計算機(jī)活動目錄和組策略

肖正強(qiáng)2009年05月12日活動目錄和組策略活動目錄是Windows網(wǎng)絡(luò)體系結(jié)構(gòu)中一個基本且不可分割的部分。它在WindowsNT4.0操作系統(tǒng)的域結(jié)構(gòu)基礎(chǔ)上改進(jìn)而成，并提供了一套為分布式網(wǎng)絡(luò)環(huán)境設(shè)計的目錄服務(wù)?；顒幽夸浭沟媒M織機(jī)構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。同等重要的是，活動目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點(diǎn)?？偟膩碚f，活動目錄的這些功能使組織機(jī)構(gòu)可以將標(biāo)準(zhǔn)化的商業(yè)規(guī)則貫徹于分布式應(yīng)用和網(wǎng)絡(luò)資源當(dāng)中，同時，無需管理員來維護(hù)各種不同的專用目錄?；顒幽夸浱峁┝藢赪indows的用戶賬號、客戶、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯一點(diǎn)。同時，它也幫助組織機(jī)構(gòu)通過使用基于Windows的應(yīng)用程序和與Windows相兼容的設(shè)備對非Windows系統(tǒng)進(jìn)行集成，從而實現(xiàn)鞏固目錄服務(wù)并簡化對整個網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到Internet上?；顒幽夸浺虼耸宫F(xiàn)有網(wǎng)絡(luò)投資升值，同時，降低為使Windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用。

