管理activedirectory組對象和組策略

1、第4章 Active Directory組對象和組策略1 組是用戶或計(jì)算機(jī)賬號的集合。 通過使用組可以將權(quán)限分配給一組用戶而不是單個(gè)用戶賬號。當(dāng)將權(quán)限分配給組時(shí)，組的所有成員都將繼承那些權(quán)限，這樣可以簡化網(wǎng)絡(luò)管理。 組中可以包含用戶，計(jì)算機(jī)組，打印機(jī)，共享文件夾； 一個(gè)用戶可以是多個(gè)組的成員； 新設(shè)的組的權(quán)限：用戶新添加入組，所得權(quán)限須在重新登錄后才有作用。2工作組中的組和域中的組工作組中的組創(chuàng)建在非DC的計(jì)算機(jī)上；駐留在SAM數(shù)據(jù)庫中；只能訪問本地資源 。域中的工作組只在DC上；在AD中；訪問域中的計(jì)算機(jī)中的資源。3第一節(jié) 本地組一、本地組類型1. 本地組（Local Groups） 本地組

2、可以在任何一臺基于Windows Server 2003的非DC計(jì)算機(jī)上創(chuàng)建，通過將用戶加入到相應(yīng)的本地組賦予相應(yīng)的權(quán)限，就可以控制用戶對本地計(jì)算機(jī)上資源的訪問。 本地賬戶信息是放置在創(chuàng)建該組的計(jì)算機(jī)內(nèi)的數(shù)據(jù)庫中，因此其作用范圍只限于在創(chuàng)建該本地組的計(jì)算機(jī)上。 42. 內(nèi)置組（Built-in Groups） 在安裝運(yùn)行 Windows Server 2003 的獨(dú)立服務(wù)器或成員服務(wù)器時(shí)，會自動創(chuàng)建內(nèi)置組。內(nèi)置組具有一些特定的事先賦予的權(quán)力，用以完成某些特定的系統(tǒng)任務(wù)。 內(nèi)置組不能被刪除，其作用范圍也僅限于其存在的計(jì)算機(jī)上。5二、實(shí)現(xiàn)本地組策略 將組、用戶、資源及權(quán)限組合在一起而實(shí)現(xiàn)對資源訪問

3、的管理稱之為組策略。 本地組策略就是先將具有相同屬性的用戶賬號加入到一個(gè)本地組當(dāng)中去，再針對某些資源賦予這個(gè)本地組相應(yīng)的訪問權(quán)限，這樣就可以達(dá)到一次操作而為多個(gè)用戶賦予訪問資源的權(quán)限。 6三、創(chuàng)建本地組 用本地計(jì)算機(jī)的Administrator組或Account Operators組的成員身份登錄，打開“計(jì)算機(jī)管理”7新建組對話框右擊“組”，在彈出的快捷菜單中選擇“新建組”8計(jì)算機(jī)管理窗口中可以看到新創(chuàng)建的組9組屬性對話框雙擊新建的組的圖標(biāo)10添加組對象11選擇用戶12組屬性列表中會看到剛才添加的用戶13第二節(jié) 域模式中的組一、域模式組類型1. 通訊組 可以使用通訊組創(chuàng)建電子郵件通訊組列表，只

4、有在電子郵件應(yīng)用程序（如 Exchange）中，才能使用通訊組將電子郵件發(fā)送給一組用戶。2. 安全組 使用安全組給共享資源指派權(quán)限?？梢裕簩⒂脩魴?quán)限分配到 Active Directory 中的安全組給安全組指派對資源的權(quán)限 14用戶權(quán)利與用戶權(quán)限的區(qū)別： 權(quán)限（permission）控制用戶對資源（如文件、文件夾或打印機(jī)）所做的操作。當(dāng)分配權(quán)限時(shí)，就給了用戶訪問資源的權(quán)利并定義了他們的訪問類型。 權(quán)利（right）是指可以讓用戶執(zhí)行的系統(tǒng)任務(wù)，如更改計(jì)算機(jī)上的時(shí)間、備份、恢復(fù)文件或本地登錄等。 3. 安全組和通訊組之間的轉(zhuǎn)換 組都可以從安全組轉(zhuǎn)換為通訊組，反之亦然。 153. 安全組和通訊組

