ADDS架构第03部分OU、组策略规划及部署

第03部分组织单位OU规划及创建组织单位OU规划及创建本章重点何谓组织单位规划组织单位管理组织单位管理组织单位的成员委派控制组织单位与委派控制组织单位〔OrganizationalUnit〕是从Windows2000之后才出现的对象,在AD域的逻辑架构中担任重要的角色。组织单位是什么？它能帮我们做什么？以及如何管理组织单位。何谓组织单位在WindowsNT的时代,域〔Domain〕是组织和管理网络的最小单位。倘假设不同的部门有不同的平安需求与管理方式,往往因此得将整个公司划分成多个域。可是这种多域的架构,在管理与本钱都会添加负担。为理处理这类的问题,微软公司在AD域中添加了组织单位这种对象,使得整个域的规划与管理更有弹性,能发扬『分层担任、授权管理』的优点。组织单位是一种容器能包含其它对象的对象便称为容器〔Container〕,既然组织单位是一种容器,自然也能包含其它对象。它可以包含以下9种对象：用户、计算机、组、打印机、共享文件夹联络人、组织单位、InetOrgPerson、MSMQ路由别名但是要记得一点－－组织单位仅能包含同域内的对象,不能包含其它域的对象！组织单位与组的差别初次接触组织单位时,许多用户会将它与『组』〔Group〕混淆,虽然两者都是运用在AD域的逻辑架构中,但是在运用上有以下的差别：一个用户可以隶属于多个组,但是只能隶属于一个组织单位。组织单位可以包含组,但是组不能包含组织单位。网络资源〔例如：文件夹或打印机〕的权限可以赋予组,但是不能赋予组织单位。规划组织单位如何规划组织单位的架构,是一个颇有挑战性的课题。然而并无一定的准那么,主要视企业实践需求而定。以以下举几种常见的规划方式：基于功能SCMS–销售C–咨询M–市场基于混合型的例如功能组织位置功能组织位置基于组织MERM–制造业E–工程师R–研讨员基于地理位置NFIN–挪威F–法国I–印尼委派控制简单地说,所谓的委派控制〔Delegation〕便是『授权』！系统管理员可利用它来将例行的管理任务,委派给特定的对象来执行,以减轻本人的负担。执行委派控制时应留意以下3个要点：委派的范围：将多大的范围〔站点、域或组织单位〕委派出去。委派的对象：委派给谁。委派的内容：委派多大的权限出去。修正委派控制的内容委派控制精灵有一个缺陷－－只能用来执行委派任务,不能『删除』或『更改』委派任务。假设要取消或改换授权的对象或任务内容,那么必需直接修正该对象的ACL。以前例而言,假设要修正原先委派给『贾聪明』的权限,或是将该委派任务改派给其它人,请先开启『总管理处的权限工程』交谈窗。第03部分组战略规划及创建组战略规划及创建组战略部署管理组战略对象的工具组战略对象链接组战略的运用用顺序组战略权限的承继阻止战略承继强迫组战略组战略挑选组战略概述组战略在运转WindowsServer

2021、WindowsVista、WindowsServer

2003和Windows

XP的计算机上启用基于ActiveDirectory的用户和计算机设置更改和配置管理。除了运用组战略为用户和计算机组定义配置以外，还可以配置很多效力器特定的操作和平安设置，以便运用组战略协助管理效力器计算机。组战略组件ContainsGroupPolicysettingsStorescontentintwolocationsGroupPolicyObjectStoredinsharedSYSVOLfolderProvidesGroupPolicysettingsGroupPolicyTemplateStoredinActiveDirectoryProvidesversioninformationGroupPolicyContainer组战略对象的工具默许组战略工具ActiveDirectory用户和计算机域和组织单位组战略对象ActiveDirectory站点和效力站点组战略对象本地平安战略本地计算机平安设置附加工具组战略管理域、组织单位和站点组战略对象组战略对象链接组织单位GPO组织单位GPO站点GPO域GPO站点域OUOUOU本地战略站点战略域战略父OU战略子OU战略组战略的运用用顺序组战略权限的承继域OUOUOUOUOU用户或计算机账户OUGPO1OUGPO3OUGPO2阻止战略承继要阻止战略在域或组织单位中承继ActiveDirectory用户和计算机管理工具要阻止战略在站点上承继ActiveDirectory站点和效力管理工具销售消费域组战略对象没有组战略对象设置运用强迫组战略强迫链接冲突组战略挑选销售消费域MengphKimyo组运用组战略回绝读取和运用组战略允许GPO什么是WMI过滤器?500MBfreediskspace?

WMIFilterAdministratorInstall

OfficeXP?10GB400MB35GB750MBGPOWMI过滤Windows2000WindowsXPWindowsXPWMI过滤域控制器只套用XPProfessional查询是运用WMI查询言语(WQL)编写的

仅运转WindowsXPProfessional的目的计算机Root\CimV2;Select*fromWin32_OperatingSystemwhereCaption="MicrosoftWindowsXPProfessional"

组战略什么时候运用?ComputerstartsComputersettingsappliedStartupscriptsrunRefreshIntervalUserlogsonUsersettingsappliedLogonscriptsrunRefreshInterval组战略处置过程同步处置异步处置管理组战略什么是COPY操作，执行COPY操作?什么是备份操作，执行备份操作?什么是恢复操作，执行恢复操作?什么是倒入操作，执行导入操作?什么是Copy操作?AcopyofaGPOtransfersonlythesettingswithinaGPOThenewGPOiscreatedunlinkedDACLUser1GPO1ReadFullControlDACLUser1GPO2ReadFullControlCopyOperation什么是Backup操作?Inabackupoperation,GroupPolicyManagementexportalldataintheGPOtotheselectedfileandsavestheGPTfilesBackupOperationBackupofaGPOGPO1GPO1什么是恢复操作?Inarestoreoperation,thecontentsoftheGPOarereturnedtoexactlythesamestateRestoreOperationGPO1Backed-upGPOGPO1什么是导入操作?Inanimportoperation,allGPOsettingsarecopiedfromthesourcetothetargetGPOGPO1ImportOperationGPO2GPOSettings将组战略运用于新用户和计算机帐户默许情况下，新用户和计算机帐户是在CN=Users和CN=Computers容器中创建的。Redirusr.exe〔用于用户帐户〕和Redircomp.exe〔用于计算机帐户〕是WindowsServer

2021附带提供的两个工具。可以运用这些工具更改新用户和计算机帐户的默许创建位置，以便更轻松地为新创建的用户和计算机对象直接指定GPO作用域组战略和SysvolGPO中的战略设置信息存储在以下两个位置：ActiveDirectory和域控制器的Sysvol文件夹。ActiveDirectory容器称为组战略容器；Sysvol文件夹中包含组战略模板。组战略容器包含用于将GPO部署到域、OU和站点的属性。组战略容器还包含组战略模板的途径，该模板存储了大多数组战略设置。管理模板组战略中提供大量的设定使管理员可以经过一次设定,管理多台计算机或者多个用户组战略中很大一部分设定实践上是改的注册表管理模板(.ADM)文件定义了组战略如何修正注册表一切基于注册表的组战略设定存为registry.pol,放在sysvol中组