活動目錄-什么是活動目錄活動目錄允許組織機(jī)構(gòu)按照層次式的、面向?qū)ο蟮姆绞酱鎯π畔?，并且提供支持分布式網(wǎng)絡(luò)環(huán)境的多主復(fù)制機(jī)制。層次式組織活動目錄使用對象來代表諸如用戶、組、主機(jī)、設(shè)備及應(yīng)用程序這樣的網(wǎng)絡(luò)資源。它使用容器來代表組織（如市場部）或相關(guān)對象的集合（如打印機(jī)）。它將信息組織為由這些對象和容器組成的樹結(jié)構(gòu)，這與Windows操作系統(tǒng)用目錄和文件來組織一臺計算機(jī)上信息的方法非常類似。圖1：活動目錄使用層次化方式組織信息以簡化網(wǎng)絡(luò)的使用和管理此外，活動目錄通過提供單一、集中、全面的視圖來管理對象集合和容器集合間的聯(lián)系。這使得資源在一個高度分布式的網(wǎng)絡(luò)中更容易被定位、管理和使用?；顒幽夸浀膶哟问浇Y(jié)構(gòu)具有靈活性并且可以進(jìn)行配置，因此，組織機(jī)構(gòu)能夠按照一種優(yōu)化自身可用性和管理能力的方法對資源進(jìn)行組織。在圖1中，容器用來代表用戶、主機(jī)、設(shè)備和應(yīng)用程序的集合。容器可以被嵌套（在一個容器中創(chuàng)建另一個容器），從而精確反映公司內(nèi)部的組織結(jié)構(gòu)。在這個例子中，市場和人力資源組織容器代表它們各自的部門以及它們在公司內(nèi)部的相互聯(lián)系。將對象組織在目錄中允許管理員在一個宏觀層次上（作為集合）管理對象而非采取一對一的方式。這種方式在允許組織機(jī)構(gòu)根據(jù)其自身商務(wù)運(yùn)作來安排網(wǎng)絡(luò)管理的同時，更增加了管理的效率和準(zhǔn)確性?；顒幽夸?活動目錄如何工作活動目錄允許組織機(jī)構(gòu)按照層次式的、面向?qū)ο蟮姆绞酱鎯π畔?，并且提供支持分布式網(wǎng)絡(luò)環(huán)境的多主復(fù)制機(jī)制。面向?qū)ο蟮拇鎯θ缜八觯顒幽夸浻脤ο蟮男问酱鎯τ嘘P(guān)網(wǎng)絡(luò)元素的信息。這些對象可以被設(shè)置屬性來描述對象的特征。這種方式允許公司在目錄中存儲各種各樣的信息并且密切控制對信息的訪問。圖2：活動目錄的對象和屬性被訪問控制列表所保護(hù)如圖2所示，對象和屬性級安全性允許管理員精確控制對存儲在目錄中的信息訪問。例如，一個為BobJones創(chuàng)建的存儲在目錄中的用戶對象擁有用于記錄Bob的姓名、電子郵件地址、電話號碼和社會保險號碼的屬性?；顒幽夸浽试S管理員為對象的每一個屬性和對象自身分配訪問權(quán)限。在這個例子中，系統(tǒng)管理員允許對BobJones對象進(jìn)行全局訪問，卻封閉了對其社會保險號碼的訪問。活動目錄-活動目錄如何工作活動目錄允許組織機(jī)構(gòu)按照層次式的、面向?qū)ο蟮姆绞酱鎯π畔ⅲ⑶姨峁┲С址植际骄W(wǎng)絡(luò)環(huán)境的多主復(fù)制機(jī)制。多主復(fù)制為了在分布式環(huán)境中提供高性能、可用性和靈活性，活動目錄使用多主復(fù)制。如下圖3所示，這種機(jī)制允許組織機(jī)構(gòu)創(chuàng)建被稱作目錄復(fù)制的多個目錄拷貝，并把它們放置在網(wǎng)絡(luò)中的各個位置上。網(wǎng)絡(luò)中任一位置上的變更都將自動被復(fù)制到整個網(wǎng)絡(luò)上（這與單主復(fù)制機(jī)制相反，在單主復(fù)制中，所有變更必須針對單一的、授權(quán)的目錄復(fù)制）圖3：活動目錄通過支持多主復(fù)制實現(xiàn)靈活性、高可用性和性能例如，完全同步的目錄復(fù)制能夠使活動目錄在廣域網(wǎng)（WAN）中的每個位置上均可使用。因為用戶可以使用本地目錄服務(wù)而非在廣域網(wǎng)中漫游來定位資源，該過程能夠向用戶提供更高速的網(wǎng)絡(luò)性能。根據(jù)可用的管理資源情況，這些相同的目錄可在本地或遠(yuǎn)程進(jìn)行管理。活動目錄-活動目錄如何工作DC：DomainController（域控制器）域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。GC：GlobalCatalog全局編錄服務(wù)器(GC)是有著特殊含義的域控制器。通過GC，可以提高在活動目錄中搜索對象的速度，可以加快用戶登錄驗證等。dsqueryserver-domain-isgc簡單的說，GC是森林中所有對象的只讀調(diào)整緩沖存儲器(ReadOnlyCache),目錄只用于搜索。Site：站點(diǎn),是指在物理上有較好的線路連接的能實現(xiàn)較快通訊速率的計算機(jī)的集合，一般是指一個LAN。而Site之間一般是通過慢速連接來實現(xiàn)信息通訊。可見Site是對網(wǎng)絡(luò)上計算機(jī)的實際的物理分布的一種客觀反映。站點(diǎn)劃分的依據(jù)是子網(wǎng)Subnet。OU：OU(OrganizationalUnit，組織單位)是可以將用戶、組、計算機(jī)和其它組織單位放入其中的AD容器，是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單元。DNS：域名解析系統(tǒng)賬號(Account)：計算機(jī)賬號域賬號組賬號(通訊組、安全組)活動目錄-活動目錄元素什么是AGDLP?A：UserAccount(用戶賬號)

G：GlobalGroup(全局安全組)

DL：DomainLocalGroup(域本地組)

