Active Diretory 全攻略 组织单位与委派控制.doc

Active Diretory 全攻略（七）-组织单位与委派控制组织单位就是一个比域还小的管理单位，能够发挥“分层自治，授权自治”的优点。 组织单位有以下特性：1、组织单位是一种容器：它可以包含9种对象：用户、计算机、组、打印机、共享文件夹、联系人、组织单位、INETORGPERSON、MSMQ路由别名。但要注意，组织单位只能包含同一域内的对象，不能够包含其它域的对象。2、组织单位可以组成层次化结构。3、使用组织单位的电时机：通常是为了授权管理而建立组织单位。例如：业务部门的人事变动较频繁，因此常常要求系统管理员为他们删除、更改和建立帐户。于是系统管理员便建立“业务部”这个组织单位，将业务部的全部用户与计算机都隶属于该组织单位，并赋予业务部经理新建、删除、与修改用户帐户和计算机帐户的权力。以后该部门的帐户变动就不用麻烦系统管理员了，因此，“建立组织单位”和“授权”可说是非常密切的关系。4、组织单位与组的差异：1、一个用户可以可以隶属于多个组，但是只能够隶属于一个组织单位。2、组织单位可以包含组，但是组内不能够包含组织单位。3、对网络资源设置权限时，可以设给组，但是不能够设给组织单位。下面来看规划组织单位1依地理区域划分。2、依管理区域划分3、依事业单位划分4、依专案内容划分5、依部门组织划分6、依对象类型划分7、混合式划分下面来看管理组织单位新建组织单位右击-新建。填写名称已建立好。来看移动组织单位，点人事处这个组织单位，将移到总管理处。已移入总管理处。重新命名，点右键-重命名。下面来看管理组织单位的成员新建用户这里以下的操作之前都详细做过，在这里就不做下去了。下面来看新建计算机这里建名为MING的计算机下一步完成。下面来移动组织单位的成员将这个帐户移动总管理处右击移动。便可以看到结果了。下面来看委派控制委派范围：在AD中可以委派控制的范围是站点、域、和组织单位合称为：SDOU从管理层面来看，不同的委派范围涉及不同的性质工作。例如：站点上最主要工作就是新建、删除站点、网站连接、子网络等项目。组织单位上最常见的工作，通常是新建、删除用户和计算机帐户、重设密码与应用组策略等。所以说，委派的范围有两重意义，第一，它界定了管辖权的范围，就是说被委派的对象只允许在此范围内行使管理权，第二，它提示了不同性质的工作属性，我们应当针对不同的范围委派的工作。委派对象：在从多AD对象中只有用户、计算机和组可以作为委派控制的对象，此外，该对象不必和授权范围有任何隶属关系。例如：可以将A组织单位委派给B组织单位的成员管理，甚至可以委派给其它域的用户管理。委派内容：假设李小龙在总管理处对打印机有完全控制能力右击下一步按添加确定下一步下一步下一步完成下面来看委派控制的本质委派控制其实就是修改AD对象中的ACL，使委派的对象具有相符的权限。查看高级功能在总管理处执行-属性。验证委派的ACL。选高级，显示委派工作的内容。委派控制向导有一个缺点：只能够用来建立委派工作，但是无法删除或更改委派工作，如果要取消或更改授权的人选或者工作属性，则必须直接修改该对象的ACL。执行总管理处右击，切换到安全，再按编辑就可以修改委派的权限。Active Diretory 全攻略（八）-组策略（1）组策略与OU中的组没有关系，不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如：用户桌面环境、计算机启动/关机所执行脚本文件，用户登录/注销所执行的脚本文件、文件重定向、软件安装等。 一、组策略的基本概念1、组策略的设置数据保存在AD数据库中，因此必须在域控制器上设置组策略。2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。3、组策略不能应用到组，只能够应用到站点、域或组织单位（SDOU）4、组策略不适用于WINDOWS9X/NT的计算机，所以应用到这些计算机上无效。5、组策略不会影响未加入域的计算机和用户，对于这些计算机和用户，应使用本地安全策略来管理。注意一下：本地安全策略与组策略很相似，但功能较少，仅能管理本机上的计算机设置与用户设置。GPO的特性：组策略的设置数据都是保存在“组策略对象“（GPO）中，GPO具有以下特性：1、GPO利用ACL记录权限设置，可以修改个别GPO的ACL，指定哪些人对该GPO拥有何种权限。2、用户只要有足够的权限，便能够添加或删除GPO，但无法复制GPO。