AD-组策略分析

提升服务、力争优秀AD--组策略提升服务、力争优秀大纲组策略概述组策略的处理规则组策略的委派管理提升服务、力争优秀一组策略概述组策略提供的功能组策略分类组策略对象组策略应用时间提升服务、力争优秀组策略提供的功能组策略是一个管理用户工作环境的技术，通过它可以确保用户拥有所需的工作环境，也可以通过它来限制用户，这不仅让用户拥有适当的环境，也减轻了系统管理员的管理负担。组策略所提供的功能如下所示：Ø账户策略的设定例如设定用户密码的长度、密码使用期限、账户锁定策略等。Ø本地策略的设定例如审核策略的设定、用户权限的指派、安全性的设定。Ø脚本（scripts）的设定例如登录/注销、启动/关机脚本的设定。Ø用户工作环境的设定例如隐藏用户桌面上所有的图标，删除“开始”菜单中的“运行”/“搜索”/“关机”等功能，在“开始”菜单中添加“注销”的功能等。Ø软件的安装与删除用户登录或计算机启动时，自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。Ø限制软件的运行通过各种不同软件限制的规则，来限制域用户只能运行某些软件。Ø文件夹转移例如改变“我的文档”、“开始菜单”等文件夹的存储位置。Ø其他系统设定例如让所有的计算机都自动信任指定的CA（CertificateAuthority）提升服务、力争优秀组策略中包含“计算机配置（computerconfiguration）”与“用户配置（userconfiguration）”两部分：Ø计算机配置当启动计算机时，系统就会根据“计算机配置”的内容来配置计算机的环境。举例来说，如果针对域abc.com配置了组策略，那么此组策略内的“计算机配置”就会被应用到此域内的所有计算机。Ø用户配置当用户登录时，系统就会根据“用户配置”的内容来配置用户的工作环境。举例来说，如果针对“业务部”OU设定了组策略，那么此组策略内的“用户配置”就会被应用到此OU内的所有用户。除了可以针对站点、域与OU来设定组策略之外，还可以针对每一台计算机配置“本地计算机策略（localcomputerpolicy）”，这个计算机策略只会应用到本地计算机以及在此计算机登录的所有用户。组策略分类提升服务、力争优秀提升服务、力争优秀组策略对象组策略是通过“组策略对象（GroupPolicyObject，GPO）”来设定的，只要将GPO链接到指定的站点、域或OU，该GPO内的设定值就会影响到该站点、域或OU内的所有用户与计算机。内建的GPO系统已经有两个内建的GPO，分别是：ØDefaultDomainPloicy此GPO已经被链接到域，因此它的设定值会被应用到整个域内的所有用户与计算机。ØDefaultDomainControllerPolicy此GPO已经被链接到DomainControllersOU，因此它的设定值会被应用到域控制器组织单位内的所有用户与计算机。在域控制器组织单位内，系统默认只有扮演域控制器的计算机账户。提升服务、力争优秀提升服务、力争优秀策略应用时间当修改了站点、域或OU的GPO配置值后，这些配置值并不是立刻就对站点、域或OU内的用户与计算机有效，而是必须等它们被应用到用户或计算机后才有效。那么，GPO配置值何时会被应用到用户与计算机呢？这要看是计算机配置、还是用户配置而定。计算机配置的启用时间域内的计算机会在以下情况下应用GPO内的计算机配置值：Ø计算机开机时自动启用。Ø即使计算机不重新开机，系统仍然会每隔一段时间自动启用：·域控制器默认每隔5分钟自动启用·非域控制器默认每隔90~120分钟自动启用·不论策略配置值是否有变动，系统仍然会每隔16小时自动启用一次Ø手动启用。执行“开始”→“所有程序”→“附件”→“命令提示符”命令，然后运行以下命令：gpupdate/target:computer/force提升服务、力争优秀用户配置的启用时间域内的用户会在以下情况中启用GPO内的用户配置值：Ø用户登录时自动启用。Ø即使用户不注销、登录，系统默认每隔90~120分钟自动启用。而且不论策略配置值是否有变动，系统仍然会每隔16小时自动启用一次。Ø手动启用。执行“开始”→“所有程序”→“附件”→“命令提示符”命令，然后运行以下命令：gpupdate/target:user/force当然，我们用这个命令gpupdate/force可以同时刷新用户和计算机策略，完成后，可执行操作：“开始”→“管理工具”→“事件查看器”→“应用程序”中来源为“SceCli”的事件，来检查是否已经启用成功。部分的策略配置，必须待计算机重新启动或用户登录时才有效，如“软件安装策略”与“文件夹重定向策略”。提升服务、力争优秀提升服务、力争优秀二组策略的处理规则一般的继承与处理规则例外的继承配置改变管理GPO的域控制器更改组策略的应用间隔时间提升服务、力争优秀一般的继承与处理规则组策略的配置具有继承性，它的处理规则如下：Ø如果父容器（high-levelcontainer）的某个策略被配置，但其子容器（low-levelcontainer）的策略未被配置，则子容器的这个策略将继承父容器的配置值。Ø如果子容器内的某个策略被配置，则此配置值会覆盖由其父容器所传递下来的配置值。Ø组策略的配置是有累加性的（cumulative），但当域、站点与“一年级”OU之间的GPO配置发生冲突时，则以处理顺序在后的GPO优先。系统处理GPO的优先顺序是：站点的GPO、域的GPO、OU的GPO。Ø系统是先处理“计算机配置”，再处理“用户配置”。