P:Permission(賦權(quán)限)從操作上解釋為：賦權(quán)限時，將用戶加入到全局組，然后將全局組加入到域本地組，最后對域本地組賦權(quán)限。含義為：1.當(dāng)我們需要對用戶賦權(quán)的時候，盡量將用戶加入到相應(yīng)的安全組，然后對這些安全組賦權(quán)，而避免對用戶直接賦權(quán)。2.在賬號域（有訪問需求的用戶賬號所在的域）中，將本域里有相同訪問需求的用戶（如：讀取財務(wù)信息）加入到同一個全局組。也就是說，每一個全局組代表了具有相同訪問需求的人。3.在資源域（需要被訪問的文件夾等資源所在的域）中，為不同的訪問需求類型創(chuàng)建相應(yīng)的域本地組（如：財務(wù)信息讀取組、財務(wù)信息修改組）；然后將之前的全局組加入到相應(yīng)的域本地組，如：需要讀取的全局組加入到財務(wù)信息讀取組。4.在資源上對域本地組賦相應(yīng)的權(quán)限。如：在財務(wù)信息文件夾上對“財務(wù)讀取”組賦讀取權(quán)限，對“財務(wù)修改”組賦修改權(quán)限。這樣，用戶最終會得到相應(yīng)的權(quán)限。采用此種方法，如果以后要進(jìn)行更改，比如用戶張三從普通財務(wù)人員升級到高級財務(wù)人員，他需要修改財務(wù)數(shù)據(jù)而不是讀取，那么我們只用將張三加入到高級財務(wù)人員的全局組中即可。以上是AGDLP在NTFS權(quán)限方面的應(yīng)用，對于AD對象的權(quán)限有可以使用AGDPL?；顒幽夸?權(quán)限控制原則AGDLP實例活動目錄-AGDLP權(quán)限控制原則ShangHai：上海，包含的DC有：Paicdcsh2Paicdcsh3Paicdcsh6paicdcsh8ShenZhen：深圳，包含的DC有：Paicdcgl1Paicdcgl2Paicdcgl3Paicdcgl6Paicdcgl8Paicdcsz1Paicdcsz2Paicdcsz7查看工作站所屬站點(diǎn)：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName=ShenZhen查看登錄服務(wù)器：在CMD窗口運(yùn)行Set查看環(huán)境變量：LOGONSERVER=\\PAICDCGL6在CMD窗口運(yùn)行Gpresult活動目錄-站點(diǎn)DC：paicdom.local有兩組DC，分別在深圳和上海兩個IDC中OU：根據(jù)計算機(jī)賬號和用戶/組賬號劃分：paicdom.local/ProductionEnvironment存放的是計算機(jī)賬號paicdom.local/U_PingAn存放的是用戶賬號和組賬號Banks=銀行BranchManage=加域賬號和組Endowment=養(yǎng)老險General=Windows組使用HeadOffice=總部Life=壽險MicroCredit=信安易貸(小消)NewChannel=新渠道PC=未使用Property=產(chǎn)險活動目錄-公司活動目錄概況用戶賬號屬性—登錄限制、鎖定、隸屬權(quán)限計算機(jī)賬號屬性—加入域=在AD中創(chuàng)建計算機(jī)賬號或者修改已有計算機(jī)賬號的密碼OU屬性全局組通訊組活動目錄-實例解說簡述-組策略什么是組策略組策略包含的內(nèi)容組策略管理簡述-什么是組策略GroupPolicyisusedtodefineconfigurationsforgroupsofusersandcomputers.組策略是一個允許您執(zhí)行針對用戶和計算機(jī)進(jìn)行配置的基礎(chǔ)架構(gòu)。組策略設(shè)定包含在組策略對象中(GPOs)，它們被鏈接到這些活動目錄服務(wù)的容器：站點(diǎn)，域或者組織單元(OUs)。這些GPO中的設(shè)置隨后利用活動目錄的層級性質(zhì)，實施于受影響的對象。因此，組策略是部署活動目錄的一個最主要的原因之一，因為它能夠讓您方便的管理用戶和計算機(jī)對象。組策略是組管理技術(shù)之一，這些統(tǒng)稱為IntelliMirror?管理技術(shù)，即便用戶從網(wǎng)絡(luò)中脫離，仍然可以在任意被管理的計算機(jī)上向用戶提供統(tǒng)一的應(yīng)用程序，應(yīng)用程序設(shè)定，漫游用戶配置文件以及用戶用戶數(shù)據(jù)。IntelliMirror通過一組Microsoft?Windows?功能得以實現(xiàn)，這包括活動目錄，群組策略，軟件安裝，WindowsInstaller，文件夾重定向，脫機(jī)文件夾以及漫游用戶配置文件。簡述-什么是組策略-組策略架構(gòu)簡述-什么是組策略-組策略組件組件描述服務(wù)器

(域控制器)在活動目錄森林中，域控制器是一臺包含活動目錄數(shù)據(jù)庫的拷貝，參與活動目錄復(fù)制以及控制網(wǎng)絡(luò)資源訪問服務(wù)器，活動目錄活動目錄，基于Windows目錄服務(wù)，存儲網(wǎng)絡(luò)中對象的信息，并將信息提供給用戶和網(wǎng)絡(luò)管理員。管理員將GPOs鏈接到諸如站點(diǎn)，域和OUs等包含了用戶和計算機(jī)對象的容器上，從而將組策略設(shè)置實施于組織中的用戶和計算機(jī)。

