第03部分组织单位OU规划及创建组织单位OU规划及创建本章重点何谓组织单位规划组织单位管理组织单位管理组织单位的成员委派控制组织单位与委派控制组织单位(OrganizationalUnit)是从Windows2000之后才出现的对象,在AD域的逻辑架构中担任重要的角色。组织单位是什么?它能帮我们做什么?以及如何管理组织单位。何谓组织单位在WindowsNT的时代,域(Domain)是组织和管理网络的最小单位。倘若不同的部门有不同的安全需求与管理方式,往往因此得将整个公司划分成多个域。可是这种多域的架构,在管理与成本都会增加负担。为了解决这类的问题,微软公司在AD域中增加了组织单位这种对象,使得整个域的规划与管理更有弹性,能发挥『分层负责、授权管理』的优点。组织单位是一种容器能包含其它对象的对象便称为容器(Container),既然组织单位是一种容器,自然也能包含其它对象。它可以包含以下9种对象:用户、计算机、组、打印机、共享文件夹联络人、组织单位、InetOrgPerson、MSMQ路由别名但是要记得一点--组织单位仅能包含同域内的对象,不能包含其它域的对象!组织单位与组的差异初次接触组织单位时,许多用户会将它与『组』(Group)混淆,虽然两者都是应用在AD域的逻辑架构中,但是在使用上有以下的差异:一个用户可以隶属于多个组,但是只能隶属于一个组织单位。组织单位可以包含组,但是组不能包含组织单位。网络资源(例如:文件夹或打印机)的权限可以赋予组,但是不能赋予组织单位。规划组织单位如何规划组织单位的架构,是一个颇有挑战性的课题。然而并无一定的准则,主要视企业实际需求而定。以下列举几种常见的规划模式:基于功能SCMS–销售C–咨询M–市场基于混合型的示例功能组织位置功能组织位置基于组织MERM–制造业E–工程师R–研究员基于地理位置NFIN–挪威F–法国I–印尼委派控制简单地说,所谓的委派控制(Delegation)便是『授权』!系统管理员可利用它来将例行的管理工作,委派给特定的对象来执行,以减轻自己的负担。执行委派控制时应注意以下3个要点:委派的范围:将多大的范围(站点、域或组织单位)委派出去。委派的对象:委派给谁。委派的内容:委派多大的权限出去。修改委派控制的内容委派控制精灵有一个缺点--只能用来执行委派工作,不能『删除』或『更改』委派工作。如果要取消或更换授权的对象或工作内容,则必须直接修改该对象的ACL。以前例而言,若要修改原先委派给『贾聪明』的权限,或是将该委派工作改派给其它人,请先开启『总管理处的权限项目』交谈窗。第03部分组策略规划及创建组策略规划及创建组策略部署管理组策略对象的工具组策略对象链接组策略的应用用顺序组策略权限的继承阻止策略继承强制组策略组策略筛选组策略概述组策略在运行WindowsServer2008、WindowsVista、WindowsServer2003和WindowsXP的计算机上启用基于ActiveDirectory的用户和计算机设置更改和配置管理。除了使用组策略为用户和计算机组定义配置以外,还可以配置很多服务器特定的操作和安全设置,以便使用组策略帮助管理服务器计算机。组策略组件ContainsGroupPolicysettingsStorescontentintwolocationsGroupPolicyObjectStoredinsharedSYSVOLfolderProvidesGroupPolicysettingsGroupPolicyTemplateStoredinActiveDirectoryProvidesversioninformationGroupPolicyContainer组策略对象的工具默认组策略工具ActiveDirectory用户和计算机域和组织单位组策略对象ActiveDirectory站点和服务站点组策略对象本地安全策略本地计算机安全设置附加工具组策略管理域、组织单位和站点组策略对象组策略对象链接组织单位GPO组织单位GPO站点GPO域GPO站点域OUOUOU本地策略站点策略域策略父OU策略子OU策略组策略的应用用顺序组策略权限的继承域OUOUOUOUOU用户或计算机账户OUGPO1OUGPO3OUGPO2阻止策略继承要阻止策略在域或组织单位中继承ActiveDirectory用户和计算机管理工具要阻止策略在站点上继承ActiveDirectory站点和服务管理工具销售生产域组策略对象没有组策略对象设置应用强制组策略强制链接冲突组策略筛选销售生产域MengphKimyo组应用组策略拒绝读取和应用组策略允许GPO什么是WMI过滤器?500MBfreediskspace?WMIFilterAdministratorInstallOfficeXP?10GB400MB35GB750MBGPOWMI过滤Windows2000WindowsXPWindowsXPWMI过滤域控制器只套用XPProfessional查询是使用WMI查询语言(WQL)编写的仅运行WindowsXPProfessional的目标计算机Root\CimV2;Select*fromWin32_OperatingSystemwhereCaption=MicrosoftWindowsXPProfessional组策略什么时候应用?ComputerstartsComputersettingsappliedStartupscriptsrunRefreshIntervalUserlogsonUsersettingsappliedLogonscriptsrunRefreshInterval组策略处理过程同步处理异步处理管理组策略什么是COPY操作,执行COPY操作?什么是备份操作,执行备份操作?什么是恢复操作,执行恢复操作?什么是倒入操作,执行导入操作?什么是Copy操作?AcopyofaGPOtransfersonlythesettingswithinaGPOThenewGPOiscreatedunlinkedDACLUser1GPO1ReadFullControlDACLUser1GPO2ReadFullControlCopyOperation什么是Backup操作?Inabackupoperation,GroupPolicyManagementexportalldataintheGPOtotheselectedfileandsavestheGPTfilesBackupOperationBackupofaGPOGPO1GPO1什么是恢复操作?Inarestoreoperation,thecontentsoftheGPOarereturnedtoexactlythesamestateRestoreOperationGPO1Backed-upGPOGPO1什么是导入操作?Inanimportoperation,allGPOsettingsarecopiedfromthesourcetothetargetGPOGPO1ImportOperationGPO2GPOSettings将组策略应用于新用户和计算机帐户默认情况下,新用户和计算机帐户是在CN=Users和CN=Computers容器中创建的。Redirusr.exe(用于用户帐户)和Redircomp.exe(用于计算机帐户)是WindowsServer2008附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置,以便更轻松地为新创建的用户和计算机对象直接指定GPO作用域组策略和SysvolGPO中的策略设置信息存储在以下两个位置:ActiveDirectory和域控制器的Sysvol文件夹。ActiveDirectory容器称为组策略容器;Sysvol文件夹中包含组策略模板。组策略容器包含用于将GPO部署到域、OU和站点的属性。组策略容器还包含组策略模板的路径,该模板存储了大多数组策略设置。管理模板组策略中提供大量的设定使管理员可以通过一次设定,管理多台计算机或者多个用户组策略中很大一部分设定实际上是改的注册表管理模板(.ADM)文件定义了组策略如何修改注册表所有基于注册表的组策略设定存为registry.pol,放在sysvol中组策略首选项组策略首选项是WindowsServer2008操作系统中的新增功能,包括20多个新的组策略扩展,扩大了组策略对象(GPO)中可配置设置的范围。这些新的扩展位于组策略管理控制台(GPMC)的“组策略管理编辑器”窗口中的新首选项下面。新组策略首选项扩展的示例包括文件夹选项、映射驱动器、打印机、计划任务、服务以及「开始」菜单设置要求在客户端计算机上安装客户端扩展(CSE)集