第18章 Windows Server 组策略应用Word下载.docx
《第18章 Windows Server 组策略应用Word下载.docx》由会员分享,可在线阅读,更多相关《第18章 Windows Server 组策略应用Word下载.docx(59页珍藏版)》请在冰豆网上搜索。
本地组策略对象存储在各个本地计算机上。
一台计算机上只存储一个本地组策略对象,而且它拥有在非本地组策略对象中可用的设置的一个子集。
如果二者的设置发生冲突,则非本地组策略对象的设置会覆盖本地组策略对象的设置;
如果不冲突,则都可以应用。
存储在域控制器中的非本地组策略对象只能在ActiveDirectory环境下使用。
它们会应用到与组策略对象相关联的站点、域或组织单位中的用户和计算机。
默认情况下,安装ActiveDirectory时,会创建两个非本地组策略对象:
“DefaultDomainPolicy”与域链接,它通过策略继承影响域中的所有用户和计算机(包括作为域控制器的计算机)。
“DefaultDomainControllersPolicy”与“DomainControllers”组织单位链接,它通常只影响域控制器,因为域控制器的计算机帐户单独保存在“DomainControllers”组织单位中。
组策略权限
默认情况下,只有域管理员、企业管理员、组策略生成器所有者和操作系统才可以创建新的组策略对象。
如果域管理员希望非管理员或组能够创建组策略对象,则可以将该用户或组添加到GroupPolicyCreatorOwners安全组中。
当不是管理员、但身为GroupPolicyCreatorOwners组成员的用户创建组策略对象时,该用户即成为该组策略对象的创建者和所有者;
因此,该用户可以编辑该组策略对象。
成为GroupPolicyCreatorOwners组的成员后,用户只能完全控制自己所创建的组策略对象(该组策略对象已明确委派给该用户)。
非管理员用户对于域中任何其他组策略对象都没有额外的权利—这些用户对于别人创建的组策略对象并没有权利。
如表18-1描述了组策略对象上的默认权限。
表18-1组策略对象上的默认权限
安全组
默认设置
AuthenticatedUsers
读取、应用组策略(AGP)
LocalSystem
完全控制(包含AGP)
Domainadministrators
读取、写入、创建子组策略对象、删除子组策略对象、AGP
Administrators
读取、写入、创建子组策略对象、AGP
GroupPolicyCreatorOwners
读取、写入、AGP
默认情况下,任何管理员都无法删除组策略对象“DefaultDomainPolicy”。
这种限制的目的在于防止意外删除该组策略对象,它包含该域的重要和必要设置。
如果因为某种原因必须删除“DefaultDomainPolicy”,则必须明确地向相应的组授予“删除”权限。
这是组策略对象上的高级访问控制项(ACE)。
下面简要介绍几个标准权限:
默认情况下,GPO给予域管理员组,企业管理员组、组策略创建拥有者组和系统组中的成员,除“采用组策略”以外的权限。
这意味着这四个组能编辑GPO,但包含在GPO中的策略不能应用在他们身上。
●应用组策略:
在标准组策略对象权限中还有一条就是应用组策略,如果哪个用户被赋予了这个权限和读取权限,那么这条组策略将对该帐号起作用。
●如果已经将域和企业管理小组设为对某组策略无应用权限,那么即使其中的小组成员被授予应用权限,由于拒绝权限总是优先于允许权限,所以,小组成员依然选用被拒绝应用组策略权限。
●删除组策略权限:
这个权限较易理解,那就是谁删除本条组策略的权限,谁就能删除一条组策略。
●安全子页中的高级选项中的特殊权限,审核及所有者概念上均与以前讲的组织单位的安全页一致,只是要搞清楚这里的“安全”页设置针对的是GPO就不会出问题。
