Active-Diretory-全攻略--组策略

组策略与OU中的组没有关系�不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如�用户桌面环境、计算机启动/关机所执行脚本文件�用户登录/注销所执行的脚本文件、文件重定向、软件安装等。一、组策略的基本概念1、组策略的设置数据保存在AD数据库中�因此必须在域控制器上设置组策略。2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。3、组策略不能应用到组�只能够应用到站点、域或组织单位�SDOU�4、组策略不适用于WINDOWS9X/NT的计算机�所以应用到这些计算机上无效。5、组策略不会影响未加入域的计算机和用户�对于这些计算机和用户�应使用本地安全策略来管理。注意一下�本地安全策略与组策略很相似�但功能较少�仅能管理本机上的计算机设置与用户设置。GPO的特性�组策略的设置数据都是保存在“组策略对象“�GPO�中�GPO具有以下特性�1、GPO利用ACL记录权限设置�可以修改个别GPO的ACL�指定哪些人对该GPO拥有何种权限。2、用户只要有足够的权限�便能够添加或删除GPO�但无法复制GPO。当AD域刚建好时�默认仅有一个GPO--DEFAOLTDOMAINPOLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略�通常会再另行建立GPO�以方便管理。GPO的内容�GPO有两大类策略�1、计算机设置�包含所有与计算机有关的策略设置�这些策略只会应用到计算机帐户。2、用户设置�包含所有与用户有关的策略设置�这些策略只会应用到用户帐户。下面来看下打开属性可以看到这里只有一个�而且是默认的。点编辑来到这个默认GPO编辑器。在这个域树结构中�计算机设置和用户设置称为节点�NODE�而这两个节点又都包含了软件设置、WINDOWS设置和系统管理模块三个子节点。介绍如下�软件设置�此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。WINDOWS设置�在这里�系统管理员能够设置脚本文件、建立帐户策略、指派USERRIGHT和集中管理用户配置文件。WINDOWS设置在计算机设置与用户设置内�分别有不同的设置项目�在计算机设置的WINDOWS设置中�能够设置脚本文件与安全性设置策略。在用户设置的WINDOWS设置中�能够设置INTERNETEXPLORER维护、脚本文件、安全性设置、远程安装服务与文件重定向策略。系统管理模板�所有涉到注册表的策略都集成在主个子节点下。系统管理模板在计算机设置能够设置WINDOWS元件、系统、网络与打印机策略。在用户设置的系统管理模板�能够设置WINDOWS元件、开始菜单、和任务栏、桌面控制台、网络与系统策略。GPO与SDOU的连接关系�GPO本身保存组策略的设置值�必须要进一步指定GPO连接一哪个SDOU�才能使用组策略在应用对象生效。GPO与SDOU间的连接关系�可以是一对一�一对多或多对一。2、组策略的应用机制�两项特性�继承与累加策略继承�在AD结构中�若X容器下层还有Y容器�则Y容器便是所谓的”子容器“�X�Y容器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的GPO。在整个继承关系中�最上层为站点�其下层为域与组织单位。若有多层组织单位�则下层组织单位会继承上层组织单位的GPO。策略累加�策略累加机制和组策略的应用顺序有密切的关系�假设将域FLAG。COM连接到GPO-F�将组织单位PRODUCT与EMLPOYE分别连接到GPO-P和GPO-E。PRODUCT与EMPLOYE这两个组织单位除了本身的组策略外�还会继承来自上层容器策略。子容器会首先应用继承来自上层容器的组策略�然后再应用本身的组策略�当上层的设置项目与下层的设置项目不同时�组策略的效果可以相加�但若是对同一个项目做不同的设置�则先应用的策略会被后来应用的策略覆盖。