当AD域刚建好时，默认仅有一个GPO-DEFAOLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略，通常会再另行建立GPO，以方便管理。GPO的内容：GPO有两大类策略：1、计算机设置：包含所有与计算机有关的策略设置，这些策略只会应用到计算机帐户。2、用户设置：包含所有与用户有关的策略设置，这些策略只会应用到用户帐户。下面来看下打开属性可以看到这里只有一个，而且是默认的。点编辑来到这个默认GPO编辑器。在这个域树结构中，计算机设置和用户设置称为节点（NODE）而这两个节点又都包含了软件设置、WINDOWS设置和系统管理模块三个子节点。介绍如下：软件设置：此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。WINDOWS设置：在这里，系统管理员能够设置脚本文件、建立帐户策略、指派USER RIGHT和集中管理用户配置文件。WINDOWS设置在计算机设置与用户设置内，分别有不同的设置项目：在计算机设置的WINDOWS设置中，能够设置脚本文件与安全性设置策略。在用户设置的WINDOWS设置中，能够设置INTERNET EXPLORER维护、脚本文件、安全性设置、远程安装服务与文件重定向策略。系统管理模板：所有涉到注册表的策略都集成在主个子节点下。系统管理模板在计算机设置能够设置WINDOWS元件、系统、网络与打印机策略。在用户设置的系统管理模板，能够设置WINDOWS元件、开始菜单、和任务栏、桌面控制台、网络与系统策略。GPO与SDOU的连接关系：GPO本身保存组策略的设置值，必须要进一步指定GPO连接一哪个SDOU，才能使用组策略在应用对象生效。GPO与SDOU间的连接关系，可以是一对一，一对多或多对一。2、组策略的应用机制：两项特性：继承与累加策略继承：在AD结构中，若X容器下层还有Y容器，则Y容器便是所谓的”子容器“，X，Y容器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的GPO。在整个继承关系中，最上层为站点，其下层为域与组织单位。若有多层组织单位，则下层组织单位会继承上层组织单位的GPO。策略累加：策略累加机制和组策略的应用顺序有密切的关系，假设将域FLAG。COM连接到GPO-F，将组织单位PRODUCT与EMLPOYE分别连接到GPO-P和GPO-E。PRODUCT与EMPLOYE这两个组织单位除了本身的组策略外，还会继承来自上层容器策略。子容器会首先应用继承来自上层容器的组策略，然后再应用本身的组策略，当上层的设置项目与下层的设置项目不同时，组策略的效果可以相加，但若是对同一个项目做不同的设置，则先应用的策略会被后来应用的策略覆盖。何时应用组策略：开机/登录：当计算机开机时，域控制器会根据计算机帐户在AD中的位置，决定该计算机必须应用哪些GPO。此时仅应用这些GPO中计算机设置的部分。用户登录时，即按CTRL+ALT+DEL后，输入账号和密码。域控制器会根据用户帐户在AD中的位置，决定该用户必须应用哪些GPO。此时仅应用这些GPO中用户设置的部分。一般而言，都是计算机顺利启动之后，用户才能用该计算机登录域，因此，在实际上是先应用计算机设置，后应用用户设置。不过，这里出现一个值得注意的现象，当计算机设置和用户设置发生冲突时，若依照前面的概念，应该是后应用的用户设置覆盖掉先应用的计算机设置，然而并不是这样，事实是计算机设置覆盖掉用户设置。此外由于计算机与用户可能分别隶属不同的站点、域或组织单位，因此，各自可能会继承不同的GPO。，由图可知，X用户隶属于A2组织单位，Y计算机隶属于B2组织单位，当X用户从Y计算机开机并登录域时，应用GPO的情形如下：1、当计算机开机时，会依次应用GPO1-GPO2-GPO3-GPO4中计算机设置的部分2、当用户登录时，会依次应用GPO1-GPO2-GPO5中用户设置的部分。重新应用组策略实际更新组策略的间隔是以随机数产生，以90-120分钟的范围，倘若要强迫立即应用组策略，可执行GPUPDATE。EXE。组策略的应用顺序：最先应用本机的组策略，其次为站点的组策略，再其次为域的组策略，然后是组织单位的组策略。倘若不考虑不可强制覆盖和不要继承策略，策略则是“后应用的设置值覆盖先应用的设置值。3、下面来建立与管理组策略建立和应用组策略以组织单位上建立为例点属性点新建新建了一个并重新命名了。即这个GPO FOR 业务部对象连接到了组织单位业务部。