策略继承
一般情况下,域中的组策略会从父容器传递到子容器。
但是组策略不会从父域继承到子域,例如,从创建地组策略不会继承到。
如果为一个高级别的父容器指派特定的组策略设置,则该组策略将应用到该父容器下的所有容器,包括每个容器中的用户和计算机对象。
但是,如果您为某个子容器明确指定了组策略设置,则该子容器的组策略设置将覆盖父容器的设置。
如果父组织单位具有未配置的策略设置,则子组织单位将不会继承这些设置。
禁用的策略设置被继承之后还是禁用的。
此外,如果父组织单位已经配置了一个策略设置(启用或禁用),而子组织单位并未配置同一策略设置,则子组织单位会继承父组织单位的启用或禁用的策略设置。
如果应用到父组织单位的策略设置与应用到子组织单位的策略设置兼容,则子组织单位会继承父组织单位的策略设置,而且还会应用子组织单位的策略设置。
如果为父组织单位配置的策略设置与为子组织单位配置的同一策略设置不兼容(因为在某种情况下设置是启用的,而在另一种情况下设置是禁用的),子组织单位就不继承父组织单位的策略设置。
这时会应用子组织单位中的设置。
阻止继承
可以在域或组织单位级别阻止策略继承,方法是打开域或组织单位的属性对话框,并选中“阻止策略继承”复选框。
阻止继承的两个局限:
1.“阻止策略继承”无法选择阻止哪个上级组织单位的GPO,要阻止,就都阻止。
2.如果上级组织单位的一条GPO设为“禁止替代”,子组织单位此时再选阻止继承就不能阻止这条上级组织单位的GPO继承到子组织单位。
如果这条“禁止替代”的上级GPO被链接到子组织单位中,那么也阻止不了它起作用。
强迫继承
可以强迫策略继承,方法是在组策略对象链接上设置“禁止替代”选项。
选中“禁止替代”复选框后,就会强迫所有子策略容器继承父策略,即使这些策略与子策略相冲突,或者即使已为子容器设置了“阻止继承”选项。
可以在组策略对象链接上设置“禁止替代”选项,方法是打开站点、域或组织单位的属性对话框,并选中“禁止替代”复选框。
注意:
设置为“禁止替代”的策略并不能被阻止。
18.1.2创建一个组策略
对于组策略来说,我们一般通过将组策略对象链接到ActiveDirectory对象(站点、域或组织单位),可以应用基于ActiveDirectory的组策略。
“用户配置”下的组策略设置应用到用户,“计算机配置”下的组策略设置应用到计算机。
下面我们就以组织单位为例来讲解如何创建一个组策略。
步骤:
1.登录域控制器,打开“ActiveDirectory用户和计算机”,在“ActiveDirectory用户和计算机”中,选择想要设置组策略的组织单位,单击鼠标右键,选择“属性”。
2.在弹出的页面中单击“组策略”选项卡(如图18-1)
图18-1组织单位的属性页中的组策略项
3.此时组策略链接栏中是空的,因为尚未创建组策略。
此时,只有新建和添加两按钮是黑的,其它接钮均为灰色。
下面分别就这几个按钮介绍组策略的结构。
“新建”按钮
按“新建”按钮可以创建新的组策略对象,也称GPO(Grouppolicyobject)。
在一个活动目录容器下可以创建多条组策略,按最右边的“向上和向下”键,可以调整组策略的顺序,而组策略在执行时,它会按从下到上的顺序一条一条执行。
4.点“新建”按钮,出现(如图18-2)所示。
图18-2新建组策略对象
此时你可以输入这个组策略对象的描述,如“技术部员工”对你所创建策略的一个概况性的描述。
如果不输入任何文字,用鼠标直接点“新建组策略对象”,其余几个按钮如编辑、选项、删除、属性均亮起来,只有“向上、向下”还是灰色的。
(如图18-3)
图18-3选中组策略后的画面
“添加”按钮
GPO即组策略对象和站点,域以及组织单无可以连接在一起,建立这种连接之后,GPO的设置将应用在站点,域或组织单元内的用户和计算机上。
那么怎样连接呢?
