伤城文章网 > IT/计算机 > Active和Diretory 全攻略

Active和Diretory 全攻略


组策略与 OU 中的组没有关系, 不要混淆了。 系统管理员可利用组策略来管理 AD 数据库中的计 算机与用户。例如:用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的 脚本文件、文件重定向、软件安装等。 一、组策略的基本概念 1、组策略的设置数据保存在 AD 数据库中,因此必须在域控制器上设置组策略。 2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它 对象。 3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU) 4、组策略不适用于 WINDOWS9X/NT 的计算机,所以应用到这些计算机上无效。 5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略 来管理。注意一下:本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置 与用户设置。 GPO 的特性: 组策略的设置数据都是保存在“组策略对象“(GPO)中,GPO 具有以下特性: 1、GPO 利用 ACL 记录权限设置,可以修改个别 GPO 的 ACL,指定哪些人对该 GPO 拥有 何种权限。 2、 用户只要有足够的权限, 便能够添加或删除 GPO, 但无法复制 GPO。 AD 域刚建好时, 当 默认仅有一个 GPO--DEFAOLT DOMAIN POLICY。这个 GPO 可用来管理域中所有的计算机 与用户。若要设置应用于组织单位的组策略,通常会再另行建立 GPO,以方便管理。 GPO 的内容: GPO 有两大类策略:1、计算机设置:包含所有与计算机有关的策略设置,这些策略只会应 用到计算机帐户。 2、用户设置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。 下面来看下

打开属性

可以看到这里只有一个,而且是默认的。点编辑

来到这个默认 GPO 编辑器。 在这个域树结构中,计算机设置和用户设置称为节点(NODE)而这两个节点又都包含了软件设 置、WINDOWS 设置和系统管理模块三个子节点。介绍如下: 软件设置:此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。 WINDOWS 设置:在这里,系统管理员能够设置脚本文件、建立帐户策略、指派 USER RI GHT 和集中管理用户配置文件。WINDOWS 设置在计算机设置与用户设置内,分别有不同的 设置项目:在计算机设置的 WINDOWS 设置中,能够设置脚本文件与安全性设置策略。在用户 设置的 WINDOWS 设置中,能够设置 INTERNET EXPLORER 维护、脚本文件、安全性设置、 远程安装服务与文件重定向策略。 系统管理模板:所有涉到注册表的策略都集成在主个子节点下。系统管理模板在计算机设置 能够设置 WINDOWS 元件、系统、网络与打印机策略。在用户设置的系统管理模板,能够设置 WINDOWS 元件、开始菜单、和任务栏、桌面控制台、网络与系统策略。 GPO 与 SDOU 的连接关系: GPO 本身保存组策略的设置值,必须要进一步指定 GPO 连接一哪个 SDOU,才能使用组策 略在应用对象生效。 GPO 与 SDOU 间的连接关系,可以是一对一,一对多或多对一。 2、组策略的应用机制: 两项特性:继承与累加 策略继承:在 AD 结构中,若 X 容器下层还有 Y 容器,则 Y 容器便是所谓的”子容器“,X,Y 容 器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的 GPO。 在整个继承关系中,最上层为站点,其下层为域与组织单位。若有多层组织单位,则下层组织单 位会继承上层组织单位的 GPO。 策略累加:策略累加机制和组策略的应用顺序有密切的关系,假设将域 FLAG。COM 连接到 G PO-F,将组织单位 PRODUCT 与 EMLPOYE 分别连接到 GPO-P 和 GPO-E。PRODUCT 与 E MPLOYE 这两个组织单位除了本身的组策略外,还会继承来自上层容器策略。子容器会首先应 用继承来自上层容器的组策略, 然后再应用本身的组策略, 当上层的设置项目与下层的设置项目

不同时,组策略的效果可以相加,但若是对同一个项目做不同的设置,则先应用的策略会被后来 应用的策略覆盖。 何时应用组策略: 开机/登录:当计算机开机时,域控制器会根据计算机帐户在 AD 中的位置,决定该计算机必须 应用哪些 GPO。此时仅应用这些 GPO 中计算机设置的部分。用户登录时,即按 CTRL+ALT+ DEL 后,输入账号和密码。域控制器会根据用户帐户在 AD 中的位置,决定该用户必须应用哪 些 GPO。此时仅应用这些 GPO 中用户设置的部分。 一般而言,都是计算机顺利启动之后,用户才能用该计算机登录域,因此,在实际上是先应用计 算机设置,后应用用户设置。不过,这里出现一个值得注意的现象,当计算机设置和用户设置发 生冲突时,若依照前面的概念,应该是后应用的用户设置覆盖掉先应用的计算机设置,然而并不 是这样,事实是计算机设置覆盖掉用户设置。 此外由于计算机与用户可能分别隶属不同的站点、域或组织单位,因此,各自可能会继承不同的 GPO。