由于现在对此GPO没做任何设置，因此该组策略没有任何能力设置阻碍策略继承与不可强制覆盖如果不希望业务部继承上层的组策略，则对该组织单位设置阻碍策略继承，如果希望业务部在下层组织单位都能够有效，不被其它组策略覆盖。看下面 在阻止策略继承打上勾。然后如图打上勾便可。与已有的GPO建立连接关系。可选取要连接的GPO。按确定。调整GPO的应用顺序当同一个对象连接到多个GPO时，系统管理员可以决定应用顺序，在组策略选项卡中，排在比较下面的GPO会先应用。当各个策略的设置发生冲突时，较晚应用于的策略（排在上面的GPO）会覆盖较先应用的策略（排在下面）。选取后按向上或向下即可。删除GPO与中断连接假如要删除如上图选中的这里有两个选项。选第一个是将中断所有容器与这个GPO的连接，但不删除此GPO。点是禁用GPO计算机设置或用户设置应用组策略会延长计算机开机与用户登录所耗费的时间，而且连接的GPO愈多，花费的时间就越久，由于每一个GPO都有计算机设置和用户设置两个节点，我们可以禁用其中一个节点的设置来加快登录速度：点属性下面有两个选项，比如选禁用计算机设置。选是。筛选组策略在正常情况下，将某个组策略应用到SDOU后，隶属于该SDOU的用户与计算机都受到此策略的影响，假设DOMIAN ADMIN组排除在外，不受该组策略的影响，此时就会用到筛选功能。其实就是改变GPO的ACL而已。计算机与用户之所以受到组策略影响，是因为它们默认对于该GPO有读取和应用组策略两种权限，以下示范一下：点属性点属性勾选拒绝，表示不赋予权限给用户、计算机或组。都不勾选，则表示隐含拒绝。代表一种强有力较弱的拒绝，无法覆盖允许。以DEFAULT DOMAIN POLICY应用于ADMINISTRATOR帐户的默认情形为例。ADMINISTRATOR同时隶属于AUTHENTICATED USERS 、DOMAIN ADMINS、与ENTERPRISE ADMINS三个组，后两个组对于DEFAULT DOMIAN POLICY 没设置允许或拒绝，属于隐含拒绝。但是AUTHENTICATED USERS 组、对于DEFAULT DOMAIN POLICY 有读取和应用组策略两项权限，所以ADMINISTRATOR 还是受到该组策略的约束。通常规划组策略时，有两种逻辑：1、策略允许，例外拒绝：保留对AUTHENTICATED USERS组，让所有登录域的人都应用组策略。再针对特定的组拒绝应用组策略，这种方式相当于先关闭大门，再逐一过滤放行，安全较高。2、策略拒绝，例外允许：自ACL中删除AUTHENTICATED USERS组，让所有登录域的人都不应用组策略，然后对于需要应用组策略的组和用户，个别”允许读取“与”允许应用组策略两项权限，两项权限，这咱方式相当于先敞开大门，再逐一过滤拦阻，稍有疏失便产生漏网之鱼，安全性较差，建议少用。委派控制GPO：要将管理GPO的工作委派给特定的用户，必须按照如下步骤：1、委派“建立GPO连接关系”的权限，利用委派控制向导将管理组策略连接授权给特定的用户。2、委派“新建与删除GPO”的权限，将用户帐户加入GROUP POLICY CREATOR OWNER组，便也能使他获得新建与删除GPO的权限。注意这两步骤不能颠倒，否则无法委派成功。委派建立GPO连接关系的权限假设要将建立GPO连接关系的权限委派给李小龙。点委派控制。便来到向导，点下一步。点添加。确定按图勾上。点完成。委派新建与删除GPO的权限：因为内置的GROUP POLICY CREATOR OWNER组，拥有在域内新建与删除GPO的权限，所以只要将李小龙加入该组中，便能够在域内新建与删除GPO。点添加到组输入组。提示成功加入。4、规划组策略的建议*一般性策略尽量应用于上层容器，较特殊的策略应用于下层容器*尽量避免使用不可强制覆盖与阻碍策略继承两项功能，维持整个组策略单纯，清楚的结构，减低各项设置发生冲突的机率。*善用筛选，一方面可以使用特定的组不应用组策略，另一方面可以加快这些组成员的登录*控制GPO的数目，因为设置的GPO愈多，登录所花费的时间愈长。*禁用GPO中没有作用的节点，以加快所花费的时间愈长。*善用委派控制，减低系统管理员的负担。5、使用策略结果集策略结果集（RSOP）主要有两项功能“模拟应用组策略之后的效果”和“查看应用哪些组策略”RSOP两种模式：1、计划模式：主要提供仿真功能，使得系统管理员在做某些动作之前，可以先预知结果。以避免事后反复地修正。通常在下列情形会用到此模式：将用户或计算机加入某个组织单位之前。将用户或计算机在组织单位间移动之前。想了解特定组策略应用在站点、域和组织单位时的差异