AD组策略.ppt

1、AD组策略 主讲:郭伟,组策略是Microsoft从Windows 2000 Server开始提供的功能,并在Windows Server 2003中继续应用与推广. Windows 2000 Server以前的版本如WindowsNT4.0与WindowsNT3.51中是基于用户与用户组对网络进行管理,功能比较单一！,组策略介绍,在Windows Server 2003的网络环境中,提高管理效率对于网络管理来说是至关重要的!组策略是一个管理用户工作环境的技术，通过它可以确保用户拥有所需的工作环境，也可以通过它来限制用户，这不仅让用户拥有适当的环境，也减轻了管理员的管理负担。,利用组策略管理可

2、以在站点,域和OU对象上进行设置,管理其中的用户对象和计算机对象.可以说组策略的活动目录的精华.,组策略具有下面的特点 通过对站点,域和OU设置组策略,可以对网络设置集中化的策略,通过组策略的阻止继承等特点还可以对网络设置分散的策略. 可以为用户设置合适的工作环境 降低控制用户和计算机环境的总费用 便于推行公司的整体策略,组策略可以实现的功能,用户习惯设置与数据自动带到另一台计算机 完成客户端软件的自动安装 应用软件跟随用户 为用户制定统一的工作环境 灾难恢复更加容易,注意 组策略只对Windows 2000以后版本的操作系统有效,并不适用于早期的Windows操作系统,如Windows NT

3、和Windows9X,组策略的功能,账户策略的设定 （设定用户密码的长度、密码使用期限、账户锁定策略等） 本地策略的设定 （审核策略的设定、用户权限的指派、安全性的设定） 脚本的设定 （登录/注销、启动/关机脚本的设定） 用户工作环境的设定 （隐藏桌面上的图标，修改开始菜单） 软件的安装与删除 （用户登录或计算机启动时，自动为用户安装应用软件） 限制软件的运行 （通过规则限制域用户只能运行某些软件） 文件夹转移 （改变“我的文档”等文件加的存储位置） 其他系统设定 （所有计算机都自动信任指定的CA）,组策略包含,计算机配置： 当启动计算机时，系统就会根据“计算机配置”的内容来配置计算机的环境。

4、 用户配置： 当用户登录时，系统就会根据“用户配置”的内容来配置用户的工作环境。,注意 当同一个组策略的计算机配置和用户配置发生冲突时,计算机的组策略配置优先,组策略对象（GPO）,组策略对象是组策略的载体,组策略是通过“组策略对象（GPO）”来设定的，只要将GPO链接到指定的站点、域或OU，该GPO内的设定值就影响到该站点、域或OU内的所有用户与计算机。 GPO的内容被分为GPC与GPT两个部分，并且分别存储到不同的地方。,GPC,组策略容器的包含GPO状态和版本信息的活动目录对象,存储在活动目录中.计算机使用GPC来定位组策略模板,而且域控制器可以访问GPC来获得GPO的版本信息.如果一台

5、域控制器没有最新的GPO版本信息,那么就会引发为了获得最新GPO版本信息的活动目录复制 查看GPC：“开始管理工具Active Directory用户和计算机查看高级选择域展开System容器Policies”,GPT,GPT用来存储GPO的配置值与相关文件，它是一个文件夹，而且是被建立在域控制器的%systemroot%SYSVOLsysvol域名称Policies文件夹。系统利用GPO的GUID作为GPT的文件夹名称.用来提供所有的组策略设置和信息,包括管理模板,安全性,软件安装,脚本,文件夹重定向设置等.当创建一个GPO时,Windows Server 2003创建相应的GPT.客户端计

6、算机能够接受组策略的配置就是因为它们和DC的SYSVOL文件夹链接,获得并应用这些设置!,利用GUID(全局统一标识符)来表识GPO,GUID是在创建对象时由DC分配的一个128位的字符串,该字符串永无不重复.GUID作为对象的属性被保存起来,用户不能修改或删除GUID,组策略的应用时机,当修改了站点、域或OU的GPO配置后，这些配置不是立刻就对站点、域或OU内的用户与计算机有效，而是必须等它们应用到用户或计算机后才有效。,组策略的委派管理,我们可以将GPO的链接、添加与编辑等工作，分派给不同的用户负责，以分散、减轻GPO的管理负担。 我们可以通过使用“控制委派向导”来完成这个任务。,创建组策

7、略,1.创建链接的组策略 在此只是新建了一个组策略对象,新在该策略中并没有任何内容,创建组策略对象后还需要对它进行配置 2.创建非链接的组策略 利用MMC工具可以创建一个非链接的组策略,当需要时可以把它链接到具体的对象上 3.链接一个存在的组策略,应用组策略,当对活动目录中的对象如站点,域或OU设置组策略后,在启动计算机和用户登录时就会应用组策略的配置,组策略实例,实例一：计算机配置（用户账户登录） 实例二：用户配置（禁止使用“最近打开的文档记录”选项）,1.组策略的继承性 与NTFS权限的继承性一样,组策略同样具有继承性.在活动目录中执行GPO时是按照站点,域,OU,子OU的顺序进行的,也就