5、之間的轉(zhuǎn)換 當(dāng)域功能級別設(shè)置為Windows 2000本機(jī)或更高模式的情況下，安全組和通迅組之間可以相互轉(zhuǎn)換。當(dāng)域功能級別被設(shè)置為Windows 2000混合模式時(shí)，不可以轉(zhuǎn)換組。16二、域模式中的組的作用域 作用域用來確定在域樹或林中該組的應(yīng)用范圍。有三類不同的組作用域：全局組作用域、本地域組作用域和通用組作用域。 全局組（Global group）全局組的成員是對網(wǎng)絡(luò)具有相同訪問權(quán)限的用戶；全局組的作用范圍是整個(gè)域樹 可以加到本域或其它域的本地域組、通用組中；可以加到本域的全局組中（僅限在本機(jī)模式中有效）。17域本地組（Domain local group）混合模式下，可包括域任何域的用戶

6、賬號和全局組；本機(jī)模式下，還包括通用組?；旌夏Ｊ较拢荒芗拥狡渌魏谓M中。本機(jī)模式下，可以加入到本域的域本地組中。 本機(jī)模式是指域中的所有域控制器都是基于Windows 2000 或 Windows Server 2003 時(shí)，該模式支持所有的組類型。 混合模式是指域中的域控制器包含非Windows 2000和Windows Server 2003的計(jì)算機(jī)。在該模式下不可創(chuàng)建通用組。 18通用組（Universal group）在混合模式下不可用，只在本機(jī)模式下可用；為多個(gè)域中的相關(guān)資源授權(quán)；開放的成員關(guān)系：可以包含所有的用戶和組（不含本地組）；可加入任何域中的域本地組或通用組。19二、規(guī)劃全

7、局組和域本地組 1. 何時(shí)使用具有本地域作用域的組 具有本地域作用域的組可幫助定義和管理對單個(gè)域內(nèi)資源的訪問。 本地域組的成員可以是：具有全局作用域的組、具有通用作用域的組、具有本地域作用域的其他組的賬號、上述任何組或帳號的混合體。202. 何時(shí)使用具有全局作用域的組 使用具有全局作用域的組管理那些需要每天維護(hù)的目錄對象，如用戶和計(jì)算機(jī)帳號。因?yàn)橛腥肿饔糜虻慕M不在自身的域之外復(fù)制，所以具有全局作用域的組中的帳號可以頻繁更改，而不需要對全局編錄進(jìn)行復(fù)制以免增加額外通信量。213. 何時(shí)使用具有通用作用域的組 使用具有通用作用域的組來合并跨越不同域的組。為此，請將帳號添加到具有全局作用域的組并且

8、將這些組嵌套在具有通用作用域的組內(nèi)。使用該策略，對具有全局作用域的組中的任何成員身份的更改都不影響具有通用作用域的組。22四、 更改組作用域 創(chuàng)建新組時(shí)，在默認(rèn)情況下，新組配置為具有全局作用域的安全組，而與當(dāng)前域功能級別無關(guān)。全局到通用：只有當(dāng)要更改的組不是另一個(gè)全局作用域組的成員時(shí)，允許進(jìn)行該轉(zhuǎn)換。本地域到通用：只有當(dāng)要更改的組沒有另一個(gè)本地域組作為其成員時(shí)，允許進(jìn)行該轉(zhuǎn)換。通用到全局：只有當(dāng)要更改的組沒有另一個(gè)通用組作為其成員時(shí)，允許進(jìn)行該轉(zhuǎn)換。通用到本地域：該操作沒有限制。 23五、創(chuàng)建域模式中的組 用Administrators組或Account Operators組的成員身份登錄。“

