资源预览内容
第1页 / 共29页
第2页 / 共29页
第3页 / 共29页
第4页 / 共29页
第5页 / 共29页
第6页 / 共29页
第7页 / 共29页
第8页 / 共29页
第9页 / 共29页
第10页 / 共29页
亲,该文档总共29页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
AD-组策略,大纲,组策略概述,组策略的处理规则,组策略的委派管理,一组策略概述,组策略提供的功能 组策略分类 组策略对象 组策略应用时间,组策略提供的功能,组策略是一个管理用户工作环境的技术,通过它可以确保用户拥有所需的工作环境,也可以通过它来限制用户,这不仅让用户拥有适当的环境,也减轻了系统管理员的管理负担。 组策略所提供的功能如下所示: 账户策略的设定例如设定用户密码的长度、密码使用期限、账户锁定策略等。 本地策略的设定例如审核策略的设定、用户权限的指派、安全性的设定。 脚本(scripts)的设定例如登录/注销、启动/关机脚本的设定。 用户工作环境的设定例如隐藏用户桌面上所有的图标,删除“开始”菜单中的“运 行”/“搜索”/“关机”等功能,在“开始”菜单中添加“注销”的功能等。 软件的安装与删除用户登录或计算机启动时,自动为用户安装应用软件、自动修 复应用软件或自动删除应用软件。 限制软件的运行通过各种不同软件限制的规则,来限制域用户只能运行某些软 件。 文件夹转移例如改变“我的文档”、“开始菜单”等文件夹的存储位置。 其他系统设定例如让所有的计算机都自动信任指定的CA(Certificate Authority),组策略中包含“计算机配置(computer configuration)”与“用户配置(user configuration)” 两部分: 计算机配置当启动计算机时,系统就会根据“计算机配置”的内容来配置计算机 的环境。举例来说,如果针对域配置了组策略,那么此组策略内的“计算 机配置”就会被应用到此域内的所有计算机。 用户配置当用户登录时,系统就会根据“用户配置”的内容来配置用户的工作环 境。举例来说,如果针对“业务部”OU设定了组策略,那么此组策略内的“用户 配置”就会被应用到此OU内的所有用户。 除了可以针对站点、域与OU来设定组策略之外,还可以针对每一台计算机配置“本地计算机策略(local computer policy)”,这个计算机策略只会应用到本地计算机以及在此计算机登录的所有用户。,组策略分类,组策略对象,组策略是通过“组策略对象(Group Policy Object,GPO)”来设定的,只要将GPO链接到指定的站点、域或OU,该GPO内的设定值就会影响到该站点、域或OU内的所有用户与计算机。 内建的 GPO系统已经有两个内建的GPO,分别是: Default Domain Ploicy 此GPO已经被链接到域,因此它的设定值会被应用到整个域内的所有用户与计算机。 Default Domain Controller Policy 此GPO已经被链接到Domain Controllers OU,因此它的设定值会被应用到域控制器组织单位内的所有用户与计算机。在域控制器组织单位内,系统默认只有扮演域控制器的计算机账户。,策略应用时间,当修改了站点、域或OU的GPO配置值后,这些配置值并不是立刻就对站点、域或OU内的用户与计算机有效,而是必须等它们被应用到用户或计算机后才有效。那么,GPO配置值何时会被应用到用户与计算机呢?这要看是计算机配置、还是用户配置而定。 计算机配置的启用时间 域内的计算机会在以下情况下应用GPO内的计算机配置值: 计算机开机时自动启用。 即使计算机不重新开机,系统仍然会每隔一段时间自动启用: 域控制器默认每隔5分钟自动启用 非域控制器默认每隔90120分钟自动启用 不论策略配置值是否有变动,系统仍然会每隔16小时自动启用一次 手动启用。执行“开始”“所有程序”“附件”“命令提示符”命令,然后 运行以下命令: gpupdate /target:computer /force,用户配置的启用时间 域内的用户会在以下情况中启用GPO内的用户配置值: 用户登录时自动启用。 即使用户不注销、登录,系统默认每隔90120分钟自动启用。而且不论策略配置值 是否有变动,系统仍然会每隔16小时自动启用一次。 手动启用。执行“开始”“所有程序”“附件”“命令提示符”命令,然后 运行以下命令: gpupdate /target:user /force 当然,我们用这个命令gpupdate /force可以同时刷新用户和计算机策略, 完成后,可执行操作:“开始”“管理工具”“事件查看器”“应用程序” 中来源为“SceCli”的事件,来检查是否已经启用成功。 部分的策略配置,必须待计算机重新启动或用户登录时才有效,如“软件 安装策略”与“文件夹重定向策略”。,二组策略的处理规则,一般的继承与处理规则 例外的继承配置 改变管理GPO的域控制器 更改组策略的应用间隔时间,一般的继承与处理规则,组策略的配置具有继承性,它的处理规则如下: 如果父容器(high-level container)的某个策略被配置,但其子容器(low-level container)的策略未被配置,则子容器的这个策略将继承父容器的配置值。 如果子容器内的某个策略被配置,则此配置值会覆盖由其父容器所传递下来的配置 值。 组策略的配置是有累加性的(cumulative), 但当域、站点与“一年级”OU之间的GPO配置发生冲突时,则以处理顺序在后的GPO 优先。