組策略對象(GPO)GPO是一個組策路設(shè)置的集合，作為一個虛擬的對象存儲在域中，由組策略容器(GPC)和組策略模板(GPT)組成。GPC，包含GPO的屬性信息，存儲在域中每臺域控制器活動目錄中。GPT包含GPO的數(shù)據(jù)，存儲在Sysvol的

/Policies

子目錄下。GPO能夠影響包含在站點(diǎn)，域和OU中的用戶和計算機(jī)。

SysvolSysvol是一個共享目錄，存儲了域中公用文件的副本，此副本在域中所有的域控制器之間同步。

Sysvol包含了GPO中的數(shù)據(jù):GPT，包含了基于組策略設(shè)置，安全設(shè)置，腳本文件以及關(guān)于軟件安裝應(yīng)用程序的相關(guān)信息的管理模板。它通過文件復(fù)制服務(wù)

(FRS)得以同步。本地組策略對象本地組策略對象(localGPO)存儲在每臺個人計算機(jī)上的%systemroot%\System32\GroupPolicy目錄下，具有隱藏屬性。每一臺運(yùn)行Windows2000,WindowsXPProfessional,WindowsXP64-BitEdition,WindowsXPMediaCenterEdition或者

WindowsServer?2003的計算機(jī)，不論它是否處于活動目錄環(huán)境中，都設(shè)置了嚴(yán)格的localGPO。

LocalGPOs不支持某些擴(kuò)展，比如文件夾重定向或者軟件安裝組策略。也不支持一些安全性設(shè)定，但組策略對象編輯器的安全設(shè)定擴(kuò)展不支持localGPO的遠(yuǎn)程管理。LocalGPOs始終在執(zhí)行，但它在活動目錄環(huán)境中影響力最小，因為基于活動目錄的GPOs優(yōu)先。盡管您可以在個人計算機(jī)上設(shè)置localGPO，但組策略的完整功能只有在安裝了活動目錄的WindowsServer網(wǎng)絡(luò)中方能得以實現(xiàn)。另外，一些功能和組策略設(shè)置在客戶端需要WindowsXP的支持組策略對象編輯器組策略對象編輯器是一個微軟管理控制臺(MMC)單元，用于編輯GPO。

之前是組策略管理單元，組策略編輯器或者Gpedit.簡述-什么是組策略-組策略組件服務(wù)端管理單元MMC管理單元默認(rèn)情況下被組策略對象編輯器加載。當(dāng)客戶端擴(kuò)展在目標(biāo)客戶端計算機(jī)上執(zhí)行實際的策略設(shè)置的時候，服務(wù)端管理單元擴(kuò)展提供用戶接口，允許您設(shè)置不同的策略設(shè)置。

管理單元擴(kuò)展包括管理模板，腳本，安全性設(shè)定，軟件安裝，文件夾重定向，遠(yuǎn)程安裝服務(wù)，InternetExplorer維護(hù)，磁盤配額，無線網(wǎng)絡(luò)策勒以及QoSPacketScheduler.管理單元可以被擴(kuò)展，比如安全設(shè)置管理單元包括幾個擴(kuò)展管理單元。開發(fā)者也可以創(chuàng)建他們自己的MMC擴(kuò)展管理單元，使得足策略對象編輯器提供附加的組策略設(shè)置。

客戶端擴(kuò)展客戶端擴(kuò)展(CSEs)在動態(tài)鏈接庫

(DLLs)中運(yùn)行，為組策略在客戶端計算機(jī)上的執(zhí)行負(fù)責(zé)。缺省狀態(tài)下WindowsServer2003裝載如下CSE:管理模板，無線網(wǎng)絡(luò)策略，文件夾重定向，磁盤配額，

QoSPacketScheduler，腳本，安全，

InternetExplorer維護(hù)，EFS恢復(fù)，軟件安裝以及IP安全

組策略管理控制臺

(GPMC)GPMC是一個新的進(jìn)行組策略單一化執(zhí)行和管理工具。它由一個新的管理單元和組策略管理的腳本集合組成。組策略管理控制臺提供：

?

一個基于如何定制使用和管理組策略的用戶界面，這比之前基于技術(shù)如何構(gòu)建要來的好。

?