9、開始”“管理工具” “Active Directory用戶和計(jì)算機(jī)” 24新建對象組右擊Users圖標(biāo)，在彈出的菜單中選擇“新建” “組” 25Active Directory用戶和計(jì)算機(jī) 看到創(chuàng)建的組26六、管理組 添加組成員 27七、刪除組 在Active Directory服務(wù)中創(chuàng)建的每個(gè)組對象都有一個(gè)惟一的、不可重復(fù)使用的標(biāo)識符，稱為security identifier（SID，安全標(biāo)識符）。Windows Server 2003使用SID來標(biāo)識分配給它的組和權(quán)限。當(dāng)刪除一個(gè)組時(shí)，Windows Server 2003將不再為該組使用相同的SID，即便創(chuàng)建一個(gè)與所刪除組名稱相同的新組

10、。因此，不能通過重新創(chuàng)建組對象來恢復(fù)對資源的訪問。當(dāng)刪除一個(gè)組時(shí)，只刪除了該組和與該組相關(guān)的權(quán)限。刪除一個(gè)組并不刪除作為組成員的對象。 28八、使用“運(yùn)行方式”啟動程序 為獲得最優(yōu)安全性，不要將網(wǎng)絡(luò)管理員每天訪問使用的用戶對象添加為Administrators組成員。 若要運(yùn)行需要以Administrator身份登錄的程序，可以使用“運(yùn)行方式”程序。 找到需要用管理員身份打開的程序或其快捷方式、MMC控制臺或控制面板工具。按下“Shift”鍵，并右擊，從彈出的菜單中選擇“運(yùn)行方式” 。29選擇程序的運(yùn)行身份30第三節(jié) 默認(rèn)組 默認(rèn)組是當(dāng)創(chuàng)建Active Directory域時(shí)自動創(chuàng)建的安全組。

11、可以使用這些預(yù)定義的組來幫助控制對共享資源的訪問，并委派特定的域范圍的管理角色。 一、“Builtin”容器中的組 Account Operators成員可以創(chuàng)建、修改和刪除位于“Users”或“Computers”容器中的用戶、組和計(jì)算機(jī)的帳戶以及該域中的組織單位，除了“Domain Controllers”組織單位。 31Administrators成員具有對域中所有域控制器的完全控制。Backup Operators成員可備份和還原該域中域控制器上的所有文件，不論其各自對這些文件的權(quán)限如何。Domain Guests 該組沒有默認(rèn)的用戶權(quán)利。 Network Configuration

12、Operators成員可更改 TCP/IP 設(shè)置并續(xù)訂和發(fā)布該域中域控制器上的 TCP/IP 地址。Performance Monitor Users成員可在本地或從遠(yuǎn)程客戶端監(jiān)視該域中域控制器上的性能計(jì)數(shù)器 32Performance Log Users成員可在本地或從遠(yuǎn)程客戶端管理該域中域控制器上的性能計(jì)數(shù)器、日志和警報(bào)Pre-Windows 2000 Compatible Access成員具有對該域中所有用戶和組的讀取訪問權(quán)。Print Operators成員可管理、創(chuàng)建、共享和刪除連接到該域中域控制器上的打印機(jī)。Remote Desktop Users成員可遠(yuǎn)程登錄到該域的域控制器。該

13、組中沒有默認(rèn)的成員。 沒有默認(rèn)的用戶權(quán)利。Replicator 該組支持目錄復(fù)制功能，并由該域的域控制器上的“文件復(fù)制”服務(wù)使用。 33Server Operators 在域控制器上，該組的成員可進(jìn)行交互式登錄、創(chuàng)建和刪除共享資源、啟動和停止某些服務(wù)、備份和還原文件、格式化硬盤，以及關(guān)閉計(jì)算機(jī)。Users成員可執(zhí)行大部分常見任務(wù)，如運(yùn)行應(yīng)用程序、使用本地和網(wǎng)絡(luò)打印機(jī)，以及鎖定服務(wù)器。 34二、“Users”容器中的組 Cert Publishers成員獲準(zhǔn)為用戶和計(jì)算機(jī)發(fā)行證書。DnsAdmins（隨DNS安裝） 成員具有對 DNS Server 服務(wù)的管理訪問權(quán)。DnsUpdateProxy

