51CTO下载Active+Diretory+全攻略组策略.docx
《51CTO下载Active+Diretory+全攻略组策略.docx》由会员分享,可在线阅读,更多相关《51CTO下载Active+Diretory+全攻略组策略.docx(43页珍藏版)》请在冰豆网上搜索。
51CTO下载Active+Diretory+全攻略组策略
组策略与OU中的组没有关系,不要混淆了。
系统管理员可利用组策略来管理AD数据库中的计算机与用户。
例如:
用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的脚本文件、文件重定向、软件安装等。
一、组策略的基本概念
1、组策略的设置数据保存在AD数据库中,因此必须在域控制器上设置组策略。
2、组策略只能够管理计算机与用户。
也就是说组策略是无法管理打印机、共享文件夹等其它对象。
3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU)
4、组策略不适用于WINDOWS9X/NT的计算机,所以应用到这些计算机上无效。
5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略来管理。
注意一下:
本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置与用户设置。
GPO的特性:
组策略的设置数据都是保存在“组策略对象“(GPO)中,GPO具有以下特性:
1、GPO利用ACL记录权限设置,可以修改个别GPO的ACL,指定哪些人对该GPO拥有何种权限。
2、用户只要有足够的权限,便能够添加或删除GPO,但无法复制GPO。
当AD域刚建好时,默认仅有一个GPO--DEFAOLTDOMAINPOLICY。
这个GPO可用来管理域中所有的计算机与用户。
若要设置应用于组织单位的组策略,通常会再另行建立GPO,以方便管理。
GPO的内容:
GPO有两大类策略:
1、计算机设置:
包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。
2、用户设置:
包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。
下面来看下
打开属性
可以看到这里只有一个,而且是默认的。
点编辑
来到这个默认GPO编辑器。
在这个域树结构中,计算机设置和用户设置称为节点(NODE)而这两个节点又都包含了软件设置、WINDOWS设置和系统管理模块三个子节点。
介绍如下:
软件设置:
此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。
WINDOWS设置:
在这里,系统管理员能够设置脚本文件、建立帐户策略、指派USERRIGHT和集中管理用户配置文件。
WINDOWS设置在计算机设置与用户设置内,分别有不同的设置项目:
在计算机设置的WINDOWS设置中,能够设置脚本文件与安全性设置策略。
在用户设置的WINDOWS设置中,能够设置INTERNETEXPLORER维护、脚本文件、安全性设置、远程安装服务与文件重定向策略。
系统管理模板:
所有涉到注册表的策略都集成在主个子节点下。
系统管理模板在计算机设置能够设置WINDOWS元件、系统、网络与打印机策略。
在用户设置的系统管理模板,能够设置WINDOWS元件、开始菜单、和任务栏、桌面控制台、网络与系统策略。
GPO与SDOU的连接关系:
GPO本身保存组策略的设置值,必须要进一步指定GPO连接一哪个SDOU,才能使用组策略在应用对象生效。
GPO与SDOU间的连接关系,可以是一对一,一对多或多对一。
2、组策略的应用机制:
两项特性:
继承与累加
策略继承:
在AD结构中,若X容器下层还有Y容器,则Y容器便是所谓的”子容器“,X,Y容器两者间便存在策略关系。
在默认情况下子容器会继承来自上层容器的GPO。
在整个继承关系中,最上层为站点,其下层为域与组织单位。
若有多层组织单位,则下层组织单位会继承上层组织单位的GPO。
策略累加:
策略累加机制和组策略的应用顺序有密切的关系,假设将域FLAG。
COM连接到GPO-F,将组织单位PRODUCT与EMLPOYE分别连接到GPO-P和GPO-E。