導(dǎo)入/導(dǎo)出，復(fù)制/粘貼和GPO的搜索?

組策略相關(guān)安全的單一化管理

?

對于GPO和策略結(jié)果集

(RSoP)數(shù)據(jù)的報表(對于GPO的打印，保存，只讀訪問)?

GPO的備份/恢復(fù)?

用此工具查看GPO操作腳本

(但不能查看GPO中設(shè)置的腳本).策略結(jié)果集管理單元(RSoP)策略結(jié)果集

(RSoP)管理單元是一個單一的組策略執(zhí)行和錯誤排查的MMC管理單元。RSoP使用Windows管理規(guī)范

(WMI)測定組策略設(shè)定是如何被應(yīng)用到用戶和計算機(jī)商的。對于RSoP功能性來說，它建議在GPMC中使用此報表功能。

WinlogonWindows操作系統(tǒng)中提供交互式登陸支持的組件，Winlogon是組策略引擎運(yùn)行的服務(wù)。.組策略引擎組策略引擎是一個擴(kuò)越客戶端擴(kuò)展，包括組策路運(yùn)作排程，從相關(guān)設(shè)置定位中獲取GPO以及GPO的排序和過濾，處理共處理公用功能性的框架。文件系統(tǒng)存在于客戶端計算機(jī)上的NTFS文件系統(tǒng)簡述-什么是組策略-組策略組件注冊表一個關(guān)于計算機(jī)設(shè)置信息的存儲數(shù)據(jù)庫，注冊表包含系統(tǒng)操作期間Windows不斷設(shè)計的信息，比如：

1.

每個用戶的配置文件。

2.

安裝在計算機(jī)上的程序和每個能夠創(chuàng)建的文檔類型。

3.

文件夾和程序圖標(biāo)的屬性設(shè)置。

4.

系統(tǒng)硬件

5.

使用中的端口注冊表是樹狀層級組織，它由鍵及其子鍵，配置單元以及注冊項構(gòu)成。注冊表引擎對于注冊表具有讀寫權(quán)限。注冊表設(shè)置可以通過組策略管理模板擴(kuò)展來控制。

事件日志事件日志是一個服務(wù)，處于事件查看器，在系統(tǒng)，安全和應(yīng)用程序日志中記錄事件。組策略引擎對于客戶端和域控制器上的事件日志具有寫訪問。

幫助和支持中心幫助和支持中心是一個存在于每臺計算機(jī)上的組件，為作用于計算機(jī)上的組策略設(shè)置提供HTML報表。

策略結(jié)果集

(RSoP)基礎(chǔ)結(jié)構(gòu)所有的組策略執(zhí)行信息被收集、儲存在本地計算機(jī)上的共用信息模型對象管理(CIMOM)數(shù)據(jù)庫中，這個信息，例如列表、目錄和每個GPO處理的詳細(xì)記錄，可以被使用WMI的工具訪問。

在日志模式(組策略結(jié)果)，RSoP查詢目標(biāo)計算機(jī)上的CIMOM數(shù)據(jù)庫，獲取關(guān)于策略的相關(guān)信息并將其顯示在GPMC中。在規(guī)劃模式(組策略模型),RSoP虛擬出域控制器上使用組策勒目錄訪問服務(wù)(GPDAS)的策略運(yùn)作環(huán)境，由GPDAS模仿GPO運(yùn)作，并將它們傳遞給域控制器上的虛擬客戶端擴(kuò)展，這個模擬過程的結(jié)果在回傳并顯示在GPMC之前，存儲在本地CIMOM數(shù)據(jù)庫中。WMIWMI是一個管理的基礎(chǔ)架構(gòu)，它支持通過一組公用界面實施系統(tǒng)資源的監(jiān)視和控制，同時提供一個邏輯上有組織的，一致的Windows操作、配置信息和狀態(tài)模型。

