組織單位OU規(guī)劃及創(chuàng)建教材

第03部分組織單位OU規(guī)劃及創(chuàng)建組織單位OU規(guī)劃及創(chuàng)建第一頁，共三十四頁。本章重點(diǎn)何謂組織單位規(guī)劃組織單位管理組織單位管理組織單位的成員委派控制第二頁，共三十四頁。組織單位與委派控制組織單位（OrganizationalUnit）是從Windows2000之后才出現(xiàn)的對象,在AD域的邏輯架構(gòu)中擔(dān)任重要的角色。組織單位是什么？它能幫我們做什么？以及如何管理組織單位。第三頁，共三十四頁。何謂組織單位在WindowsNT的時代,域（Domain）是組織和管理網(wǎng)絡(luò)的最小單位。倘若不同的部門有不同的安全需求與管理方式,往往因此得將整個公司劃分成多個域?？墒沁@種多域的架構(gòu),在管理與成本都會增加負(fù)擔(dān)。為了解決這類的問題,微軟公司在AD域中增加了組織單位這種對象,使得整個域的規(guī)劃與管理更有彈性,能發(fā)揮『分層負(fù)責(zé)、授權(quán)管理』的優(yōu)點(diǎn)。第四頁，共三十四頁。組織單位是一種容器能包含其它對象的對象便稱為容器（Container）,既然組織單位是一種容器,自然也能包含其它對象。它可以包含以下9種對象：用戶、計算機(jī)、組、打印機(jī)、共享文件夾聯(lián)絡(luò)人、組織單位、InetOrgPerson、MSMQ路由別名但是要記得一點(diǎn)－－組織單位僅能包含同域內(nèi)的對象,不能包含其它域的對象！第五頁，共三十四頁。組織單位與組的差異初次接觸組織單位時,許多用戶會將它與『組』（Group）混淆,雖然兩者都是應(yīng)用在AD域的邏輯架構(gòu)中,但是在使用上有以下的差異：一個用戶可以隸屬于多個組,但是只能隸屬于一個組織單位。組織單位可以包含組,但是組不能包含組織單位。網(wǎng)絡(luò)資源（例如：文件夾或打印機(jī)）的權(quán)限可以賦予組,但是不能賦予組織單位。第六頁，共三十四頁。規(guī)劃組織單位如何規(guī)劃組織單位的架構(gòu),是一個頗有挑戰(zhàn)性的課題。然而并無一定的準(zhǔn)則,主要視企業(yè)實(shí)際需求而定。以下列舉幾種常見的規(guī)劃模式：基于功能SCMS–銷售C–咨詢M–市場基于混合型的示例功能組織位置功能組織位置基于組織MERM–制造業(yè)E–工程師R–研究員基于地理位置NFIN–挪威F–法國I–印尼第七頁，共三十四頁。委派控制簡單地說,所謂的委派控制（Delegation）便是『授權(quán)』！系統(tǒng)管理員可利用它來將例行的管理工作,委派給特定的對象來執(zhí)行,以減輕自己的負(fù)擔(dān)。執(zhí)行委派控制時應(yīng)注意以下3個要點(diǎn)：委派的范圍：將多大的范圍（站點(diǎn)、域或組織單位）委派出去。委派的對象：委派給誰。委派的內(nèi)容：委派多大的權(quán)限出去。第八頁，共三十四頁。修改委派控制的內(nèi)容委派控制精靈有一個缺點(diǎn)－－只能用來執(zhí)行委派工作,不能『刪除』或『更改』委派工作。如果要取消或更換授權(quán)的對象或工作內(nèi)容,則必須直接修改該對象的ACL。以前例而言,若要修改原先委派給『賈聰明』的權(quán)限,或是將該委派工作改派給其它人,請先開啟『總管理處的權(quán)限項目』交談窗。第九頁，共三十四頁。第03部分組策略規(guī)劃及創(chuàng)建組策略規(guī)劃及創(chuàng)建第十頁，共三十四頁。組策略部署管理組策略對象的工具組策略對象鏈接組策略的應(yīng)用用順序組策略權(quán)限的繼承阻止策略繼承強(qiáng)制組策略組策略篩選第十一頁，共三十四頁。組策略概述組策略在運(yùn)行WindowsServer

2008、WindowsVista、WindowsServer

2003和Windows

XP的計算機(jī)上啟用基于ActiveDirectory的用戶和計算機(jī)設(shè)置更改和配置管理。除了使用組策略為用戶和計算機(jī)組定義配置以外，還可以配置很多服務(wù)器特定的操作和安全設(shè)置，以便使用組策略幫助管理服務(wù)器計算機(jī)。第十二頁，共三十四頁。組策略組件ContainsGroupPolicysettingsStorescontentintwolocationsGroupPolicyObjectStoredinsharedSYSVOLfolderProvidesGroupPolicysettingsGroupPolicyTemplateStoredinActiveDirectoryProvidesversioninformationGroupPolicyContainer第十三頁，共三十四頁。組策略對象的工具默認(rèn)組策略工具ActiveDirectory用戶和計算機(jī)域和組織單位組策略對象ActiveDirectory站點(diǎn)和服務(wù)站點(diǎn)組策略對象本地安全策略本地計算機(jī)安全設(shè)置附加工具組策略管理域、組織單位和站點(diǎn)組策略對象第十四頁，共三十四頁。組策略對象鏈接組織單位GPO組織單位GPO站點(diǎn)GPO域GPO站點(diǎn)域OUOUOU第十五頁，共三十四頁。本地策略站點(diǎn)策略域策略父OU策略子OU策略組策略的應(yīng)用用順序第十六頁，共三十四頁。組策略權(quán)限的繼承域OUOUOUOUOU用戶或計算機(jī)賬戶OUGPO1OUGPO3OUGPO2第十七頁，共三十四頁。阻止策略繼承要阻止策略在域或組織單位中繼承ActiveDirectory用戶和計算機(jī)管理工具要阻止策略在站點(diǎn)上繼承ActiveDirectory站點(diǎn)和服務(wù)管理工具銷售生產(chǎn)域組策略對象沒有組策略對象設(shè)置應(yīng)用第十八頁，共三十四頁。強(qiáng)制組策略強(qiáng)制鏈接沖突第十九頁，共三十四頁。組策略篩選銷售生產(chǎn)域MengphKimyo組應(yīng)用組策略拒絕讀取和應(yīng)用組策略允許GPO第二十頁，共三十四頁。什么是WMI過濾器?500MBfreediskspace?

