组策略的基本概念

  1、组策略的设置数据保存在AD数据库中,因此必须在域控制器上设置组策略。

  2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。

  3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU)

  4、组策略不适用于WINDOWS9X/NT的计算机,所以应用到这些计算机上无效。

  5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略来管理。注意一下:本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置与用户设置。

 

GPO的特性:

   组策略的设置数据都是保存在“组策略对象“(GPO)中,GPO具有以下特性:

    1、GPO利用ACL记录权限设置,可以修改个别GPO的ACL,指定哪些人对该GPO拥有何种权限。

    2、用户只要有足够的权限,便能够添加或删除GPO,但无法复制GPO。当AD域刚建好时,默认仅有一个GPO--DEFAOLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略,通常会再另行建立GPO,以方便管理。

 

GPO的内容:

   GPO有两大类策略:1、计算机设置:包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。

   2、用户设置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。

下面来看下

AD域和组织架构 ad域 组策略_用户登录

打开属性

AD域和组织架构 ad域 组策略_操作系统_02

可以看到这里只有一个,而且是默认的。点编辑

AD域和组织架构 ad域 组策略_AD域和组织架构_03

来到这个默认GPO编辑器。

在这个域树结构中,计算机设置和用户设置称为节点(NODE)而这两个节点又都包含了软件设置、WINDOWS设置和系统管理模块三个子节点。介绍如下:

   软件设置:此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。

   WINDOWS设置:在这里,系统管理员能够设置脚本文件、建立帐户策略、指派USER RIGHT和集中管理用户配置文件。WINDOWS设置在计算机设置与用户设置内,分别有不同的设置项目:在计算机设置的WINDOWS设置中,能够设置脚本文件与安全性设置策略。在用户设置的WINDOWS设置中,能够设置INTERNET EXPLORER维护、脚本文件、安全性设置、远程安装服务与文件重定向策略。

   系统管理模板:所有涉到注册表的策略都集成在主个子节点下。系统管理模板在计算机设置能够设置WINDOWS元件、系统、网络与打印机策略。在用户设置的系统管理模板,能够设置WINDOWS元件、开始菜单、和任务栏、桌面控制台、网络与系统策略。

 

GPO与SDOU的连接关系:

   GPO本身保存组策略的设置值,必须要进一步指定GPO连接一哪个SDOU,才能使用组策略在应用对象生效。

  GPO与SDOU间的连接关系,可以是一对一,一对多或多对一。

2、组策略的应用机制:

     两项特性:继承与累加

策略继承:在AD结构中,若X容器下层还有Y容器,则Y容器便是所谓的”子容器“,X,Y容器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的GPO。

在整个继承关系中,最上层为站点,其下层为域与组织单位。若有多层组织单位,则下层组织单位会继承上层组织单位的GPO。

策略累加:策略累加机制和组策略的应用顺序有密切的关系,假设将域FLAG。COM连接到GPO-F,将组织单位PRODUCT与EMLPOYE分别连接到GPO-P和GPO-E。PRODUCT与EMPLOYE这两个组织单位除了本身的组策略外,还会继承来自上层容器策略。子容器会首先应用继承来自上层容器的组策略,然后再应用本身的组策略,当上层的设置项目与下层的设置项目不同时,组策略的效果可以相加,但若是对同一个项目做不同的设置,则先应用的策略会被后来应用的策略覆盖。

何时应用组策略:

开机/登录:当计算机开机时,域控制器会根据计算机帐户在AD中的位置,决定该计算机必须应用哪些GPO。此时仅应用这些GPO中计算机设置的部分。用户登录时,即按CTRL+ALT+DEL后,输入账号和密码。域控制器会根据用户帐户在AD中的位置,决定该用户必须应用哪些GPO。此时仅应用这些GPO中用户设置的部分。

一般而言,都是计算机顺利启动之后,用户才能用该计算机登录域,因此,在实际上是先应用计算机设置,后应用用户设置。不过,这里出现一个值得注意的现象,当计算机设置和用户设置发生冲突时,若依照前面的概念,应该是后应用的用户设置覆盖掉先应用的计算机设置,然而并不是这样,事实是计算机设置覆盖掉用户设置。

此外由于计算机与用户可能分别隶属不同的站点、域或组织单位,因此,各自可能会继承不同的GPO。

AD域和组织架构 ad域 组策略_用户登录_04

,由图可知,X用户隶属于A2组织单位,Y计算机隶属于B2组织单位,当X用户从Y计算机开机并登录域时,应用GPO的情形如下:

1、当计算机开机时,会依次应用GPO1--GPO2--GPO3--GPO4中计算机设置的部分

2、当用户登录时,会依次应用GPO1--GPO2--GPO5中用户设置的部分。

 

重新应用组策略

实际更新组策略的间隔是以随机数产生,以90--120分钟的范围,倘若要强迫立即应用组策略,可执行GPUPDATE。EXE。

 

