlogon.bak并截断netlogon.log。 应指定基于可用存储的合理值。
如果禁用或未配置此策略设置,则默认行为将如上所述。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_MaximumLogFileSize |
友好名称 | 指定最大日志文件大小 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_NdncSiteCoverage
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_NdncSiteCoverage
此策略设置指定托管应用程序目录分区的域控制器 (DC) 应为其注册特定于站点的特定于应用程序目录分区的 DC 定位符 DNS SRV 资源记录的站点。 除了为 DC 所在的站点注册的特定于站点的 SRV 记录之外,还会注册这些记录,以及由配置为为没有 DC 且离 DC 最近的站点注册 DC 定位符 DNS SRV 记录的 DC 注册记录的记录。
应用程序目录分区 DC 定位符 DNS 记录和特定于站点的 SRV 记录由 Net Logon 服务动态注册,它们用于查找特定于应用程序目录分区的 DC。 Active Directory 站点是一个或多个连接良好的 TCP/IP 子网,允许管理员配置 Active Directory 访问和复制。
若要指定 DC 定位符应用程序目录特定于分区的 DNS SRV 记录所涵盖的站点,请单击“已启用”,然后以空格分隔的格式输入站点名称。
如果未配置此策略设置,则不会将其应用于任何 DC,并且 DC 使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_NdncSiteCoverage |
友好名称 | 指定应用程序目录分区 DC 定位符 DNS SRV 记录涵盖的站点 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_NegativeCachePeriod
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_NegativeCachePeriod
此策略设置指定 () DC 定位符记住在域中找不到域控制器 (DC) 的时间量(以秒为单位)。 如果后续尝试在此设置中设置的时间内找到 DC,DC 发现会立即失败,而不会尝试查找 DC。
此设置的默认值为 45 秒。 此设置的最大值为 7 天 (72460*60) 。 此设置的最小值为 0。
警告
如果此设置的值太大,客户端不会尝试查找任何最初不可用的 DC。 如果此设置的值太小,即使没有可用的 DC,客户端也会尝试查找 DC。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_NegativeCachePeriod |
友好名称 | 指定负 DC 发现缓存设置 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_NetlogonShareCompatibilityMode
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_NetlogonShareCompatibilityMode
此策略设置控制由域控制器上的 Net Logon 服务创建的 Netlogon 共享 (DC) 是否应支持与早期应用程序的文件共享语义兼容。
如果启用此策略设置,则 Netlogon 共享将遵循文件共享语义,这些语义授予对共享上文件的独占读取访问权限的请求,即使调用方只有读取权限也是如此。
如果禁用或未配置此策略设置,则当请求独占访问权限且调用方仅具有读取权限时,Netlogon 共享将授予对共享上的文件的共享读取访问权限。
默认情况下,当请求独占访问权限时,Netlogon 共享将授予对共享上的文件的共享读取访问权限。
注意
Netlogon 共享是由 Net Logon 服务创建的共享,供域中的客户端计算机使用。 Netlogon 共享的默认行为可确保任何仅对 Netlogon 共享上的文件具有读取权限的应用程序都可以通过请求独占读取访问权限来锁定文件,这可能会阻止在域中的客户端上更新组策略设置。 启用此设置后,依赖于仅具有读取权限的 Netlogon 共享上锁定文件的功能的应用程序将能够拒绝组策略客户端读取文件,并且通常域上 Netlogon 共享的可用性将降低。
- 如果启用此策略设置,域管理员应确保域中唯一使用独占读取功能的应用程序是管理员批准的应用程序。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_NetlogonShareCompatibilityMode |
友好名称 | 设置 Netlogon 共享兼容性 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | AllowExclusiveScriptsShareAccess |
ADMX 文件名 | Netlogon.admx |
Netlogon_NonBackgroundSuccessfulRefreshPeriod
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_NonBackgroundSuccessfulRefreshPeriod