WMIFilterAdministratorInstall

OfficeXP?10GB400MB35GB750MBGPO第二十一頁，共三十四頁。WMI過濾Windows2000WindowsXPWindowsXPWMI過濾域控制器只套用XPProfessional查詢是使用WMI查詢語言(WQL)編寫的

僅運(yùn)行WindowsXPProfessional的目標(biāo)計算機(jī)Root\CimV2;Select*fromWin32_OperatingSystemwhereCaption="MicrosoftWindowsXPProfessional"

第二十二頁，共三十四頁。組策略什么時候應(yīng)用?ComputerstartsComputersettingsappliedStartupscriptsrunRefreshIntervalUserlogsonUsersettingsappliedLogonscriptsrunRefreshInterval第二十三頁，共三十四頁。組策略處理過程同步處理異步處理第二十四頁，共三十四頁。管理組策略什么是COPY操作，執(zhí)行COPY操作?什么是備份操作，執(zhí)行備份操作?什么是恢復(fù)操作，執(zhí)行恢復(fù)操作?什么是倒入操作，執(zhí)行導(dǎo)入操作?第二十五頁，共三十四頁。什么是Copy操作?AcopyofaGPOtransfersonlythesettingswithinaGPOThenewGPOiscreatedunlinkedDACLUser1GPO1ReadFullControlDACLUser1GPO2ReadFullControlCopyOperation第二十六頁，共三十四頁。什么是Backup操作?Inabackupoperation,GroupPolicyManagementexportalldataintheGPOtotheselectedsavestheGPTfilesBackupOperationBackupofaGPOGPO1GPO1第二十七頁，共三十四頁。什么是恢復(fù)操作?Inarestoreoperation,thecontentsoftheGPOarereturnedtoexactlythesamestateRestoreOperationGPO1Backed-upGPOGPO1第二十八頁，共三十四頁。什么是導(dǎo)入操作?Inanimportoperation,allGPOsettingsarecopiedfromthesourcetothetargetGPOGPO1ImportOperationGPO2GPOSettings第二十九頁，共三十四頁。將組策略應(yīng)用于新用戶和計算機(jī)帳戶默認(rèn)情況下，新用戶和計算機(jī)帳戶是在CN=Users和CN=Computers容器中創(chuàng)建的。Redirusr.exe（用于用戶帳戶）和Redircomp.exe（用于計算機(jī)帳戶）是WindowsServer

2008附帶提供的兩個工具?？梢允褂眠@些工具更改新用戶和計算機(jī)帳戶的默認(rèn)創(chuàng)建位置，以便更輕松地為新創(chuàng)建的用戶和計算機(jī)對象直接指定GPO作用域第三十頁，共三十四頁。組策略和SysvolGPO中的策略設(shè)置信息存儲在以下兩個位置：ActiveDirectory和域控制器的Sysvol文件夾。ActiveDirectory容器稱為組策略容器；Sysvol文件夾中包含組策略模板。組策略容器包含用于將GPO部署到域、OU和站點(diǎn)的屬性。組策略容器還包含組策略模板的路徑，該模板存儲了大多數(shù)組策略設(shè)置。第三十一頁，共三十四頁。管理模板組策略中提供大量的設(shè)定使管理員可以通過一次設(shè)定,管理多臺計算機(jī)或者多個用戶組策略中很大一部分設(shè)定實(shí)際上是改的注冊表管理模板(.ADM)文件定義了組策略如何修改注冊表所有基于注冊表的組策略設(shè)定存為registry.pol,放在sysvol中第三十二頁，共三十四頁。組策略首選項組策略首選項是WindowsServer

2008操作系統(tǒng)中的新增功能，包括20多個新的組策略擴(kuò)展，擴(kuò)大了組策略對象(GPO)中可配置設(shè)置的范圍。這些新的擴(kuò)展位于組策略管理控制臺(GPMC)的“組策略管理編輯器”窗口中的新首選項下面。新組策略首選項擴(kuò)展的示例包括文件夾選項、映射驅(qū)動器、打印機(jī)、計劃任務(wù)、服務(wù)以及「開始」菜單設(shè)置要求在客戶端計算機(jī)上安裝客戶端擴(kuò)展(CSE)集第三十三頁，共三十四頁。內(nèi)容總結(jié)第03部分。組織單位（OrganizationalUnit）是從Windows2000之后才出現(xiàn)的對象,在AD域的邏輯架構(gòu)中擔(dān)任重要