组策略的应用顺序:最先应用本机的组策略,其次为站点的组策略,再其次为域的组策略,然后是组织单位的组策略。倘若不考虑不可强制覆盖和不要继承策略,策略则是“后应用的设置值覆盖先应用的设置值。

 

3、下面来建立与管理组策略

   建立和应用组策略

以组织单位上建立为例

AD域和组织架构 ad域 组策略_系统管理员_05

点属性

AD域和组织架构 ad域 组策略_系统管理员_06

点新建

AD域和组织架构 ad域 组策略_用户登录_07

新建了一个并重新命名了。即这个GPO FOR 业务部对象连接到了组织单位业务部。由于现在对此GPO没做任何设置,因此该组策略没有任何能力

 

设置阻碍策略继承与不可强制覆盖

如果不希望业务部继承上层的组策略,则对该组织单位设置阻碍策略继承,如果希望业务部在下层组织单位都能够有效,不被其它组策略覆盖。看下面

AD域和组织架构 ad域 组策略_数据库_08

在阻止策略继承打上勾。

AD域和组织架构 ad域 组策略_系统管理员_09

然后如图打上勾便可。

 

与已有的GPO建立连接关系。

AD域和组织架构 ad域 组策略_AD域和组织架构_10

可选取要连接的GPO。按确定。

调整GPO的应用顺序

当同一个对象连接到多个GPO时,系统管理员可以决定应用顺序,在组策略选项卡中,排在比较下面的GPO会先应用。当各个策略的设置发生冲突时,较晚应用于的策略(排在上面的GPO)会覆盖较先应用的策略(排在下面)。

AD域和组织架构 ad域 组策略_系统管理员_11

选取后按向上或向下即可。

 

删除GPO与中断连接

假如要删除如上图选中的

AD域和组织架构 ad域 组策略_AD域和组织架构_12

这里有两个选项。选第一个是将中断所有容器与这个GPO的连接,但不删除此GPO。

AD域和组织架构 ad域 组策略_操作系统_13

点是

 

禁用GPO计算机设置或用户设置

应用组策略会延长计算机开机与用户登录所耗费的时间,而且连接的GPO愈多,花费的时间就越久,由于每一个GPO都有计算机设置和用户设置两个节点,我们可以禁用其中一个节点的设置来加快登录速度:

AD域和组织架构 ad域 组策略_AD域和组织架构_14

点属性

AD域和组织架构 ad域 组策略_操作系统_15

下面有两个选项,比如选禁用计算机设置。

AD域和组织架构 ad域 组策略_AD域和组织架构_16

选是。

 

筛选组策略

  在正常情况下,将某个组策略应用到SDOU后,隶属于该SDOU的用户与计算机都受到此策略的影响,假设DOMIAN ADMIN组排除在外,不受该组策略的影响,此时就会用到筛选功能。其实就是改变GPO的ACL而已。计算机与用户之所以受到组策略影响,是因为它们默认对于该GPO有读取和应用组策略两种权限,以下示范一下:

 

AD域和组织架构 ad域 组策略_用户登录_17

点属性

AD域和组织架构 ad域 组策略_操作系统_18

点属性

AD域和组织架构 ad域 组策略_用户登录_19

勾选拒绝,表示不赋予权限给用户、计算机或组。都不勾选,则表示隐含拒绝。代表一种强有力较弱的拒绝,无法覆盖允许。以DEFAULT DOMAIN POLICY应用于ADMINISTRATOR帐户的默认情形为例。ADMINISTRATOR同时隶属于AUTHENTICATED USERS 、DOMAIN ADMINS、与ENTERPRISE ADMINS三个组,后两个组对于DEFAULT DOMIAN POLICY 没设置允许或拒绝,属于隐含拒绝。但是AUTHENTICATED USERS 组、对于DEFAULT DOMAIN POLICY 有读取和应用组策略两项权限,所以ADMINISTRATOR 还是受到该组策略的约束。

  通常规划组策略时,有两种逻辑:1、策略允许,例外拒绝:保留对AUTHENTICATED USERS组,让所有登录域的人都应用组策略。再针对特定的组拒绝应用组策略,这种方式相当于先关闭大门,再逐一过滤放行,安全较高。2、策略拒绝,例外允许:自ACL中删除AUTHENTICATED USERS组,让所有登录域的人都不应用组策略,然后对于需要应用组策略的组和用户,个别”允许读取“与”允许应用组策略两项权限,两项权限,这咱方式相当于先敞开大门,再逐一过滤拦阻,稍有疏失便产生漏网之鱼,安全性较差,建议少用。

 

委派控制GPO:

  要将管理GPO的工作委派给特定的用户,必须按照如下步骤:1、委派“建立GPO连接关系”的权限,利用委派控制向导将管理组策略连接授权给特定的用户。2、委派“新建与删除GPO”的权限,将用户帐户加入GROUP POLICY CREATOR OWNER组,便也能使他获得新建与删除GPO的权限。注意这两步骤不能颠倒,否则无法委派成功。

 