PRODUCT与EMPLOYE这两个组织单位除了本身的组策略外,还会继承来自上层容器策略。
子容器会首先应用继承来自上层容器的组策略,然后再应用本身的组策略,当上层的设置项目与下层的设置项目不同时,组策略的效果可以相加,但若是对同一个项目做不同的设置,则先应用的策略会被后来应用的策略覆盖。
何时应用组策略:
开机/登录:
当计算机开机时,域控制器会根据计算机帐户在AD中的位置,决定该计算机必须应用哪些GPO。
此时仅应用这些GPO中计算机设置的部分。
用户登录时,即按CTRL+ALT+DEL后,输入账号和密码。
域控制器会根据用户帐户在AD中的位置,决定该用户必须应用哪些GPO。
此时仅应用这些GPO中用户设置的部分。
一般而言,都是计算机顺利启动之后,用户才能用该计算机登录域,因此,在实际上是先应用计算机设置,后应用用户设置。
不过,这里出现一个值得注意的现象,当计算机设置和用户设置发生冲突时,若依照前面的概念,应该是后应用的用户设置覆盖掉先应用的计算机设置,然而并不是这样,事实是计算机设置覆盖掉用户设置。
此外由于计算机与用户可能分别隶属不同的站点、域或组织单位,因此,各自可能会继承不同的GPO。
,由图可知,X用户隶属于A2组织单位,Y计算机隶属于B2组织单位,当X用户从Y计算机开机并登录域时,应用GPO的情形如下:
1、当计算机开机时,会依次应用GPO1--GPO2--GPO3--GPO4中计算机设置的部分
2、当用户登录时,会依次应用GPO1--GPO2--GPO5中用户设置的部分。
重新应用组策略
实际更新组策略的间隔是以随机数产生,以90--120分钟的范围,倘若要强迫立即应用组策略,可执行GPUPDATE。
EXE。
组策略的应用顺序:
最先应用本机的组策略,其次为站点的组策略,再其次为域的组策略,然后是组织单位的组策略。
倘若不考虑不可强制覆盖和不要继承策略,策略则是“后应用的设置值覆盖先应用的设置值。
3、下面来建立与管理组策略
建立和应用组策略
以组织单位上建立为例
点属性
点新建
新建了一个并重新命名了。
即这个GPOFOR业务部对象连接到了组织单位业务部。
由于现在对此GPO没做任何设置,因此该组策略没有任何能力
设置阻碍策略继承与不可强制覆盖
如果不希望业务部继承上层的组策略,则对该组织单位设置阻碍策略继承,如果希望业务部在下层组织单位都能够有效,不被其它组策略覆盖。
看下面
在阻止策略继承打上勾。
然后如图打上勾便可。
与已有的GPO建立连接关系。
可选取要连接的GPO。
按确定。
调整GPO的应用顺序
当同一个对象连接到多个GPO时,系统管理员可以决定应用顺序,在组策略选项卡中,排在比较下面的GPO会先应用。
当各个策略的设置发生冲突时,较晚应用于的策略(排在上面的GPO)会覆盖较先应用的策略(排在下面)。
选取后按向上或向下即可。
删除GPO与中断连接
假如要删除如上图选中的
这里有两个选项。
选第一个是将中断所有容器与这个GPO的连接,但不删除此GPO。
点是
禁用GPO计算机设置或用户设置
应用组策略会延长计算机开机与用户登录所耗费的时间,而且连接的GPO愈多,花费的时间就越久,由于每一个GPO都有计算机设置和用户设置两个节点,我们可以禁用其中一个节点的设置来加快登录速度:
点属性
下面有两个选项,比如选禁用计算机设置。
选是。
筛选组策略
在正常情况下,将某个组策略应用到SDOU后,隶属于该SDOU的用户与计算机都受到此策略的影响,假设DOMIANADMIN组排除在外,不受该组策略的影响,此时就会用到筛选功能。
其实就是改变GPO的ACL而已。
计算机与用户之所以受到组策略影响,是因为它们默认对于该GPO有读取和应用组策略两种权限,以下示范一下:
点属性
点属性
勾选拒绝,表示不赋予权限给用户、计算机或组。
都不勾选,则表示隐含拒绝。
代表一种强有力较弱的拒绝,无法覆盖允许。
以DEFAULTDOMAINPOLICY应用于ADMINISTRATOR帐户的默认情形为例。
ADMINISTRATOR同时隶属于AUTHENTICATEDUSERS、DOMAINADMINS、与ENTERPRISEADMINS三个组,后两个组对于DEFAULTDOMIANPOLICY没设置允许或拒绝,属于隐含拒绝。