如果组策略内的“计算机配置”与“用户配置”冲突时，虽然“用户配置”在后，但在大部分情况下却是以“计算机配置”优先。Ø如果您将多个GPO链接到同一个OU，那么所有GPO的配置将被累加起来，作为最后的有效配置值，如果这些GPO的配置相互冲突时，将以排在前面的GPO配置为优先，提升服务、力争优秀提升服务、力争优秀例外的继承配置除了一般的继承与处理规则外，还可以配置以下的例外规则。阻止策略继承置不继承由父容器传递来的所有GPO配置，也就是直接以子容器的GPO作为配置值。如果子容器的GPO内设置为“尚未配置”，则采用默认值提升服务、力争优秀提升服务、力争优秀强制策略继承强制策略继承（enforcinginheritance）是指可以在父容器中通过GPO的“禁止替代（NoOverride）”选项强制子容器必须继承（不准覆盖）此GPO内的组策略设定，而不论子容器是否设置了“阻止策略继承”提升服务、力争优秀提升服务、力争优秀过滤组策略配置过滤组策略配置（FilteringGroupPolicy）是指在某个容器（如“一年级”OU）建立GPO后，此GPO的设置将被应用到这个容器内的所有用户与计算机。也可以让此GPO不应用到特定的用户或计算机，例如“一年级”OU的GPO配置内，可对所有业务部工作人员的工作环境做某些限制，但对业务部经理不作此限制。位于容器内的用户与计算机，默认地对该容器的GPO都具有“读取”与“应用组策略”权限，可以通过：下图所示中选择GPO→单击“属性”按钮→“安全”的方法来查看，图中的AuthenticatedUsers表示所有经过身份确认的用户与计算机。若不想将此GPO的设置应用到此容器内的用户张三，只需单击“添加”按钮，选择用户Jackie，然后将张三的这两个权限设为“拒绝”即可。提升服务、力争优秀提升服务、力争优秀改变管理GPO的域控制器当在添加、修改或删除组策略的配置时，这些变动默认地被存储到作为“PDC模拟主机”的域控制器内，然后再由“PDC模拟主机”将其复制到其他的域控制器。但是如果您人在上海，而“PDC模拟主机”却远在台北，此时您可能希望所有的变动都能够直接存储到位于上海的域控制器内。身为系统管理员的您，可以通过“DC选项”命令与组策略两种方式来改变管理GPO的域控制器。Ø利用“DC选项”命令在“组策略编辑器”对话框，执行操作：单击GPO→“查看”→“DC选项”→单击GPO→“查看”→“DC选项”→“域控制器选项”。图中选择域控制器的选项有以下三种：·拥有PDC模拟器操作主机令牌的域控制器也就是使用“PDC模拟主机”。“PDC模拟主机（primarydomaincontrolleremulatormaster）”又称为“主域控制器模拟主机”。这是默认值，也是建议值。·由ActiveDirectory管理单元使用的域控制器当您通过任何一个程序（如“ActiveDirectory用户和计算机”嵌入式管理单元）来启动“组策略编辑器”时，使用此“组策略编辑器”所链接的域控制器。·使用任何可用的域控制器此选项让“组策略编辑器”可以任意选择一台域控制器。不建议您采用这种方式。提升服务、力争优秀提升服务、力争优秀Ø利用组策略假设您要设置上海的系统管理员，该用户账户位于“上海系统管理员”OU内，那么，可以通过此OU内的GPO来设置，在“组策略编辑器”对话框中，双击“‘组策略’域控制器选择”，然后在如图所示对话框中选择域控制器。提升服务、力争优秀提升服务、力争优秀更改组策略的应用间隔时间上一节讲过域成员与域控制器何时会应用组策略的设置，这些设置可以更改，不过建议不要将刷新组策略的间隔时间设得太短，否则会增加网络的负担。1.更改“计算机配置”的应用间隔时间设置路径为：GPO-计算机配置-策略-管理模板-系统-组策略-计算机策略刷新间隔时间。如下图：图中的设置是每隔90分钟加上0-30分钟的随机值，也就是会每隔90-120分钟之间会应用一次，如果禁用或未配置此策略，则默认就是每隔90-120分钟之间会应用一次，如果将时间设置为0分钟，则系统会每隔7秒钟应用一次。提升服务、力争优秀提升服务、力争优秀2.更改“用户配置”的应用间隔时间同更改“计算机配置”的应用间隔时间一样，只需要在“用户配置”下更改即可。提升服务、力争优秀组策略的委派管理我们可以将GPO的链接、添加与编辑等管理工作，分派给不同的用户负责，以分散、减轻GPO的管理负担。系统默认DomainAdmins或EnterpriseAdmins组内的用户可以将GPO链接到站点、域或OU；一般用户没有这个权限，但只要他们拥有对站点、域或OU的gPLink与gPOptions这两个属性的读取与写入权限，就可以将GPO链接到站点、域或OU。我们可以通过“委派控制”的方式来赋予一般用户这些权限。以下我们要将“业务部”OU的gPLink与gPOptions两个属性的读取与写入权限，开放给用户“王乔治”，让他可以将GPO链接“业务部”OU。提升服务、力争优秀步骤1执行操作：“开始”→“管理工具”→“ActiveDirectory用户和计算机”→右击“一年级”OU→“委派控制”。步骤2出现“欢迎使用委派控制向导”对话框时单击“下一步”按钮。步骤3在如图所示对话框中单击“添加”按钮。步骤4在如图所示对话框中选择用户“张三”，步骤5在如图所示对话框中单击“下一步”按钮。步骤6在如图所示对话框中选择自己想要委派的选项后，并单击“下一步”按钮。也可以选择“建立自订工作来委派”，个属性的权限开放给用户“王乔治”步骤7在如图所示对话框中单击“完成”按钮。