14、（隨DNS安裝）成員是可代表其他客戶端（如 DHCP 服務(wù)器）執(zhí)行動態(tài)更新的 DNS 客戶端。Domain Admins成員具有對該域的完全控制權(quán)。Domain Computers包含加入到此域的所有工作站和服務(wù)器。Domain Controllers包含此域中的所有域控制器。35Domain Guests包含所有域來賓。Domain Users包含所有域用戶。Enterprise Admins（僅出現(xiàn)在林根域中）成員具有對林中所有域的完全控制作用。Group Policy Creator Owners成員可修改此域中的組策略。IIS_WPG（隨 IIS 安裝） IIS_WPG 組是 Inte

15、rnet 信息服務(wù) (IIS) 6.0 輔助進(jìn)程組。RAS 和 IAS Servers 該組中的服務(wù)器獲準(zhǔn)訪問用戶的遠(yuǎn)程訪問屬性。Schema Admins（僅出現(xiàn)在林根域中）成員可修改 Active Directory 架構(gòu)。 36第四節(jié) 組策略 組策略提供進(jìn)一步控制和集中管理用戶桌面環(huán)境的功能。 用戶不需要設(shè)置組策略，而是由組策略管理員配置和管理。一、 組策略簡介 組策略是一組配置設(shè)置，組策略管理員應(yīng)用于活動目錄存儲中的一個(gè)或多個(gè)對象。組策略管理員利用組策略控制域中用戶的工作環(huán)境。組策略也可以控制在指定OU位置上的用戶的工作環(huán)境。 組策略還授予用戶和組權(quán)力。 371. 組策略優(yōu)點(diǎn) （1）保

16、護(hù)用戶環(huán)境（2）增強(qiáng)用戶環(huán)境 自動安裝應(yīng)用程序到用戶的“開始”菜單。啟動應(yīng)用程序分發(fā)，方便用戶在網(wǎng)絡(luò)上找到并安裝相應(yīng)應(yīng)用程序。安裝文件或快捷方式到網(wǎng)絡(luò)上相應(yīng)位置或用戶計(jì)算機(jī)上的特定文件夾。當(dāng)用戶登錄或注銷、計(jì)算機(jī)啟動或關(guān)閉時(shí)自動執(zhí)行任務(wù)或應(yīng)用程序。重定向文件夾到網(wǎng)絡(luò)位置增強(qiáng)數(shù)據(jù)可靠性。382. 組策略類型 軟件設(shè)置：影響用戶可以訪問的應(yīng)用程序。 應(yīng)用程序自動安裝的策略有兩種方法實(shí)現(xiàn)： 指派應(yīng)用程序，組策略直接在用戶計(jì)算機(jī)上安裝或升級應(yīng)用程序，或?yàn)橛脩籼峁?yīng)用程序的連接，指派的應(yīng)用程序用戶無法刪除； 發(fā)布應(yīng)用程序，組策略管理員通過活動目錄服務(wù)發(fā)布應(yīng)用程序。應(yīng)用程序出現(xiàn)在用戶的控制面板的“添加/刪