但是AUTHENTICATEDUSERS组、对于DEFAULTDOMAINPOLICY有读取和应用组策略两项权限,所以ADMINISTRATOR还是受到该组策略的约束。
通常规划组策略时,有两种逻辑:
1、策略允许,例外拒绝:
保留对AUTHENTICATEDUSERS组,让所有登录域的人都应用组策略。
再针对特定的组拒绝应用组策略,这种方式相当于先关闭大门,再逐一过滤放行,安全较高。
2、策略拒绝,例外允许:
自ACL中删除AUTHENTICATEDUSERS组,让所有登录域的人都不应用组策略,然后对于需要应用组策略的组和用户,个别”允许读取“与”允许应用组策略两项权限,两项权限,这咱方式相当于先敞开大门,再逐一过滤拦阻,稍有疏失便产生漏网之鱼,安全性较差,建议少用。
委派控制GPO:
要将管理GPO的工作委派给特定的用户,必须按照如下步骤:
1、委派“建立GPO连接关系”的权限,利用委派控制向导将管理组策略连接授权给特定的用户。
2、委派“新建与删除GPO”的权限,将用户帐户加入GROUPPOLICYCREATOROWNER组,便也能使他获得新建与删除GPO的权限。
注意这两步骤不能颠倒,否则无法委派成功。
委派建立GPO连接关系的权限
假设要将建立GPO连接关系的权限委派给李小龙。
点委派控制。
便来到向导,点下一步。
点添加。
确定
按图勾上。
点完成。
委派新建与删除GPO的权限:
因为内置的GROUPPOLICYCREATOROWNER组,拥有在域内新建与删除GPO的权限,所以只要将李小龙加入该组中,便能够在域内新建与删除GPO。
点添加到组
输入组。
提示成功加入。
4、规划组策略的建议
*一般性策略尽量应用于上层容器,较特殊的策略应用于下层容器
*尽量避免使用不可强制覆盖与阻碍策略继承两项功能,维持整个组策略单纯,清楚的结构,减低各项设置发生冲突的机率。
*善用筛选,一方面可以使用特定的组不应用组策略,另一方面可以加快这些组成员的登录
*控制GPO的数目,因为设置的GPO愈多,登录所花费的时间愈长。
*禁用GPO中没有作用的节点,以加快所花费的时间愈长。
*善用委派控制,减低系统管理员的负担。
5、使用策略结果集
策略结果集(RSOP)主要有两项功能“模拟应用组策略之后的效果”和“查看应用哪些组策略”
RSOP两种模式:
1、计划模式:
主要提供仿真功能,使得系统管理员在做某些动作之前,可以先预知结果。
以避免事后反复地修正。
通常在下列情形会用到此模式:
将用户或计算机加入某个组织单位之前。
将用户或计算机在组织单位间移动之前。
想了解特定组策略应用在站点、域和组织单位时的差异。
,因为计划模式会影响到AD数据库的属性,因此必须为ENTERPRISEADMINS或DOMAINADMINS的成员,或是获得产生策略结果集的委派,才能够执行计划模式。
2、记录模式;
对于已登录的用户,记录模式可以将它们所应用的组策略,整理成一份报告,有了这份报告,系统管理员更能够省下用纸笔记录的工夫,通常在以下情形会用到此模式:
想知道特定用户应用了哪些策略。
想知道是否有哪些组策略,在应用过程中被覆盖或是被阻碍策略继承阻挡。
若是从A计算机执行记录模式,所要查看的对象也是从A计算机登录域,那么执行记录模式的用户不必是具有系统管理员的权限,只要是一般域用户即可,但是查看的对象若是从B计算机登录域,那么执行记录模式的用户必须为ENTERPRISEADMINS或DOMAINADMINS的成员,或是获得产生策略结果集的委派权限。
以计划模式仿真应用策略。
假设李小龙从USERS移到总管理处组织单位,其它的设置都保持不变。
首先运行“打开/运行”
输入MMC。
点添加/删除管理单元。
按添加按扭。
又击策略结果
看到已添加进去了。
执行“生成RSOP数据”
下一步
选取“计划模式”
选择用户按钮,输入”域名称/用户登录名称“选取计算机”,输入“域名称/计算机名称”。
假设李小龙从这部WIN2003计算机登录域。
按下一步。
下一步
显示了李小龙原属的组织单位,按浏览按扭。
选择要移到的总管理处组织单位。
然后下一步。
按下一步。
下一步
下一步
开始仿真,搜集信息。
完成。
可看到结果。
现在来介绍文件夹重定向、密码策略、帐户锁定策略和系统管理模板。
先来看一如何打开组策略对象编辑器:
选属性
选要编辑的GPO,然后点编辑。
看左最上角,可看出是哪个GPO的编辑。
下面来看文件夹重定向:
