组策略与OU中的组没有关系,不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如:用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的脚本文件、文件重定向、软件安装等。
一、组策略的基本概念
1、组策略的设置数据保存在AD数据库中,因此必须在域控制器上设置组策略。
2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。
3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU)
4、组策略不适用于WINDOWS9X/NT的计算机,所以应用到这些计算机上无效。
5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略来管理。注意一下:本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置与用户设置。
GPO的特性:
组策略的设置数据都是保存在“组策略对象“(GPO)中,GPO具有以下特性:
1、GPO利用ACL记录权限设置,可以修改个别GPO的ACL,指定哪些人对该GPO拥有何种权限。
2、用户只要有足够的权限,便能够添加或删除GPO,但无法复制GPO。当AD域刚建好时,默认仅有一个GPO--DEFAOLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略,通常会再另行建立GPO,以方便管理。
GPO的内容:
GPO有两大类策略:1、计算机设置:包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。
2、用户设置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。
下面来看下
打开属性
可以看到这里只有一个,而且是默认的。点编辑
来到这个默认GPO编辑器。
在这个域树结构中,计算机设置和用户设置称为节点(NODE)而这两个节点又都包含了软件设置、WINDOWS设置和系统管理模块三个子节点。介绍如下:
软件设置:此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。
WINDOWS设置:在这里,系统管理员能够设置脚本文件、建立帐户策略、指派USER RIGHT和集中管理用户配置文件。WINDOWS设置在计算机设置与用户设置内,分别有不同的设置项目:在计算机设置的WINDOWS设置中,能够设置脚本文件与安全性设置策略。在用户设置的WINDOWS设置中,能够设置INTERNET EXPLORER维护、脚本文件、安全性设置、远程安装服务与文件重定向策略。
系统管理模板:所有涉到注册表的策略都集成在主个子节点下。系统管理模板在计算机设置能够设置WINDOWS元件、系统、网络与打印机策略。在用户设置的系统管理模板,能够设置WINDOWS元件、开始菜单、和任务栏、桌面控制台、网络与系统策略。
GPO与SDOU的连接关系:
GPO本身保存组策略的设置值,必须要进一步指定GPO连接一哪个SDOU,才能使用组策略在应用对象生效。
GPO与SDOU间的连接关系,可以是一对一,一对多或多对一。
2、组策略的应用机制:
两项特性:继承与累加
策略继承:在AD结构中,若X容器下层还有Y容器,则Y容器便是所谓的”子容器“,X,Y容器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的GPO。
在整个继承关系中,最上层为站点,其下层为域与组织单位。若有多层组织单位,则下层组织单位会继承上层组织单位的GPO。
策略累加:策略累加机制和组策略的应用顺序有密切的关系,假设将域FLAG。COM连接到GPO-F,将组织单位PRODUCT与EMLPOYE分别连接到GPO-P和GPO-E。PRODUCT与EMPLOYE这两个组织单位除了本身的组策略外,还会继承来自上层容器策略。子容器会首先应用继承来自上层容器的组策略,然后再应用本身的组策略,当上层的设置项目与下层的设置项目不同时,组策略的效果可以相加,但若是对同一个项目做不同的设置,则先应用的策略会被后来应用的策略覆盖。