何时应用组策略�开机/登录�当计算机开机时�域控制器会根据计算机帐户在AD中的位置�决定该计算机必须应用哪些GPO。此时仅应用这些GPO中计算机设置的部分。用户登录时�即按CTRL+ALT+DEL后�输入账号和密码。域控制器会根据用户帐户在AD中的位置�决定该用户必须应用哪些GPO。此时仅应用这些GPO中用户设置的部分。一般而言�都是计算机顺利启动之后�用户才能用该计算机登录域�因此�在实际上是先应用计算机设置�后应用用户设置。不过�这里出现一个值得注意的现象�当计算机设置和用户设置发生冲突时�若依照前面的概念�应该是后应用的用户设置覆盖掉先应用的计算机设置�然而并不是这样�事实是计算机设置覆盖掉用户设置。此外由于计算机与用户可能分别隶属不同的站点、域或组织单位�因此�各自可能会继承不同的GPO。�由图可知�X用户隶属于A2组织单位�Y计算机隶属于B2组织单位�当X用户从Y计算机开机并登录域时�应用GPO的情形如下�1、当计算机开机时�会依次应用GPO1--GPO2--GPO3--GPO4中计算机设置的部分2、当用户登录时�会依次应用GPO1--GPO2--GPO5中用户设置的部分。重新应用组策略实际更新组策略的间隔是以随机数产生�以90--120分钟的范围�倘若要强迫立即应用组策略�可执行GPUPDATE。EXE。组策略的应用顺序�最先应用本机的组策略�其次为站点的组策略�再其次为域的组策略�然后是组织单位的组策略。倘若不考虑不可强制覆盖和不要继承策略�策略则是“后应用的设置值覆盖先应用的设置值。3、下面来建立与管理组策略建立和应用组策略以组织单位上建立为例点属性点新建新建了一个并重新命名了。即这个GPOFOR业务部对象连接到了组织单位业务部。由于现在对此GPO没做任何设置�因此该组策略没有任何能力设置阻碍策略继承与不可强制覆盖如果不希望业务部继承上层的组策略�则对该组织单位设置阻碍策略继承�如果希望业务部在下层组织单位都能够有效�不被其它组策略覆盖。看下面在阻止策略继承打上勾。然后如图打上勾便可。与已有的GPO建立连接关系。可选取要连接的GPO。按确定。调整GPO的应用顺序当同一个对象连接到多个GPO时�系统管理员可以决定应用顺序�在组策略选项卡中�排在比较下面的GPO会先应用。当各个策略的设置发生冲突时�较晚应用于的策略�排在上面的GPO�会覆盖较先应用的策略�排在下面�。选取后按向上或向下即可。删除GPO与中断连接假如要删除如上图选中的这里有两个选项。选第一个是将中断所有容器与这个GPO的连接�但不删除此GPO。点是禁用GPO计算机设置或用户设置应用组策略会延长计算机开机与用户登录所耗费的时间�而且连接的GPO愈多�花费的时间就越久�由于每一个GPO都有计算机设置和用户设置两个节点�我们可以禁用其中一个节点的设置来加快登录速度�点属性下面有两个选项�比如选禁用计算机设置。选是。筛选组策略在正常情况下�将某个组策略应用到SDOU后�隶属于该SDOU的用户与计算机都受到此策略的影响�假设DOMIANADMIN组排除在外�不受该组策略的影响�此时就会用到筛选功能。其实就是改变GPO的ACL而已。计算机与用户之所以受到组策略影响�是因为它们默认对于该GPO有读取和应用组策略两种权限�以下示范一下�点属性点属性勾选拒绝�表示不赋予权限给用户、计算机或组。都不勾选�则表示隐含拒绝。代表一种强有力较弱的拒绝�无法覆盖允许。以DEFAULTDOMAINPOLICY应用于ADMINISTRATOR帐户的默认情形为例。ADMINISTRATOR同时隶属于AUTHENTICATEDUSERS、DOMAINADMINS、与ENTERPRISEADMINS三个组�后两个组对于DEFAULTDOMIANPOLICY没设置允许或拒绝�属于隐含拒绝。但是AUTHENTICATEDUSERS组、对于DEFAULTDOMAINPOLICY有读取和应用组策略两项权限�所以ADMINISTRATOR还是受到该组策略的约束。