系统管理员可以将本地用户配置文件中的MYDOCUMENTS、桌面、开始菜单和APPLICATIONDATA这4个文件夹定向到网络上。
就是说当文件夹重定向后,当用户保存文件到我的文档时,数据不再保存放在本机,而是保存到网络位置,但是用户仍可以在开始菜单上看到我的文档。
当重定向后,用户可以从域中任何一台计算机,访问到相同的MYDOCUMENTS、桌面、开始菜单和APPLICATIONDATA文件夹。
下面来看重定向我的文档
重定向我的文档有两种模式可选择:
基本设置:
无论用户隶属哪个组,一律将他们的我的文档文件夹定向到相同的位置
高级设置:
依照所属的组,将用户的我的文档文件夹定向到不同的位置。
例如把隶属于MANAGERS组的用户,定向到MING计算机的共享文件夹。
下面以高级设置为例:
首先在组策略对象编辑器窗口的“用户设置/WINDOWS设置/文件夹重定向/MYDOCUMENTS上右击,执行属性。
拉下拉列表,选择高级。
按添加。
直接输入组名称,或按浏览选择组。
目标文件夹位置有下面几种:
1重定向到用户主目录这里所谓的主文件夹:
这里设置什么就定向到这里所设置的路径。
2、在根目录路径下为每一用户建立一个文件夹:
若选此项,下方还会出现根路径字段,用来设置根目录的位置,假设将根目录设为\\ming\upload,则我的文档文件夹实际被定向到\\ming\ming\%username%\mydocuments.其中%username%\mydocuments是系统自动建立的。
如下
3、重定向到下列位置:
若选这项,下方也会出现根路径字段,设置定向到哪个位置,但是系统不会在此位置下自动建立子文件夹。
4、重定向到本地用户配置文件位置:
若选这项,默认定向在%systemdrive%\documentsandsettings\username%.
我们选第二种,继续如下:
完成后可执行GPUPDATE。
EXE,使修改后的组策略立刻生效。
在客户端计算机按开始按钮,在我的文档右击,执行属性。
便可知。
这是重定向的其它设置。
第一种情况:
在选“将我的文档的内容移到新的位置”并选“策略被删除将文件留在新位置”:
一旦删除此重新定向的策略后,MYDOCUMENTS仍然指向定向后的位置。
但是用户只要在本机打开“我的文档属性”对话框,便可自行修改,使MYDOCUMENTS指回到本机上的文件夹。
但这个是没有被重定向。
第二种情况就是在选“将我的文档的内容移到新位置”并选“删除策略时将文件夹移回本地用户配置文件夹”:
就是移回到c:
\documentandsettings\%username%.并将\\ming\dongguan的属性复制到C:
\DocumentsandSettings\%username%
第三种情况:
只选删除策略时将文件夹移回本地用户配置文件夹:
将MYDOCUMENTS指回到它的本地用户设置文件位置(C:
\DocumentsandSettings\%username%).但是不会将\\ming\dongguan的属性复制到C:
\DocumentsandSettings\%username%.
安全性设置:
与系统有关的策略,都分门别类地保存放在“计算机配置/WINDOWS设置/安全设置”中。
安全性设置的各个子节点。
1、帐户策略:
包含有三种策略,这三种与帐户安全性有关的策略只有应用在域才会生效,并且它们不受阻碍策略继承的限制。
,注意:
密码策略与帐户锁定策略虽然可以在组织单位中设置,但不会生效。
2、本地策略:
用来限制哪些人可以通过网络登录或是直接登录本机访问资源,和要审核哪些工作。
3、事件记录:
设置安全性、系统和应用程序日去文件的大小与保留天数等。
4、受限组。
限制某组只能够包含特定的成员,适合用来管理本机内置组与全局组的成员。
5、系统服务:
设置网络服务、文件与打印服务和电话与传真服务等系统服务的配置,设置哪些人有这些服务的权限。
6、登录:
设置CLASSES-ROOT、MACHINE与USERS三种登录数据的安全性模板。
安全性模板是定义哪些人拥有访问该登录数据的权限和权限的继承关系。
7、文件系统:
设置目录或文件的安全性模板。
就是说哪些人拥有该目录或文件的权限和权限的继承关系。
8、公开密钥策略:
此策略同样是应用在域时才有效,也不受阻碍策略继承的限制。