8、是说默认情况下子容器会继承父容器的GPO设置,在子容器上执行GPO时首先执行父容器的GPO,然后在执行自己的GPO,一般的继承与处理规则,继承性的处理规则： 如果父容器的某个策略被配置，但其子容器的策略未被配置，则子容器的这个策略将继承父容器的配置值。 如果子容器内的某个策略被配置，则此配置会覆盖由其父容器所传递下来的配置值。 组策略的配置是有累加性的。 系统处理GPO的优先顺序是：站点GPO、域GPO、OU的GPO。 系统是先处理“计算机配置”，再处理“用户配置”。但是大部分情况下以“计算机配置”优先。 如果多个GPO链接到同一个OU，那么所有GPO的配置被累加起来，作为最后的有效配置值。如

9、果相互冲突时，将以排在前面的GPO配置为优先。 “本地计算机策略”的优先级最低。,实验一:验证组策略的继承性 实验目的:设置域的组策略,验证OU对域的组策略的继承 实验二:禁用策略中的用户配置 实验三:阻止继承 实验目的:设置域的组策略,然后设置OU阻止对域的组策略的继承,检验组织继承的结果,实验四:禁止替代 实验目的:设置域的组策略,然后在OU的组策略中设置“阻止策略继承”,在域的组策略上设置“禁止替代”,检验阻止继承和禁止替代同时设置的结果 结果:当在子容器设置“阻止策略继承”,而在父容器设置“禁止替代”时, “禁止替代”的优先级高,策略冲突有以下几种类型,(1)父容器和子容器的组策略配置

10、发生冲突 按照组策略的执行顺序,先执行父容器的组策略,然后执行子容器的则略,因此子容器的组策略配置将得到应用 (2)同一个对象不同策略发生冲突 活动目录在执行则策略时按照组策略列表中从下向上的顺序执行,因此在列表中位置在上的组策略配置将得到应用 (3)一个组策略的计算机配置和用户配置发生冲突 发生这种类型的冲突时,计算机配置优先于用户的配置,(4)一个组策略的同一配置任务的不同策略发生冲突 发生这种类型的冲突时,将按照从上到下的顺序依次执行各个策略配置,因此位置在下的策略配置将得到应用,组策略和慢速连接,在Windows Server 2003中把速度底于500kbit/s的连接认为是慢速连接

11、.当组策略检测到一个慢速连接时,有些组策略的设置将不在生效,赋予用户本地登录权限,默认情况下在DC上是不允许普通用户登录的,当通过修改策略可以让普通用户在DC上登录 如果想让所有的普通用户都可以在域控制器上登录,在此可以添加Domain User组,使用“组策略的结果集”工具,在2003的活动目录中提供了“组策略的结果集”工具,利用该工具可以在给用户或计算机设置组策略前进行模拟组策略分发,这样就可以提前知道用户或计算机设置了这个组策略后会得到什么设置,以便及时进行更改！,1.策略的结果集(正在计划) 利用“策略的结果集(正在计划)”工具可以在活动目录中模拟:把任何一个用户帐号放在域中的任何容器

12、内或者在域中的任何一台计算机上登录时所得到的组策略的结果集！ 在“AD用户和计算机”控制台下的域,OU,计算机和用户对象的右键快捷菜单中都可以看到“策略的结果集(正在计划)”工具！,2. 策略的结果集(正在记录日志) 利用“策略的结果集(正在记录日志)”工具可以模拟用户帐号在指定的计算机上登录时的组策略结果集 在“AD用户和计算机”控制台下的计算机和用户对象的右键快捷菜单中都可以看到“策略的结果集(正在记录日志)”工具！,使用GPMC,组策略的DACL,默认的组策略的DACL的组帐号有： Authenticated User(验证用户组) Creator Owner(创建拥有者组) Domai

13、n Admins(域管理员组) Enterprise Adminis(企业管理员组) Enterprise Domain Controllers(企业域管理员组) System(系统组),实验:编辑组策略的DACL实现阻止继承,委派组策略管理控制,软件发布,文件夹重定向,在默认的情况下,用户的数据及其设置等都是保存在每个用户使用的计算机上.如果用户在网络中的每台计算机都登录过,那么,用户每到一台新的计算机上都要重新设置.另外,用户的数据会在多台计算机上保存,并且每台计算机上保存的数据也不一致,同时因为用户的单机的安全性和稳定性并不是很好,用户也没有对数据进行备份的习惯,如果用户误操作或者用户的计算机损坏,将会丢失！,我们可以利用组策略对以下特殊文件夹的存储位置重新定位： Application Data：包含用户在应用程序内的专属数据 桌面：包含用户在桌面上自行创建的文件夹、文件、快捷方式 我的文档：