何时应用组策略:
开机/登录:当计算机开机时,域控制器会根据计算机帐户在AD中的位置,决定该计算机必须应用哪些GPO。此时仅应用这些GPO中计算机设置的部分。用户登录时,即按CTRL+ALT+DEL后,输入账号和密码。域控制器会根据用户帐户在AD中的位置,决定该用户必须应用哪些GPO。此时仅应用这些GPO中用户设置的部分。
一般而言,都是计算机顺利启动之后,用户才能用该计算机登录域,因此,在实际上是先应用计算机设置,后应用用户设置。不过,这里出现一个值得注意的现象,当计算机设置和用户设置发生冲突时,若依照前面的概念,应该是后应用的用户设置覆盖掉先应用的计算机设置,然而并不是这样,事实是计算机设置覆盖掉用户设置。
此外由于计算机与用户可能分别隶属不同的站点、域或组织单位,因此,各自可能会继承不同的GPO。
,由图可知,X用户隶属于A2组织单位,Y计算机隶属于B2组织单位,当X用户从Y计算机开机并登录域时,应用GPO的情形如下:
1、当计算机开机时,会依次应用GPO1--GPO2--GPO3--GPO4中计算机设置的部分
2、当用户登录时,会依次应用GPO1--GPO2--GPO5中用户设置的部分。
重新应用组策略
实际更新组策略的间隔是以随机数产生,以90--120分钟的范围,倘若要强迫立即应用组策略,可执行GPUPDATE。EXE。
组策略的应用顺序:最先应用本机的组策略,其次为站点的组策略,再其次为域的组策略,然后是组织单位的组策略。倘若不考虑不可强制覆盖和不要继承策略,策略则是“后应用的设置值覆盖先应用的设置值。
3、下面来建立与管理组策略
建立和应用组策略
以组织单位上建立为例
点属性
点新建
新建了一个并重新命名了。即这个GPO FOR 业务部对象连接到了组织单位业务部。由于现在对此GPO没做任何设置,因此该组策略没有任何能力
设置阻碍策略继承与不可强制覆盖
如果不希望业务部继承上层的组策略,则对该组织单位设置阻碍策略继承,如果希望业务部在下层组织单位都能够有效,不被其它组策略覆盖。看下面
在阻止策略继承打上勾。
然后如图打上勾便可。
与已有的GPO建立连接关系。
可选取要连接的GPO。按确定。
调整GPO的应用顺序
当同一个对象连接到多个GPO时,系统管理员可以决定应用顺序,在组策略选项卡中,排在比较下面的GPO会先应用。当各个策略的设置发生冲突时,较晚应用于的策略(排在上面的GPO)会覆盖较先应用的策略(排在下面)。
选取后按向上或向下即可。
删除GPO与中断连接
假如要删除如上图选中的
这里有两个选项。选第一个是将中断所有容器与这个GPO的连接,但不删除此GPO。
点是
禁用GPO计算机设置或用户设置
应用组策略会延长计算机开机与用户登录所耗费的时间,而且连接的GPO愈多,花费的时间就越久,由于每一个GPO都有计算机设置和用户设置两个节点,我们可以禁用其中一个节点的设置来加快登录速度:
下面有两个选项,比如选禁用计算机设置。
选是。
筛选组策略
在正常情况下,将某个组策略应用到SDOU后,隶属于该SDOU的用户与计算机都受到此策略的影响,假设DOMIAN ADMIN组排除在外,不受该组策略的影响,此时就会用到筛选功能。其实就是改变GPO的ACL而已。计算机与用户之所以受到组策略影响,是因为它们默认对于该GPO有读取和应用组策略两种权限,以下示范一下:
勾选拒绝,表示不赋予权限给用户、计算机或组。都不勾选,则表示隐含拒绝。代表一种强有力较弱的拒绝,无法覆盖允许。以DEFAULT DOMAIN POLICY应用于ADMINISTRATOR帐户的默认情形为例。ADMINISTRATOR同时隶属于AUTHENTICATED USERS 、DOMAIN ADMINS、与ENTERPRISE ADMINS三个组,后两个组对于DEFAULT DOMIAN POLICY 没设置允许或拒绝,属于隐含拒绝。但是AUTHENTICATED USERS 组、对于DEFAULT DOMAIN POLICY 有读取和应用组策略两项权限,所以ADMINISTRATOR 还是受到该组策略的约束。