委派建立GPO连接关系的权限

假设要将建立GPO连接关系的权限委派给李小龙。

AD域和组织架构 ad域 组策略_系统管理员_20

点委派控制。

AD域和组织架构 ad域 组策略_用户登录_21

便来到向导,点下一步。

AD域和组织架构 ad域 组策略_数据库_22

点添加。

AD域和组织架构 ad域 组策略_数据库_23

确定

AD域和组织架构 ad域 组策略_数据库_24

按图勾上。

AD域和组织架构 ad域 组策略_系统管理员_25

点完成。

 

委派新建与删除GPO的权限:

因为内置的GROUP POLICY CREATOR OWNER组,拥有在域内新建与删除GPO的权限,所以只要将李小龙加入该组中,便能够在域内新建与删除GPO。

AD域和组织架构 ad域 组策略_AD域和组织架构_26

点添加到组

AD域和组织架构 ad域 组策略_操作系统_27

输入组。

AD域和组织架构 ad域 组策略_操作系统_28

提示成功加入。

 

4、规划组策略的建议

    *一般性策略尽量应用于上层容器,较特殊的策略应用于下层容器

    *尽量避免使用不可强制覆盖与阻碍策略继承两项功能,维持整个组策略单纯,清楚的结构,减低各项设置发生冲突的机率。

   *善用筛选,一方面可以使用特定的组不应用组策略,另一方面可以加快这些组成员的登录

   *控制GPO的数目,因为设置的GPO愈多,登录所花费的时间愈长。

   *禁用GPO中没有作用的节点,以加快所花费的时间愈长。

   *善用委派控制,减低系统管理员的负担。

 

5、使用策略结果集

   策略结果集(RSOP)主要有两项功能“模拟应用组策略之后的效果”和“查看应用哪些组策略”

RSOP两种模式:

1、计划模式:主要提供仿真功能,使得系统管理员在做某些动作之前,可以先预知结果。以避免事后反复地修正。通常在下列情形会用到此模式:将用户或计算机加入某个组织单位之前。将用户或计算机在组织单位间移动之前。想了解特定组策略应用在站点、域和组织单位时的差异。,因为计划模式会影响到AD数据库的属性,因此必须为ENTERPRISE ADMINS或DOMAIN ADMINS的成员,或是获得产生策略结果集的委派,才能够执行计划模式。

2、记录模式;

对于已登录的用户,记录模式可以将它们所应用的组策略,整理成一份报告,有了这份报告,系统管理员更能够省下用纸笔记录的工夫,通常在以下情形会用到此模式:想知道特定用户应用了哪些策略。想知道是否有哪些组策略,在应用过程中被覆盖或是被阻碍策略继承阻挡。

  若是从A计算机执行记录模式,所要查看的对象也是从A计算机登录域,那么执行记录模式的用户不必是具有系统管理员的权限,只要是一般域用户即可,但是查看的对象若是从B计算机登录域,那么执行记录模式的用户必须为ENTERPRISE ADMINS 或DOMAIN ADMINS的成员,或是获得产生策略结果集的委派权限。

 

以计划模式仿真应用策略。

假设李小龙从USERS移到总管理处组织单位,其它的设置都保持不变。首先运行“打开/运行”

AD域和组织架构 ad域 组策略_系统管理员_29

输入MMC。

AD域和组织架构 ad域 组策略_系统管理员_30

点添加/删除管理单元。

AD域和组织架构 ad域 组策略_操作系统_31

按添加按扭。

AD域和组织架构 ad域 组策略_AD域和组织架构_32

又击策略结果

AD域和组织架构 ad域 组策略_用户登录_33

看到已添加进去了。

AD域和组织架构 ad域 组策略_操作系统_34

执行“生成RSOP数据”

AD域和组织架构 ad域 组策略_操作系统_35

下一步

AD域和组织架构 ad域 组策略_数据库_36

选取“计划模式”

AD域和组织架构 ad域 组策略_数据库_37

选择用户按钮,输入”域名称/用户登录名称“选取计算机”,输入“域名称/计算机名称”。

假设李小龙从这部WIN2003计算机登录域。按下一步。

AD域和组织架构 ad域 组策略_操作系统_38

下一步

AD域和组织架构 ad域 组策略_AD域和组织架构_39

显示了李小龙原属的组织单位,按浏览按扭。选择要移到的总管理处组织单位。然后下一步。

AD域和组织架构 ad域 组策略_用户登录_40

按下一步。

AD域和组织架构 ad域 组策略_用户登录_41

 

下一步

AD域和组织架构 ad域 组策略_数据库_42

下一步

AD域和组织架构 ad域 组策略_用户登录_43

开始仿真,搜集信息。

AD域和组织架构 ad域 组策略_系统管理员_44

完成。

AD域和组织架构 ad域 组策略_数据库_45

可看到结果。

 

 

 

本文出自 “ yangming.com” 博客,请务必保留此出处 [url]http://ming228.blog.51cto.com/421298/95653[/url]

本文出自 51CTO.COM技术博客

转载于:https://blog.51cto.com/komichu/105397