17、除程序”的安裝組件列表中。用戶可以卸載這些應(yīng)用程序。腳本：組策略管理員可以設(shè)定腳本和批處理文件在指定時(shí)間運(yùn)行。腳本可以自動執(zhí)行重復(fù)性任務(wù) 。 39安全設(shè)置：組策略管理員可以限制用戶訪問文件和文件夾 。管理模板：包括基于注冊表的組策略，可以利用它來強(qiáng)制注冊表設(shè)置，控制桌面的外觀和狀態(tài)，包括操作系統(tǒng)組件和應(yīng)用程序。 遠(yuǎn)程安裝服務(wù)（RIS）：當(dāng)運(yùn)行用戶安裝向?qū)r(shí)，控制顯示給用戶的RIS安裝選項(xiàng)。 文件夾重定向：可以重定向Windows Server 2003指定的文件夾從用戶配置文件缺省位置到另一個(gè)網(wǎng)絡(luò)位置，從而對這些件夾集中管理 。 40二、組策略結(jié)構(gòu) 組策略是應(yīng)用到活動目錄存儲中的一個(gè)或多個(gè)對象

18、的配置設(shè)置的集合。這些設(shè)置包含在組策略對象（GPO）中。 組策略對象在兩個(gè)位置存儲組策略的信息：組策略容器（GPC）和組策略模板（GPT）。 1. 組策略對象（GPO）GPO中包含作用于站點(diǎn)、域和OU的組策略設(shè)置。 一個(gè)或多個(gè)GPO可以應(yīng)用于站點(diǎn)、域或OU。存儲在GPC中的組策略數(shù)據(jù)很少并且不經(jīng)常改變。而存儲在GFT中的組策略數(shù)據(jù)很多并經(jīng)常改變。 412. 組策略容器 組策略容器（GPC）是存儲GPO屬性并包含計(jì)算機(jī)和用戶組策略信息子容器的活動目錄對象。GPC中包含信息的版本來確保GPC中的信息同GPT中的信息同步。GPC還包含用于識別GPO是否啟動的狀態(tài)信息。 GPC存儲用于配置應(yīng)用程序的W

19、indows Server 2003類存儲信息。類存儲是一個(gè)作用于應(yīng)用程序、接口和API的基于服務(wù)器的存儲庫，提供應(yīng)用程序指派和發(fā)布功能。 423. 組策略模板 組策略模板（GRT）是包含在域控制器的%systemroot%SYSVOLsysvolPolicies文件夾下的文件夾結(jié)構(gòu)。 GPT是存儲管理模板、安全設(shè)置、腳本文件和軟件設(shè)置的組策略設(shè)置信息的容器。 43三、應(yīng)用組策略1. 創(chuàng)建GPO 44站點(diǎn)屬性組策略新建組策略452. 使用組策略管理器 組策略編輯器包括計(jì)算機(jī)配置節(jié)點(diǎn)和用戶配置節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)下包括：軟件配置、Windows設(shè)置和管理模板。 46計(jì)算機(jī)配置： 計(jì)算機(jī)配置包括所有與計(jì)

20、算機(jī)相關(guān)的策略設(shè)置，它們用來指定操作系統(tǒng)行為、桌面行為、安全設(shè)置、計(jì)算機(jī)開機(jī)與關(guān)機(jī)腳本、指定的計(jì)算機(jī)應(yīng)用選項(xiàng)以及應(yīng)用設(shè)置。用戶配置： 用戶配置包括所有與用戶相關(guān)的策略設(shè)置，它們用來指定操作系統(tǒng)行為、桌面設(shè)置、安全設(shè)置、指定和發(fā)布的應(yīng)用選項(xiàng)、應(yīng)用設(shè)置、文件夾重定向選項(xiàng)、用戶登錄與注銷腳本等。473. GPO權(quán)限 創(chuàng)建一個(gè)GPO，一組安全組會添加到這個(gè)對象并且每個(gè)安全組被配置一組屬性。 安全組缺省設(shè)置Authenticated Users 讀和應(yīng)用組策略 Creator Owner 為GPO中的子對象和屬性分配Special Object 和Attribute權(quán)限 Domain Admins 讀、