这就要用到“添加”键。
下面介绍组策略的连接。
1.单击“添加”按钮。
将弹出如图18-4所示的“添加组策略对象链接”界面。
图18-4添加组策略对象链接
出现的页面中又有三个子页,这三个子页分别提供了三个范围,一个是域/组织单位,第二个是站点,第三个是全部。
我们在“查找范围”中选择整个域,如图18-5。
现以“缺省的域策略”为例,我们在“域/组织单位”项上选中“defaultdomainpolicy”,并点“确定”。
出现(如图18-6)所示的情况,在“组策略对象链接”栏中出现了“defaultdomainpolicy”
图18-5添加组策略对象链接
图18-6添加“defaultdomainpolicy”到组织单位
其实,添加组策略链接使创建组策略的工作方便了,否则就要一个一个策略的创建并设置,其工作量太大了。
管理员可以将GPO和多个站点,域以及组织单元链接,这为不同站点、域以及组织单元的计算机和用户配置相同的组策略提供了可能。
也可以将多个GPO和单个站点、域以及组织单元链接。
管理员不能将GPO和默认的活动目录容器---计算机、用户和Builtin(内置组)相连,因为它们不是组织单位。
“编辑”按钮
1.选中一条组策略对象,然后选“编辑”按钮。
(如图18-7)
图18-7打开一条组策略对象
2.可以看到一条组策略由两部分组成:
一部分是针对计算机的设置,另一部分是针对用户的设置,其中具体的设置方法后续章节会详细介绍。
“选项”按钮
1.在组策略项中选中一条组策略对象。
2.按“选项”按钮。
3.出现(如图18-8)所示页面。
图18-8组策略对象的选项
4.组策略选项中共有两个多选框,下面分别介绍它们。
●禁止替代:
如果你相让一条组策略对象绝对地应用于此组织单位,而不受别的组策略对象的限制,就选这个复选框。
换句话说,当这条组策略对象的设置与别的本组织单位中的其它组策略对象发生冲突时,其它组策略对象的设置不起作用,所以重要的GPO要选“禁止替代”。
当不止一个组策略链接设为不重写时,并且连接的GPO全应用于同一个容器中时,如果其中包括冲突的设置,那么,在活动目录中最高层的GPO优先起作用。
●已禁用:
表明选中的组策略对象对这个组织单位不起作用。
“禁止替代”和“已禁用”都是针对某一组策略对象而言,而组策略对象又对组织单位中的用户和计算机起作用。
在学习活动目录组策略的过程中,由于内容较新,新概念又多,一定要明确哪些菜单,哪些选项对什么目标起作用,否则东西一多就容易混淆。
“选项”按钮旁边还有一个“删除”按钮,选中某GPO后,点“删除”即可将它删除;
这一功能很简单,就不单用一节来讲解。
“属性”按钮
1.在组织单位属性页的组策略子页中,选中一组策略,然后点“属性”按钮。
2.将弹出如图18-9所示的页面。
图18-9组策略的属性
组策略的属性由四个页面组成;
下面分别介绍:
1.常规:
常规中的摘要栏提供了这条组策略对象的一些信息,如创建的时间、修改的时间等。
各项设置对组织单位中的用户和计算机起作用,如果你只想对计算机起作用或只想对用户起作用,就可以在禁用复选框中选中要禁用的那一项。
这种做法可以提高域控制器在活动目录中查找组策略时的性能。
原因也很简单,因为域控制器在应用组策略时是一项一项查对其中的设置,如果禁用了计算机或用户设置,那么就不用再费时间去遍历每一项设置,因此,禁用此组策略对象的不用部分可以提高性能。
2.链接:
如图18-10。
图18-10组策略对象属性项中的链接项
这一页面的作用是让使用者查到此条组策略对象存在的位置,是站点还是域?
还是某个组织单元?