此策略设置确定何时刷新成功的 DC 缓存条目。 此策略设置应用于不定期尝试查找 DC 的调用方程序,并在将 DC 信息返回到调用方程序之前应用。 此策略设置仅与未指定 DS_BACKGROUND_ONLY 标志的 DsGetDcName 的调用方相关。
此设置的默认值为 30 分钟 (1800) 。 此设置的最大值为 (4294967200) ,而不被视为无穷大的最大值为 49 天 (492460*60=4233600) 。 任何较大的值都将被视为无穷大。 此设置的最小值是始终刷新 (0) 。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_NonBackgroundSuccessfulRefreshPeriod |
友好名称 | 为非后台调用方指定正定期 DC 缓存刷新 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_PingUrgencyMode
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_PingUrgencyMode
此策略设置配置在尝试查找域控制器 (DC) 时,应用此设置的计算机是否更具攻击性。
当环境具有大量同时运行旧操作系统和新操作系统的 DC 时,默认 DC 定位符发现行为可能不足以找到运行较新操作系统的 DC。 可以通过以更高的频率 ping DC 来启用此策略设置,以便将 DC 定位器配置为更积极地尝试在此类环境中查找 DC。 启用此设置可能会导致更多的网络流量和 DC 上的负载增加。 所有 DC 运行同一 OS 版本后,应禁用此设置。
此设置的允许值会导致以下行为:
1 - 计算机将以正常频率 ping DC。
2 - 计算机将以更高的频率对 DC 执行 ping 操作。
若要指定此行为,请单击“已启用”,然后输入一个值。 值的范围为 1 到 2。
如果未配置此策略设置,则不会将其应用于任何计算机,并且计算机使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_PingUrgencyMode |
友好名称 | ping 域控制器时使用紧急模式 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_ScavengeInterval
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_ScavengeInterval
此策略设置确定 Netlogon 执行以下清理操作的间隔:
检查安全通道上的密码是否需要修改,并在必要时对其进行修改。
在域控制器 (DC) 上,发现尚未发现的 DC。
在 PDC 上,尝试添加
<DomainName>
[1B] NetBIOS 名称(如果尚未成功添加)。
这些操作都不是关键操作。 除极端情况外,15 分钟是最佳选择。 例如,如果 DC 通过昂贵的 ((例如 ISDN) 行)与受信任的域分离,则此参数可能会向上调整,以避免频繁自动发现受信任域中的 DC。
若要启用此设置,请单击“已启用”,然后指定间隔(以秒为单位)。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_ScavengeInterval |
友好名称 | 设置寻道间隔 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_SiteCoverage
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_SiteCoverage
此策略设置指定域控制器 (DC) 注册特定于站点的 DC 定位符 DNS SRV 资源记录的站点。 除了为 DC 所在的站点注册的特定于站点的 SRV 记录之外,还会注册这些记录,以及由配置为为没有 DC 且离 DC 最近的站点注册 DC 定位符 DNS SRV 记录的 DC 注册记录的记录。
DC 定位符 DNS 记录由 Net Logon 服务动态注册,并用于查找 DC。 Active Directory 站点是一个或多个连接良好的 TCP/IP 子网,允许管理员配置 Active Directory 访问和复制。
若要指定 DC 定位符 DNS SRV 记录所涵盖的站点,请单击“已启用”,然后以空格分隔的格式输入站点名称。
如果未配置此策略设置,则不会将其应用于任何 DC,并且 DC 使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_SiteCoverage |
友好名称 | 指定 DC 定位符 DNS SRV 记录涵盖的站点 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_SiteName
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_SiteName
此策略设置指定计算机所属的 Active Directory 站点。
Active Directory 站点是一个或多个连接良好的 TCP/IP 子网,允许管理员配置 Active Directory 访问和复制。
若要指定此设置的网站名称,请单击“已启用”,然后输入站点名称。 如果未指定计算机所属的站点,计算机会自动从 Active Directory 发现其站点。
如果未配置此策略设置,则不会将其应用于任何计算机,并且计算机使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_SiteName |