,由图可知,X 用户隶属于 A2 组织单位,Y 计算机隶属于 B2 组织单位,当 X 用户从 Y 计算机 开机并登录域时,应用 GPO 的情形如下: 1、当计算机开机时,会依次应用 GPO1--GPO2--GPO3--GPO4 中计算机设置的部分 2、当用户登录时,会依次应用 GPO1--GPO2--GPO5 中用户设置的部分。 重新应用组策略 实际更新组策略的间隔是以随机数产生, 90--120 分钟的范围, 以 倘若要强迫立即应用组策略, 可执行 GPUPDATE。EXE。 组策略的应用顺序:最先应用本机的组策略,其次为站点的组策略,再其次为域的组策略,然后 是组织单位的组策略。倘若不考虑不可强制覆盖和不要继承策略,策略则是“后应用的设置值覆 盖先应用的设置值。

3、下面来建立与管理组策略 建立和应用组策略 以组织单位上建立为例

点属性

点新建

新建了一个并重新命名了。即这个 GPO FOR 业务部对象连接到了组织单位业务部。由于现在 对此 GPO 没做任何设置,因此该组策略没有任何能力 设置阻碍策略继承与不可强制覆盖 如果不希望业务部继承上层的组策略, 则对该组织单位设置阻碍策略继承, 如果希望业务部在下 层组织单位都能够有效,不被其它组策略覆盖。看下面

在阻止策略继承打上勾。

然后如图打上勾便可。 与已有的 GPO 建立连接关系。

可选取要连接的 GPO。按确定。 调整 GPO 的应用顺序 当同一个对象连接到多个 GPO 时,系统管理员可以决定应用顺序,在组策略选项卡中,排在比 较下面的 GPO 会先应用。当各个策略的设置发生冲突时,较晚应用于的策略(排在上面的 GP O)会覆盖较先应用的策略(排在下面)。

选取后按向上或向下即可。 删除 GPO 与中断连接

假如要删除如上图选中的

这里有两个选项。选第一个是将中断所有容器与这个 GPO 的连接,但不删除此 GPO。

点是 禁用 GPO 计算机设置或用户设置 应用组策略会延长计算机开机与用户登录所耗费的时间,而且连接的 GPO 愈多,花费的时间就 越久,由于每一个 GPO 都有计算机设置和用户设置两个节点,我们可以禁用其中一个节点的设 置来加快登录速度:

点属性

下面有两个选项,比如选禁用计算机设置。

选是。 筛选组策略 在正常情况下,将某个组策略应用到 SDOU 后,隶属于该 SDOU 的用户与计算机都受到此策 略的影响, 假设 DOMIAN ADMIN 组排除在外, 不受该组策略的影响, 此时就会用到筛选功能。 其实就是改变 GPO 的 ACL 而已。计算机与用户之所以受到组策略影响,是因为它们默认对于 该 GPO 有读取和应用组策略两种权限,以下示范一下:

点属性

点属性

勾选拒绝,表示不赋予权限给用户、计算机或组。都不勾选,则表示隐含拒绝。代表一种强有力 较弱的拒绝,无法覆盖允许。以 DEFAULT DOMAIN POLICY 应用于 ADMINISTRATOR 帐 户的默认情形为例。 ADMINISTRATOR 同时隶属于 AUTHENTICATED USERS 、 DOMAIN ADMINS、与 ENTERPRISE ADMINS 三个组,后两个组对于 DEFAULT DOMIAN POLICY 没设置允许或拒绝,属于隐含拒绝。但是 AUTHENTICATED USERS 组、对于 DEFAULT D OMAIN POLICY 有读取和应用组策略两项权限,所以 ADMINISTRATOR 还是受到该组策略 的约束。 通常规划组策略时,有两种逻辑:1、策略允许,例外拒绝:保留对 AUTHENTICATED US ERS 组,让所有登录域的人都应用组策略。再针对特定的组拒绝应用组策略,这种方式相当于 先关闭大门,再逐一过滤放行,安全较高。2、策略拒绝,例外允许:自 ACL 中删除 AUTHEN TICATED USERS 组,让所有登录域的人都不应用组策略,然后对于需要应用组策略的组和用 户,个别”允许读取“与”允许应用组策略两项权限,两项权限,这咱方式相当于先敞开大门,再 逐一过滤拦阻,稍有疏失便产生漏网之鱼,安全性较差,建议少用。 委派控制 GPO: 要将管理 GPO 的工作委派给特定的用户,必须按照如下步骤:1、委派“建立 GPO 连接关系” 的权限,利用委派控制向导将管理组策略连接授权给特定的用户。2、委派“新建与删除 GPO” 的权限, 将用户帐户加入 GROUP POLICY CREATOR OWNER 组,便也能使他获得新建与删 除 GPO 的权限。注意这两步骤不能颠倒,否则无法委派成功。 委派建立 GPO 连接关系的权限 假设要将建立 GPO 连接关系的权限委派给李小龙。