通常规划组策略时,有两种逻辑:1、策略允许,例外拒绝:保留对AUTHENTICATED USERS组,让所有登录域的人都应用组策略。再针对特定的组拒绝应用组策略,这种方式相当于先关闭大门,再逐一过滤放行,安全较高。2、策略拒绝,例外允许:自ACL中删除AUTHENTICATED USERS组,让所有登录域的人都不应用组策略,然后对于需要应用组策略的组和用户,个别”允许读取“与”允许应用组策略两项权限,两项权限,这咱方式相当于先敞开大门,再逐一过滤拦阻,稍有疏失便产生漏网之鱼,安全性较差,建议少用。
委派控制GPO:
要将管理GPO的工作委派给特定的用户,必须按照如下步骤:1、委派“建立GPO连接关系”的权限,利用委派控制向导将管理组策略连接授权给特定的用户。2、委派“新建与删除GPO”的权限,将用户帐户加入GROUP POLICY CREATOR OWNER组,便也能使他获得新建与删除GPO的权限。注意这两步骤不能颠倒,否则无法委派成功。
委派建立GPO连接关系的权限
假设要将建立GPO连接关系的权限委派给李小龙。
点委派控制。
便来到向导,点下一步。
点添加。
确定
按图勾上。
点完成。
委派新建与删除GPO的权限:
因为内置的GROUP POLICY CREATOR OWNER组,拥有在域内新建与删除GPO的权限,所以只要将李小龙加入该组中,便能够在域内新建与删除GPO。
点添加到组
输入组。
提示成功加入。
4、规划组策略的建议
*一般性策略尽量应用于上层容器,较特殊的策略应用于下层容器
*尽量避免使用不可强制覆盖与阻碍策略继承两项功能,维持整个组策略单纯,清楚的结构,减低各项设置发生冲突的机率。
*善用筛选,一方面可以使用特定的组不应用组策略,另一方面可以加快这些组成员的登录
*控制GPO的数目,因为设置的GPO愈多,登录所花费的时间愈长。
*禁用GPO中没有作用的节点,以加快所花费的时间愈长。
*善用委派控制,减低系统管理员的负担。
5、使用策略结果集
策略结果集(RSOP)主要有两项功能“模拟应用组策略之后的效果”和“查看应用哪些组策略”
RSOP两种模式:
1、计划模式:主要提供仿真功能,使得系统管理员在做某些动作之前,可以先预知结果。以避免事后反复地修正。通常在下列情形会用到此模式:将用户或计算机加入某个组织单位之前。将用户或计算机在组织单位间移动之前。想了解特定组策略应用在站点、域和组织单位时的差异。,因为计划模式会影响到AD数据库的属性,因此必须为ENTERPRISE ADMINS或DOMAIN ADMINS的成员,或是获得产生策略结果集的委派,才能够执行计划模式。
2、记录模式;
对于已登录的用户,记录模式可以将它们所应用的组策略,整理成一份报告,有了这份报告,系统管理员更能够省下用纸笔记录的工夫,通常在以下情形会用到此模式:想知道特定用户应用了哪些策略。想知道是否有哪些组策略,在应用过程中被覆盖或是被阻碍策略继承阻挡。
若是从A计算机执行记录模式,所要查看的对象也是从A计算机登录域,那么执行记录模式的用户不必是具有系统管理员的权限,只要是一般域用户即可,但是查看的对象若是从B计算机登录域,那么执行记录模式的用户必须为ENTERPRISE ADMINS 或DOMAIN ADMINS的成员,或是获得产生策略结果集的委派权限。
以计划模式仿真应用策略。
假设李小龙从USERS移到总管理处组织单位,其它的设置都保持不变。首先运行“打开/运行”
输入MMC。
点添加/删除管理单元。
按添加按扭。
又击策略结果
看到已添加进去了。
执行“生成RSOP数据”
下一步
选取“计划模式”
选择用户按钮,输入”域名称/用户登录名称“选取计算机”,输入“域名称/计算机名称”。
假设李小龙从这部WIN2003计算机登录域。按下一步。
显示了李小龙原属的组织单位,按浏览按扭。选择要移到的总管理处组织单位。然后下一步。
按下一步。
开始仿真,搜集信息。
完成。
可看到结果。