先选择域的范围,然后点“立即查找”,过一会儿,在“发现站点或部门”栏就可以列出本条组策略对象所在位置(如图18-11)。
图18-11查找组策略对象的位置
3.“安全”子页
首先要明确这个安全项是针对某一条组策略对象的,不要将这里的权限与组织单位属性页上的“安全”子页混淆。
如图18-12就是安全页的外观。
图18-12安全项
WindowsServer2003中的各种安全页形式上都一样,都是上面是用户或组,下栏是标准权限,都有高级选项,只不过权限的应用对象不同,以及权限的内容不同。
●要想有创建GPO的权限,WindowsServer2003中默认的情况是:
只有系统帐户以及域管理员、企业管理员,GPO创建拥有者小组的成员才可创建GPO。
GPO创建拥有者小组的意思是如果一个帐户是某GPO的所有者,那么与他同组的帐户也拥有创建GPO的权限。
如果让一非管理人员小组来创建GPO,就必须把该人员或小组添加到组策略拥有者的安全小组中。
●编辑GPO,要想能编辑某个GPO,用户必须拥有访问该GPO的读写权限。
●过滤GPO作用域:
GPO内的策略只适用于那些对该GPO有读取权限的用户,用这种办法可以实现过滤GPO的功能。
方法是通过取消某帐户对GPO的权限来防止对特定组使用策略。
表18-1权限与GPO的应用结果
GPO作用域
选择权限
结果
GPO应用到该组
读取+采用组策略均为allow
该GPO适用于该组成员,除非有一个其他组(也包含该组用户)将读取或采用组策略设为deny
在该GPO中删除该组
读取+采用组策略均为deny
不论这些成员在其他组中有何权限,该GPO不适用与该组
不论GPO是否使用,该安全组的成员都无关
读取+采用组策略均不设置
除非该组成员同时又属于另一组,且这个组对GPO有读取+采用组策略均为allow,那该组成员将应用该组策略;
否则,该组成员不应用该组策略。
4.WMI筛选
可利用WMI筛选器指定一个基于WMI的查询,如图18-13。
以筛选组策略对象的应用。
WMI筛选器是用WMI查询语言(WQL)编写的。
WMI筛选器只适用于运行WindowsXPProfessional、WindowsXP64-BitEdition和WindowsServer2003操作系统的客户端计算机。
Windows2000客户端计算机会忽略与组策略对象相关的WMI筛选器。
图18-13WMI筛选
管理员可以用WMI筛选器来指定基于WMI的查询,这样就能对组策略对象的效果进行筛选,并可对异常事件进行管理。
18.1.3组策略权限委派
委派组策略对象的创建权限
将一个非管理员帐户(要求有本地登录权限)加入组策略创建拥有者小组后,他就能创建GPO了。
1.打开ActiveDirectory用户和计算机。
2.单击控制台树中的“Users”。
3.在详细信息窗格的“名称”列中,在“GroupPolicyCreatorOwners”上单击鼠标右键,选择“属性”。
也可以双击“GroupPolicyCreatorOwners”。
如图18-14
图18-14属性
4.在“GroupPolicyCreatorOwners属性”对话框中,单击“成员”选项卡。
如图18-15。
图18-15GroupPolicyCreatorOwners属性
5.单击“添加”,然后输入要向其委派创建权限的用户或安全组的名称,然后单击“确定”,返回“成员”选项卡窗口。
如图18-16。
单击“确定”完成委派组策略对象的创建权限。
图18-16成员
委派组策略对象的编辑权限
1.在MMC控制台中,单击“添加/删除管理单元”,在添加独立管理单元。
打开“组策略对象编辑器”,如图18-17。
在弹出的“选择组策略对象”页面中单击“浏览”按钮,如图18-18,在弹出的“浏览组策略对象”页面,单击“全部”选项卡,选择刚才创建的“技术部员工”组策略,如图18-19。
图18-17添加独立管理单元
图18-18选择组策略对象
图18-19选择技术部员工组策略
2.在控制台树中,右键单击组策略对象的图标或名称,然后单击“属性”。
如图18-20。
图18-20属性
3.要添加用户或用户组,请单击“安全”选项卡,然后单击“添加”,如图18-21。
输入用户名或用户组名,然后单击“确定”。
如图18-22。
我们可以在“安全”选项卡中看到新添加的用户,如图18-23。
图18-21安全选项卡
图18-22用户
图18-23安全