WMI收集目標(biāo)計算機(jī)的相關(guān)數(shù)據(jù)用于管理用途，這些數(shù)據(jù)包括硬件和軟件列表，設(shè)置和配置信息。例如：WMI公開諸如CPU，內(nèi)存，磁盤空間，內(nèi)存和廠商等硬件信息，從注冊表，驅(qū)動程序，文件系統(tǒng)，活動目錄，WindowsInstaller服務(wù)，網(wǎng)絡(luò)配置和應(yīng)用程序數(shù)據(jù)中獲取軟件信息。WindowsServer2003上的WMI過濾允許您給予這些數(shù)據(jù)創(chuàng)建查詢，這些查詢（也稱為WMI過濾器）檢測，在您創(chuàng)建顧慮其的地方，用戶和計算機(jī)將會接受到的所有的策略設(shè)置。GPO的容器路徑：paicdom.local/System/PoliciesGPO存放使用的為GUID，而不是“友好名稱”NamedbyGUID,notbyfriendlyname簡述-組策略對象(GPOs)的存放GroupPoliceTemplate的存放位置：\\paicdom.local\SYSVOL\paicdom.local\Policies本地策略的存放路徑為：Windows\System32\GroupPolicy簡述-組策略對象(GPOs)的存放組策略對象的繼承：默認(rèn)下級OU會繼承上級OU的組策略。當(dāng)各級OU之間的策略有沖突時，請參考下頁簡述-組策略對象的繼承組策略的優(yōu)先級，確定了設(shè)置生效的級別：組策略的應(yīng)用次序是本地->站點(diǎn)->域->OU，如果策略有沖突，則后應(yīng)用的生效。簡述-組策略的優(yōu)先級計算機(jī)策略：對應(yīng)計算機(jī)配置，對計算機(jī)的相應(yīng)設(shè)置，原則上無論是哪些用戶在這些計算機(jī)上登錄，都將加載此設(shè)置。一般對應(yīng)注冊表HKLM用戶策略：對應(yīng)用戶的相應(yīng)設(shè)置。原則上無論這些用戶在那些計算機(jī)上登錄，都將加載這些設(shè)置。對應(yīng)注冊表HKCR簡述-用戶策略和計算機(jī)策略gpmc.msc請下載安裝組策略管理控制臺:《MicrosoftGroupPolicyManagementConsole》下載鏈接：/downloads/details.aspx?displaylang=zh-cn&FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887簡述-組策略的管理工具運(yùn)行rsop.msc可以得到本機(jī)和用戶應(yīng)用的策略結(jié)果集合通過該工具可以很清晰的看到本機(jī)已應(yīng)用的各項設(shè)置：簡述-組策略的策略結(jié)果集-rsop.mscgpresult:DisplaysGroupPolicysettingsandResultantSetofPolicy(RSoP)forauseroracomputer.簡述-組策略的策略結(jié)果集-gpresult組策略應(yīng)用的系統(tǒng)日志：事件查看器應(yīng)用程序組策略執(zhí)行的詳細(xì)日志：C:\WINDOWS\security\logs\diagnosis.logC:\WINDOWS\security\logs\winlogon.log簡述-組策略的執(zhí)行日志管理員權(quán)限控制管理權(quán)限的控制是通過“受限制的組”實現(xiàn)。在【計算機(jī)配置】【W(wǎng)indows設(shè)置】【安全設(shè)置】【受限制的組】已有組策略解釋-管理員權(quán)限控制USB存儲設(shè)備禁用USB存儲設(shè)備禁用的原理如下：拒絕系統(tǒng)賬號和其他賬號對%systemroot%\inf\usbstor.pnf和usbstor.inf兩個文件的訪問權(quán)限，阻止系統(tǒng)安裝usb存儲類設(shè)備的驅(qū)動設(shè)置注冊表HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\start=4，控制已驅(qū)動的U盤設(shè)備的啟動。Start=3為允許啟動，Start=4為拒絕啟動設(shè)置注冊表HKLM\SYSTEM\CurrentControlSet\Control\storagedevicepolicies\writeprotect=1，控制U盤設(shè)備的讀寫。writeprotect=1為寫保護(hù)，writeprotect=0為可讀寫拒絕管理員組對注冊表HKLM\SYSTEM\CurrentControlSet\Control\storagedevicepolicies\和HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\的修改權(quán)限，阻止管理員隨意開啟U盤權(quán)限。已有組策略解釋-USB存儲設(shè)備WSUS補(bǔ)丁升級WSUS補(bǔ)丁升級設(shè)置的原理如下：默認(rèn)的系統(tǒng)管理模板有對應(yīng)的設(shè)置選項，可直接修改?！居嬎銠C(jī)配置】【管理模板】【W(wǎng)indows組件】【W(wǎng)indowsUpdate】已有組策略解釋-WSUS補(bǔ)丁升級組策略模板展示：初步