21、寫、創(chuàng)建所有子對象、刪除所有子對象 Enterprise Admin 讀、寫、創(chuàng)建所有子對象、刪除所有子對象 System 讀、寫、創(chuàng)建所有子對象、刪除所有子對象 48修改GPO權(quán)限 打開包含相應(yīng)的GPO的站點(diǎn)、域或OU的屬性對話框，選擇“組策略”，右擊“新建組策略對象”，選擇“屬性”，并選擇“安全”選項(xiàng)卡。49組策略的繼承性 通常情況下，組策略從父容器向子容器向下繼承。如果在高層的父容器上設(shè)定組策略，這個(gè)組策略將作用于父容器下面的所有子容器，包括每一個(gè)容器中的用戶和計(jì)算機(jī)對象。但是，如果明確在子容器指定組策略設(shè)置，子容器的組策略設(shè)置覆蓋父容器的組策略設(shè)置。 50四、管理組策略1. 管理軟件設(shè)

22、置 使用組策略可以集中管理軟件分發(fā)?？梢詾橐唤M用戶或計(jì)算機(jī)安裝、指派、發(fā)布、升級、修復(fù)和卸載軟件。 在使用組策略管理器配置軟件之前，要求應(yīng)用程序具有Microsoft Windows Installer(.msi)軟件包。 可以為計(jì)算機(jī)和用戶指派應(yīng)用程序，也可以為用戶發(fā)布應(yīng)用程序。 51指派應(yīng)用程序 在指派應(yīng)用程序到用戶時(shí)，應(yīng)用程序向下次登錄到工作站上的用戶廣播。應(yīng)用程序跟隨用戶進(jìn)行廣播而不管用戶實(shí)際使用的物理計(jì)算機(jī)。該應(yīng)用程序在用戶第一次觸發(fā)計(jì)算機(jī)上的應(yīng)用程序時(shí)進(jìn)行安裝，這種觸發(fā)可以是在“開始”菜單選擇該應(yīng)用程序，或是激活與該應(yīng)用程序相關(guān)的文檔。在指派應(yīng)用程序給計(jì)算機(jī)時(shí)，應(yīng)用程序廣播并在安全

23、的情況下執(zhí)行安裝。一般情況下在計(jì)算機(jī)啟動時(shí)進(jìn)行，從而計(jì)算機(jī)上沒有競爭的進(jìn)程。52發(fā)布應(yīng)用程序 在發(fā)布應(yīng)用程序到用戶時(shí)，應(yīng)用程序在用戶的計(jì)算機(jī)上不顯示為安裝。在桌面和“開始”菜單沒有快捷方式可見，用戶計(jì)算機(jī)的本地注冊表沒有修改。相反，發(fā)布的應(yīng)用程序在活動目錄保存發(fā)布屬性。然后，應(yīng)用程序名稱和文件觸發(fā)的信息對活動目錄容器中的用戶可見。所以用戶可以使用控制面板中的“添加/刪除程序”安裝應(yīng)用程序或通過點(diǎn)擊與應(yīng)用程序相關(guān)的文件觸發(fā)安裝。53指派或發(fā)布應(yīng)用程序的步驟：（1）首先創(chuàng)建一個(gè)共享文件夾并將應(yīng)用程序文件和軟件包文件復(fù)制到該文件夾下。（2）54選擇要指派的軟件包55部署軟件56組策略編輯器里可以看到指派的程序572. 管理腳本 Windows Server 2003組策略在指定腳本時(shí)有很大的靈活性?？梢詾橛?jì)算機(jī)指派啟動和關(guān)機(jī)腳本，在Windows Server 2003啟動和關(guān)機(jī)時(shí)執(zhí)行。還可以為用戶指派登錄和注銷腳本，Windows Server 2003在用戶登錄或注銷時(shí)執(zhí)行。 可以使用的腳本包括Windows NT批處理文件（.bat成cmd），Windows Scripting Host的VBScript（.vbs）或Jscripts（.js）文件。 58指派腳本59添加腳本603. 管理安全設(shè)置 計(jì)算機(jī)安全策略包括不同的策略范圍、管理權(quán)力和