文档库

最新最全的文档下载
当前位置:文档库 > Active+Diretory+全攻略--组策略

Active+Diretory+全攻略--组策略

组策略与OU中的组没有关系,不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如:用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的脚本文件、文件重定向、软件安装等。

一、组策略的基本概念

1、组策略的设置数据保存在AD数据库中,因此必须在域控制器上设置组策略。

2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。

3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU)

4、组策略不适用于WINDOWS9X/NT的计算机,所以应用到这些计算机上无效。

5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略来管理。注意一下:本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置与用户设置。

GPO的特性:

组策略的设置数据都是保存在“组策略对象“(GPO)中,GP O具有以下特性:

1、GPO利用ACL记录权限设置,可以修改个别GPO的A CL,指定哪些人对该GPO拥有何种权限。

2、用户只要有足够的权限,便能够添加或删除GPO,但无法复制GPO。当AD域刚建好时,默认仅有一个GPO--DEFA OLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略,通常会再另行建立GPO,以方便管理。

GPO的内容:

GPO有两大类策略:1、计算机设置:包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。

2、用户设置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。

下面来看下

Active+Diretory+全攻略--组策略

打开属性

Active+Diretory+全攻略--组策略

可以看到这里只有一个,而且是默认的。点编辑

Active+Diretory+全攻略--组策略

来到这个默认GPO编辑器。

在这个域树结构中,计算机设置和用户设置称为节点(NODE)而这两个节点又都包含了软件设置、WINDOWS设置和系统管理模块三个子节点。介绍如下:

软件设置:此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。

WINDOWS设置:在这里,系统管理员能够设置脚本文件、建立帐户策略、指派USER RIGHT和集中管理用户配置文件。WINDOWS设置在计算机设置与用户设置内,分别有不同的设置项目:在计算机设置的WINDOWS设置中,能够设置脚本文件与安全性设置策略。在用户设置的WINDOWS设置中,能够设置INTERNET EXPLORER维护、脚本文件、安全性设置、远程安装服务与文件重定向策略。

系统管理模板:所有涉到注册表的策略都集成在主个子节点下。系统管理模板在计算机设置能够设置WINDOWS元件、系统、网络与打印机策略。在用户设置的系统管理模板,能够设置WINDOWS元件、开始菜单、和任务栏、桌面控制台、网络与系统策略。

GPO与SDOU的连接关系:

GPO本身保存组策略的设置值,必须要进一步指定GPO连接一哪个SDOU,才能使用组策略在应用对象生效。

GPO与SDOU间的连接关系,可以是一对一,一对多或多对一。

2、组策略的应用机制:

两项特性:继承与累加

策略继承:在AD结构中,若X容器下层还有Y容器,则Y容器便是所谓的”子容器“,X,Y容器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的GPO。

在整个继承关系中,最上层为站点,其下层为域与组织单位。若有多层组织单位,则下层组织单位会继承上层组织单位的GPO。策略累加:策略累加机制和组策略的应用顺序有密切的关系,假设将域FLAG。COM连接到GPO-F,将组织单位PRODUCT

与EMLPOYE分别连接到GPO-P和GPO-E。PRODUCT与E MPLOYE这两个组织单位除了本身的组策略外,还会继承来自

上层容器策略。子容器会首先应用继承来自上层容器的组策略,然后再应用本身的组策略,当上层的设置项目与下层的设置项目不同时,组策略的效果可以相加,但若是对同一个项目做不同的设置,则先应用的策略会被后来应用的策略覆盖。

何时应用组策略:

开机/登录:当计算机开机时,域控制器会根据计算机帐户在A D中的位置,决定该计算机必须应用哪些GPO。此时仅应用这些GPO中计算机设置的部分。用户登录时,即按CTRL+ALT+ DEL后,输入账号和密码。域控制器会根据用户帐户在AD中的位置,决定该用户必须应用哪些GPO。此时仅应用这些GPO中用户设置的部分。

一般而言,都是计算机顺利启动之后,用户才能用该计算机登录域,因此,在实际上是先应用计算机设置,后应用用户设置。不过,这里出现一个值得注意的现象,当计算机设置和用户设置发生冲突时,若依照前面的概念,应该是后应用的用户设置覆盖掉先应用的计算机设置,然而并不是这样,事实是计算机设置覆盖掉用户设置。

此外由于计算机与用户可能分别隶属不同的站点、域或组织单位,因此,各自可能会继承不同的GPO。

Active+Diretory+全攻略--组策略

,由图可知,X用户隶属于A2组织单位,Y计算机隶属于B2组织单位,当X用户从Y计算机开机并登录域时,应用GPO的情形如下:

1、当计算机开机时,会依次应用GPO1--GPO2--GPO3--GP O4中计算机设置的部分

2、当用户登录时,会依次应用GPO1--GPO2--GPO5中用户设置的部分。

重新应用组策略

实际更新组策略的间隔是以随机数产生,以90--120分钟的范围,倘若要强迫立即应用组策略,可执行GPUPDATE。EXE。

组策略的应用顺序:最先应用本机的组策略,其次为站点的组策略,再其次为域的组策略,然后是组织单位的组策略。倘若不考虑不可强制覆盖和不要继承策略,策略则是“后应用的设置值覆盖先应用的设置值。