通常规划组策略时�有两种逻辑�1、策略允许�例外拒绝�保留对AUTHENTICATEDUSERS组�让所有登录域的人都应用组策略。再针对特定的组拒绝应用组策略�这种方式相当于先关闭大门�再逐一过滤放行�安全较高。2、策略拒绝�例外允许�自ACL中删除AUTHENTICATEDUSERS组�让所有登录域的人都不应用组策略�然后对于需要应用组策略的组和用户�个别”允许读取“与”允许应用组策略两项权限�两项权限�这咱方式相当于先敞开大门�再逐一过滤拦阻�稍有疏失便产生漏网之鱼�安全性较差�建议少用。委派控制GPO�要将管理GPO的工作委派给特定的用户�必须按照如下步骤�1、委派“建立GPO连接关系”的权限�利用委派控制向导将管理组策略连接授权给特定的用户。2、委派“新建与删除GPO”的权限�将用户帐户加入GROUPPOLICYCREATOROWNER组�便也能使他获得新建与删除GPO的权限。注意这两步骤不能颠倒�否则无法委派成功。委派建立GPO连接关系的权限假设要将建立GPO连接关系的权限委派给李小龙。点委派控制。便来到向导�点下一步。点添加。确定按图勾上。点完成。委派新建与删除GPO的权限�因为内置的GROUPPOLICYCREATOROWNER组�拥有在域内新建与删除GPO的权限�所以只要将李小龙加入该组中�便能够在域内新建与删除GPO。点添加到组输入组。提示成功加入。4、规划组策略的建议*一般性策略尽量应用于上层容器�较特殊的策略应用于下层容器*尽量避免使用不可强制覆盖与阻碍策略继承两项功能�维持整个组策略单纯�清楚的结构�减低各项设置发生冲突的机率。*善用筛选�一方面可以使用特定的组不应用组策略�另一方面可以加快这些组成员的登录*控制GPO的数目�因为设置的GPO愈多�登录所花费的时间愈长。*禁用GPO中没有作用的节点�以加快所花费的时间愈长。*善用委派控制�减低系统管理员的负担。5、使用策略结果集策略结果集�RSOP�主要有两项功能“模拟应用组策略之后的效果”和“查看应用哪些组策略”RSOP两种模式�1、计划模式�主要提供仿真功能�使得系统管理员在做某些动作之前�可以先预知结果。以避免事后反复地修正。通常在下列情形会用到此模式�将用户或计算机加入某个组织单位之前。将用户或计算机在组织单位间移动之前。想了解特定组策略应用在站点、域和组织单位时的差异。�因为计划模式会影响到AD数据库的属性�因此必须为ENTERPRISEADMINS或DOMAINADMINS的成员�或是获得产生策略结果集的委派�才能够执行计划模式。2、记录模式�对于已登录的用户�记录模式可以将它们所应用的组策略�整理成一份报告�有了这份报告�系统管理员更能够省下用纸笔记录的工夫�通常在以下情形会用到此模式�想知道特定用户应用了哪些策略。想知道是否有哪些组策略�在应用过程中被覆盖或是被阻碍策略继承阻挡。若是从A计算机执行记录模式�所要查看的对象也是从A计算机登录域�那么执行记录模式的用户不必是具有系统管理员的权限�只要是一般域用户即可�但是查看的对象若是从B计算机登录域�那么执行记录模式的用户必须为ENTERPRISEADMINS或DOMAINADMINS的成员�或是获得产生策略结果集的委派权限。以计划模式仿真应用策略。假设李小龙从USERS移到总管理处组织单位�其它的设置都保持不变。首先运行“打开/运行”输入MMC。点添加/删除管理单元。按添加按扭。又击策略结果看到已添加进去了。执行“生成RSOP数据”下一步选取“计划模式”选择用户按钮�输入”域名称/用户登录名称“选取计算机”�输入“域名称/计算机名称”。假设李小龙从这部WIN2003计算机登录域。按下一步。下一步显示了李小龙原属的组织单位�按浏览按扭。选择要移到的总管理处组织单位。然后下一步。按下一步。下一步下一步开始仿真�搜集信息。完成。可看到结果。现在来介绍文件夹重定向、密码策略、帐户锁定策略和系统管理模板。先来看一如何打开组策略对象编辑器�选属性选要编辑的GPO�然后点编辑。看左最上角�可看出是哪个GPO的编辑。下面来看文件夹重定向�系统管理