点委派控制。

便来到向导,点下一步。

点添加。

确定

按图勾上。

点完成。 委派新建与删除 GPO 的权限: 因为内置的 GROUP POLICY CREATOR OWNER 组,拥有在域内新建与删除 GPO 的权限, 所以只要将李小龙加入该组中,便能够在域内新建与删除 GPO。

点添加到组

输入组。

提示成功加入。 4、规划组策略的建议 *一般性策略尽量应用于上层容器,较特殊的策略应用于下层容器

*尽量避免使用不可强制覆盖与阻碍策略继承两项功能,维持整个组策略单纯,清楚的结构, 减低各项设置发生冲突的机率。 *善用筛选,一方面可以使用特定的组不应用组策略,另一方面可以加快这些组成员的登录 *控制 GPO 的数目,因为设置的 GPO 愈多,登录所花费的时间愈长。 *禁用 GPO 中没有作用的节点,以加快所花费的时间愈长。 *善用委派控制,减低系统管理员的负担。 5、使用策略结果集 策略结果集(RSOP)主要有两项功能“模拟应用组策略之后的效果”和“查看应用哪些组策略” RSOP 两种模式: 1、计划模式:主要提供仿真功能,使得系统管理员在做某些动作之前,可以先预知结果。以避 免事后反复地修正。通常在下列情形会用到此模式:将用户或计算机加入某个组织单位之前。将 用户或计算机在组织单位间移动之前。 想了解特定组策略应用在站点、 域和组织单位时的差异。 , 因为计划模式会影响到 AD 数据库的属性,因此必须为 ENTERPRISE ADMINS 或 DOMAIN ADMINS 的成员,或是获得产生策略结果集的委派,才能够执行计划模式。 2、记录模式; 对于已登录的用户,记录模式可以将它们所应用的组策略,整理成一份报告,有了这份报告,系 统管理员更能够省下用纸笔记录的工夫, 通常在以下情形会用到此模式: 想知道特定用户应用了 哪些策略。想知道是否有哪些组策略,在应用过程中被覆盖或是被阻碍策略继承阻挡。 若是从 A 计算机执行记录模式,所要查看的对象也是从 A 计算机登录域,那么执行记录模式 的用户不必是具有系统管理员的权限,只要是一般域用户即可,但是查看的对象若是从 B 计算 机登录域,那么执行记录模式的用户必须为 ENTERPRISE ADMINS 或 DOMAIN ADMINS 的成员,或是获得产生策略结果集的委派权限。 以计划模式仿真应用策略。 假设李小龙从 USERS 移到总管理处组织单位,其它的设置都保持不变。首先运行“打开/运行”

输入 MMC。

点添加/删除管理单元。

按添加按扭。

又击策略结果

看到已添加进去了。

执行“生成 RSOP 数据”

下一步

选取“计划模式”

选择用户按钮,输入”域名称/用户登录名称“选取计算机”,输入“域名称/计算机名称”。 假设李小龙从这部 WIN2003 计算机登录域。按下一步。

下一步

显示了李小龙原属的组织单位,按浏览按扭。选择要移到的总管理处组织单位。然后下一步。

按下一步。

下一步

下一步

开始仿真,搜集信息。

完成。

可看到结果。 现在来介绍文件夹重定向、密码策略、帐户锁定策略和系统管理模板。 先来看一如何打开组策略对象编辑器:

选属性

选要编辑的 GPO,然后点编辑。

看左最上角,可看出是哪个 GPO 的编辑。 下面来看文件夹重定向: 系统管理员可以将本地用户配置文件中的 MY DOCUMENTS、桌面、开始菜单和 APPLICATI ON DATA 这 4 个文件夹定向到网络上。就是说当文件夹重定向后,当用户保存文件到我的文 档时,数据不再保存放在本机,而是保存到网络位置,但是用户仍可以在开始菜单上看到我的文 档。当重定向后,用户可以从域中任何一台计算机,访问到相同的 MY DOCUMENTS、桌面、 开始菜单和 APPLICATION DATA 文件夹。 下面来看重定向我的文档 重定向我的文档有两种模式可选择: 基本设置:无论用户隶属哪个组,一律将他们的我的文档文件夹定向到相同的位置 高级设置:依照所属的组,将用户的我的文档文件夹定向到不同的位置。例如把隶属于 MAN AGERS 组的用户,定向到 MING 计算机的共享文件夹。 下面以高级设置为例: 首先在组策略对象编辑器窗口的“用户设置/WINDOWS 设置/文件夹重定 向/MY DOCUMENTS 上右击,执行属性。

拉下拉列表,选择高级。

按添加。

直接输入组名称,或按浏览选择组。

目标文件夹位置有下面几种:1 重定向到用户主目录这里所谓的主文件夹:

这里设置什么就定向到这里所设置的路径。 2、在根目录路径下为每一用户建立一个文件夹:若选此项,下方还会出现根路径字段,用来设 置根目录的位置,假设将根目录设为\\ming\upload,则我的文档文件夹实际被定向到\\ming\ ming\%username%\my documents.其中%username%\my documents 是系统自动 建立的。如下

3、重定向到下列位置:若选这项,下方也会出现根路径字段,设置定向到哪个位置,但是系统 不会在此位置下自动建立子文件夹。

4、重定向到本地用户配置文件位置:若选这项,默认定向在%systemdrive%\documents and settings\username%. 我们选第二种,继续如下:

完成后可执行 GPUPDATE。EXE,使修改后的组策略立刻生效。

在客户端计算机按开始按钮,在我的文档右击,执行属性。便可知。

这是重定向的其它设置。 第一种情况:在选“将我的文档的内容移到新的位置”并选“策略被删除将文件留在新位置”:一旦 删除此重新定向的策略后,MY DOCUMENTS 仍然指向定向后的位置。但是用户只要在本机打 开“我的文档属性”对话框,便可自行修改,使 MY DOCUMENTS 指回到本机上的文件夹。

但这个是没有被重定向。 第二种情况就是在选“将我的文档的内容移到新位置”并选“删除策略时将文件夹移回本地用户配 置文件夹”:就是移回到 c:\document and settings\%username%.并将\\ming\donggu an 的属性复制到 C:\Documents and Settings\%username% 第三种情况:只选删除策略时将文件夹移回本地用户配置文件夹:将 MY DOCUMENTS 指回 到它的本地用户设置文件位置(C:\Documents and Settings\%username%).但是不会 将\\ming\dongguan 的属性复制到 C:\Documents and Settings\%username%. 安全性设置: 与系统有关的策略,都分门别类地保存放在“计算机配置/WINDOWS 设置/安全设置”中。 安全性设置的各个子节点。 1、帐户策略:包含有三种策略,这三种与帐户安全性有关的策略只有应用在域才会生效,并且 它们不受阻碍策略继承的限制。,注意:密码策略与帐户锁定策略虽然可以在组织单位中设置, 但不会生效。 2、本地策略:用来限制哪些人可以通过网络登录或是直接登录本机访问资源,和要审核哪些工 作。 3、事件记录:设置安全性、系统和应用程序日去文件的大小与保留天数等。 4、受限组。限制某组只能够包含特定的成员,适合用来管理本机内置组与全局组的成员。 5、系统服务:设置网络服务、文件与打印服务和电话与传真服务等系统服务的配置,设置哪些 人有这些服务的权限。 6、登录:设置 CLASSES-ROOT、MACHINE 与 USERS 三种登录数据的安全性模板。安全性 模板是定义哪些人拥有访问该登录数据的权限和权限的继承关系。 7、文件系统:设置目录或文件的安全性模板。就是说哪些人拥有该目录或文件的权限和权限的 继承关系。

8、公开密钥策略:此策略同样是应用在域时才有效,也不受阻碍策略继承的限制。


搜索更多“Active和Diretory 全攻略”

网站地图

All rights reserved Powered by 伤城文章网 5xts.com

copyright ©right 2010-2021。
伤城文章网内容来自网络,如有侵犯请联系客服。zhit325@126.com