3、下面来建立与管理组策略

建立和应用组策略

以组织单位上建立为例

Active+Diretory+全攻略--组策略

点属性

Active+Diretory+全攻略--组策略

点新建

Active+Diretory+全攻略--组策略

新建了一个并重新命名了。即这个GPO FOR 业务部对象连接到了组织单位业务部。由于现在对此GPO没做任何设置,因此该组策略没有任何能力

设置阻碍策略继承与不可强制覆盖

如果不希望业务部继承上层的组策略,则对该组织单位设置阻碍策略继承,如果希望业务部在下层组织单位都能够有效,不被其它组策略覆盖。看下面

Active+Diretory+全攻略--组策略

在阻止策略继承打上勾。

Active+Diretory+全攻略--组策略

然后如图打上勾便可。

与已有的GPO建立连接关系。

Active+Diretory+全攻略--组策略

可选取要连接的GPO。按确定。

调整GPO的应用顺序

当同一个对象连接到多个GPO时,系统管理员可以决定应用顺序,在组策略选项卡中,排在比较下面的GPO会先应用。当各个策略的设置发生冲突时,较晚应用于的策略(排在上面的GP O)会覆盖较先应用的策略(排在下面)。

Active+Diretory+全攻略--组策略

选取后按向上或向下即可。

删除GPO与中断连接

假如要删除如上图选中的

Active+Diretory+全攻略--组策略

这里有两个选项。选第一个是将中断所有容器与这个GPO的连接,但不删除此GPO。

Active+Diretory+全攻略--组策略

点是

禁用GPO计算机设置或用户设置

应用组策略会延长计算机开机与用户登录所耗费的时间,而且连接的GPO愈多,花费的时间就越久,由于每一个GPO都有计算机设置和用户设置两个节点,我们可以禁用其中一个节点的设置来加快登录速度:

Active+Diretory+全攻略--组策略

点属性

Active+Diretory+全攻略--组策略

下面有两个选项,比如选禁用计算机设置。

Active+Diretory+全攻略--组策略

选是。

筛选组策略

在正常情况下,将某个组策略应用到SDOU后,隶属于该S DOU的用户与计算机都受到此策略的影响,假设DOMIAN AD MIN组排除在外,不受该组策略的影响,此时就会用到筛选功能。其实就是改变GPO的ACL而已。计算机与用户之所以受到

组策略影响,是因为它们默认对于该GPO有读取和应用组策略两种权限,以下示范一下:

Active+Diretory+全攻略--组策略

点属性

Active+Diretory+全攻略--组策略

点属性

Active+Diretory+全攻略--组策略

勾选拒绝,表示不赋予权限给用户、计算机或组。都不勾选,则表示隐含拒绝。代表一种强有力较弱的拒绝,无法覆盖允许。以DEFAULT DOMAIN POLICY应用于ADMINISTRATOR帐户的默认情形为例。ADMINISTRATOR同时隶属于AUTHENTI CATED USERS 、DOMAIN ADMINS、与ENTERPRISE A DMINS三个组,后两个组对于DEFAULT DOMIAN POLICY 没设置允许或拒绝,属于隐含拒绝。但是AUTHENTICATED USERS 组、对于DEFAULT DOMAIN POLICY 有读取和应用组策略两项权限,所以ADMINISTRATOR 还是受到该组策略的约束。

通常规划组策略时,有两种逻辑:1、策略允许,例外拒绝:保留对AUTHENTICATED USERS组,让所有登录域的人都应用组策略。再针对特定的组拒绝应用组策略,这种方式相当于先关闭大门,再逐一过滤放行,安全较高。2、策略拒绝,例外允许:自ACL中删除AUTHENTICATED USERS组,让所有登录域的人都不应用组策略,然后对于需要应用组策略的组和用户,个别”允许读取“与”允许应用组策略两项权限,两项权限,这咱方式相当于先敞开大门,再逐一过滤拦阻,稍有疏失便产生漏网之鱼,安全性较差,建议少用。

委派控制GPO:

要将管理GPO的工作委派给特定的用户,必须按照如下步骤:1、委派“建立GPO连接关系”的权限,利用委派控制向导将管理组策略连接授权给特定的用户。2、委派“新建与删除GPO”

的权限,将用户帐户加入GROUP POLICY CREATOR OWNE R组,便也能使他获得新建与删除GPO的权限。注意这两步骤不能颠倒,否则无法委派成功。

委派建立GPO连接关系的权限

假设要将建立GPO连接关系的权限委派给李小龙。

Active+Diretory+全攻略--组策略

点委派控制。

Active+Diretory+全攻略--组策略

便来到向导,点下一步。

Active+Diretory+全攻略--组策略

点添加。