4.然后赋予此用户或组对组策略对象的编辑权限,请在“许斌辉的权限”中,选中与要赋予的权限相对应的复选框。
完成操作后,请单击“确定”。
如图18-24。
图18-24安全设置
5.完成操作后,单击“确定”。
委派组策略对象的链接权限
2.右键单击要向其委派链接组策略对象权限的组织单位,然后单击“委派控制”如图18-25。
图18-25委派控制
3.在控制委派向导中,单击“下一步”,然后单击“添加”。
如图18-26。
图18-26用户和组
4.在“选择用户、计算机或组”对话框中,输入要选择的对象名称,然后依次单击“确定”返回,然后“下一步”。
如图18-27。
图18-27添加用户和组
5.在“要委派的任务”页中的“委派下列常见任务”中,选中“管理组策略链接”复选框,然后单击“下一步”。
如图18-28。
图18-28委派任务
6.单击“完成”。
如图18-29。
图18-29完成
18.1.4解决组策略之间的冲突
当发生冲突时,默认是执行最新的设置。
新添加的组策略都是在下方,所以组策略是按由下向上的顺序执行。
如果一条策略中的计算机设置与用户设置冲突,那么计算机设置优先于用户设置。
组策略是积累的,除非2个或几个组策略之间发生冲突,否则所有组策略都将影响用户和计算机。
当发生冲突时,活动目录按照如下的原则确定执行哪个组策略设置:
●来自父容器的GPO设置如果和子容器的GPO设置冲突,子容器的设置优先执行。
●同一组织单位上的不同GPO冲突,低位置的优先执行。
组策略设置优先于用户配置文件设置。
18.2设置组策略管理用户环境
使用组策略设置,可定义用户桌面环境的配置。
打开“组策略对象编辑器”,我们可以看到所有的组策略都包括“计算机配置”和“用户配置”这两个设置项。
如图18-30。
而且从菜单上可以看出,不管是计算机配置还是用户配置,下面都有三个子层:
“软件设置”,“Windows设置”和“管理模板”。
下面我们将分别介绍这些项目。
图18-30组策略
18.2.1组策略设置的结构
软件设置:
“计算机配置\软件设置”文件夹包含适用于登录到该计算机的所有用户的软件设置。
该文件夹包含软件安装设置,并可能包含由独立软件供应商放置在该文件夹中的其他设置。
“用户配置\软件设置”文件夹包含无论用户登录到哪台计算机均适用的软件设置。
该文件夹还包含软件安装设置,并可能包含由独立软件供应商放置在该文件夹中的其他设置。
这里面的主要功能我们将在后面专门介绍这一部分的内容。
(如图18-31)
图18-31软件设置
Windows设置
计算机配置\Windows设置文件夹包含适用于登录到该计算机上的所有用户的Windows设置。
该文件夹还包含如下项目:
“安全设置”和“脚本”。
用户配置\Windows设置文件夹包含不论用户登录到哪台计算机均适用的Windows设置。
“远程安装服务”,“InternetExplorer维护”“文件夹重定向”、“安全设置”和“脚本”。
(如图18-32)
图18-32Windows设置
管理模板
管理模板主要解决用户环境的问题。
这些文件夹包含注册表设置。
计算机配置中的管理模板有Windows组件、系统、网络、打印机;
而用户配置中有Windows组件、系统、网络,还有与计算机配置不同的桌面和控制面板及任务栏和[开始]菜单。
(如图18-33)
图18-33管理模板
18.2.2计算机配置中的Windows设置
脚本(启动/关闭)
组策略脚本设置可以集中配置脚本,在计算机启动、关闭时自动运行。
可以指定在WindowsServer2003上运行任何脚本,包括批处理文件,可执行程序等。
有了脚本,受GPO作用的计算机开启并进入操作系统后,将自动运行这个脚本程序来完成管理员想完成的工作。
(如图18-34)
图18-34脚本
安全设置
安全设置下面有帐户策略、本地策略、事件日志、无限制的组、系统服务、注册表、文件系统、公钥策略、IP安全策略这九个子树,将所有子树展开后,如图18-35。
18-35展开的安全设置
安全设置中的每条设置都对组织单位中的计算机起作用。
18.2.3管理模板
计算机配置中的管理模板主要控制计算机桌面的外观和行为。
(如图18-36)
图18-36计算机配置中的管理模板
管理模板下有Windows组件、系统和网络三个子树以及打印机共四个组件,其中三个子树下又有分类。
windows组件
首先看一看Windows组件,这里规定了一些操作系统自带的组件,如IE、Netmeeting、任务计划等
升级会员 