系统处理GPO的优先顺序是: 站点的GPO、域的GPO、OU的GPO。 系统是先处理“计算机配置”,再处理“用户配置”。如果组策略内的“计算机配 置”与“用户配置”冲突时,虽然“用户配置”在后,但在大部分情况下却是以“计 算机配置”优先。 如果您将多个GPO链接到同一个OU,那么所有GPO的配置将被累加起来,作为最 后的有效配置值,如果这些GPO的配置相互冲突时,将以排在前面的GPO配置为优 先,,例外的继承配置,除了一般的继承与处理规则外,还可以配置以下的例外规则。 阻止策略继承 置不继承由父容器传递来的所有GPO配置,也就是直接以子容器的GPO作为配置值。如果 子容器的GPO内设置为“尚未配置”,则采用默认值,强制策略继承 强制策略继承(enforcing inheritance)是指可以在父容器中通过GPO的“禁止替代(No Override)”选项强制子容器必须继承(不准覆盖)此GPO内的组策略设定,而不论子容器是否设置了“阻止策略继承”,过滤组策略配置 过滤组策略配置(Filtering Group Policy)是指在某个容器(如“一年级”OU)建立GPO后,此GPO的设置将被应用到这个容器内的所有用户与计算机。也可以让此GPO不应 用到特定的用户或计算机,例如“一年级”OU的GPO配置内,可对所有业务部工作人员的工作环境做某些限制,但对业务部经理不作此限制。 位于容器内的用户与计算机,默认地对该容器的GPO都具有“读取”与“应用组策略”权限,可以通过:下图所示中选择GPO单击“属性”按钮“安全”的方法来查看,图中的Authenticated Users表示所有经过身份确认的用户与计算机。若不想将此GPO的设置应用到此容器内的用户张三,只需单击“添加”按钮,选择用户Jackie,然后将张三的这两个权限设为“拒绝”即可。,改变管理GPO的域控制器,当在添加、修改或删除组策略的配置时,这些变动默认地被存储到作为“PDC 模拟主 机”的域控制器内,然后再由“PDC 模拟主机”将其复制到其他的域控制器。但是如果您 人在上海,而“PDC模拟主机”却远在台北,此时您可能希望所有的变动都能够直接存储 到位于上海的域控制器内。 身为系统管理员的您,可以通过“DC选项”命令与组策略两种方式来改变管理GPO的 域控制器。 利用“DC选项”命令 在“组策略编辑器”对话框,执行操作:单击GPO“查看”“DC 选项”单击GPO“查看”“DC选项”“域控制器选项”。 图中选择域控制器的选项有以下三种: 拥有PDC模拟器操作主机令牌的域控制器也就是使用“PDC模拟主机”。“PDC 模拟主机(primary domain controller emulator master)”又称为“主域控制器模 拟主机”。这是默认值,也是建议值。 由Active Directory管理单元使用的域控制器当您通过任何一个程序(如“Active Directory 用户和计算机”嵌入式管理单元)来启动“组策略编辑器”时,使用 此“组策略编辑器”所链接的域控制器。 使用任何可用的域控制器此选项让“组策略编辑器”可以任意选择一台域控 制器。不建议您采用这种方式。, 利用组策略 假设您要设置上海的系统管理员,该用户账户位于“上海系统管理员”OU内,那 么,可以通过此OU内的GPO来设置,在“组策略编辑器”对话框中, 双击“组策略域控制器选择”,然后在如图所示对话框中选择域控制器。,更改组策略的应用间隔时间,上一节讲过域成员与域控制器何时会应用组策略的设置,这些设置可以更改,不过建议不要将刷新组策略的间隔时间设得太短,否则会增加网络的负担。 1.更改“计算机配置”的应用间隔时间 设置路径为:GPO-计算机配置-策略-管理模板-系统-组策略-计算机策略刷新间隔时间。如下图:图中的设置是每隔90分钟加上0-30分钟的随机值,也就是会每隔90-120分钟之间会应用一次,如果禁用或未配置此策略,则默认就是每隔90-120分钟之间会应用一次,如果将时间设置为0分钟,则系统会每隔7秒钟应用一次。,2.更改“用户配置”的应用间隔时间 同更改“计算机配置”的应用间隔时间一样,只需要在“用户配置”下更改即可。,组策略的委派管理,我们可以将GPO的链接、添加与编辑等管理工作,分派给不同的用户负责,以分散、 减轻GPO的管理负担。 系统默认Domain Admins或Enterprise Admins组内的用户可以将GPO链接到站点、域或 OU;一般用户没有这个权限,但只要他们拥有对站点、域或OU的gPLink与gPOptions这两 个属性的读取与写入权限,就可以将GPO链接到站点、域或OU。 我们可以通过“委派控制”的方式来赋予一般用户这些权限。以下我们要将“业务部” OU的gPLink与gPOptions两个属性的读取与写入权限,开放给用户“王乔治”,让他可以将 GPO链接“业务部”OU。,步骤1 执行操作:“开始”“管理工具”“Active Directory 用户和计算机” 右击“一年级”OU“委派控制”。 步骤2 出现“欢迎使用委派控制向导”对话框时单击“下一步”按钮。 步骤3 在如图所示对话框中单击“添加”按钮。 步骤4 在如图所示对话框中选择用户“张三”, 步骤5 在如图所示对话框中单击“下一步”按钮。 步骤6 在如图所示对话框中选择自己想要委派的选项后,并单击“下一步”按钮。 也可以选择“建立自订工作来委派”,个属性的权限开放给用户“王乔治” 步骤7 在如图所示对话框中单击“完成”按钮。,
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号