友好名称 | 指定站点名称 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
ADMX 文件名 | Netlogon.admx |
Netlogon_SysvolShareCompatibilityMode
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_SysvolShareCompatibilityMode
此策略设置控制由域控制器上的 Net Logon 服务创建的 SYSVOL 共享 (DC) 是否应支持文件共享语义与早期应用程序的兼容性。
启用此设置后,SYSVOL 共享将遵循文件共享语义,这些语义授予对共享上文件的独占读取访问权限的请求,即使调用方只有读取权限也是如此。
禁用或未配置此设置时,当请求独占访问权限且调用方仅具有读取权限时,SYSVOL 共享将授予对共享上的文件的共享读取访问权限。
默认情况下,请求独占访问权限时,SYSVOL 共享将授予对共享上的文件的共享读取访问权限。
注意
SYSVOL 共享是由 Net Logon 服务创建的共享,供域中组策略客户端使用。 SYSVOL 共享的默认行为可确保任何仅对 sysvol 共享上的文件具有读取权限的应用程序都可以通过请求独占读取访问权限来锁定文件,这可能会阻止在域中的客户端上更新组策略设置。 启用此设置后,依赖于仅具有读取权限的 SYSVOL 共享上锁定文件的功能的应用程序将能够拒绝组策略客户端读取文件,并且域中 SYSVOL 共享的可用性通常会降低。
如果启用此策略设置,域管理员应确保域中唯一使用独占读取功能的应用程序是管理员批准的应用程序。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_SysvolShareCompatibilityMode |
友好名称 | 设置 SYSVOL 共享兼容性 |
位置 | “计算机配置” |
路径 | System > Net Logon |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | AllowExclusiveSysvolShareAccess |
ADMX 文件名 | Netlogon.admx |
Netlogon_TryNextClosestSite
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_TryNextClosestSite
如果找不到同一站点中的 DC,则此策略设置允许 DC 定位器尝试根据站点链接成本在最近的站点中查找 DC。 在具有多个站点的方案中,在 DC 位置期间故障转移到下一个最近的站点可以更有效地简化网络流量。
客户端使用 DC 定位器服务来查找其 Active Directory 域的域控制器。 DC 定位符的默认行为是在同一站点中查找 DC。 如果在同一站点中找不到,则 DC 定位符可能会返回另一个站点中的 DC(可能是多个站点跃点)。 两个站点之间的站点邻近度取决于它们之间的网站链接总成本。 如果网站链接成本低于另一个网站链接成本较高的网站,则网站更近。
如果启用此策略设置,将为计算机启用“尝试下一个最近站点 DC 位置”。
如果禁用此策略设置,默认情况下不会对计算机使用“下一个最近站点 DC 位置”。 但是,如果显式使用 DS_TRY_NEXTCLOSEST_SITE 标志进行 DC 定位符调用,则会遵循“尝试下一个最近的站点”行为。
如果未配置此策略设置,则默认情况下不会对计算机使用“下一个最近站点 DC 位置”。 如果显式使用DS_TRY_NEXTCLOSEST_SITE标志,将使用“下一个最近的网站”行为。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_TryNextClosestSite |
友好名称 | 尝试下一个最近的站点 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | TryNextClosestSite |
ADMX 文件名 | Netlogon.admx |
Netlogon_UseDynamicDns
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Netlogon/Netlogon_UseDynamicDns
此策略设置确定是否启用了域控制器 (DC) 定位符 DNS 资源记录的动态注册。 这些 DNS 记录由 Net Logon 服务动态注册,并由定位器算法用来查找 DC。
如果启用此策略设置,则应用此设置的 DC 通过已启用动态 DNS 更新的网络连接动态注册 DC 定位符 DNS 资源记录。
如果禁用此策略设置,DC 不会注册 DC 定位符 DNS 资源记录。
如果未配置此策略设置,则不会将其应用于任何 DC,并且 DC 使用其本地配置。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | Netlogon_UseDynamicDns |
友好名称 | 指定 DC 定位符 DNS 记录的动态注册 |
位置 | “计算机配置” |
路径 | System > Net Logon > DC 定位符 DNS 记录 |
注册表项名称 | Software\Policies\Microsoft\Netlogon\Parameters |
注册表值名称 | UseDynamicDns |
ADMX 文件名 | Netlogon.admx |