AD_04_組策略.ppt

1、組策略,第四章,上節(jié)回顧,域組的分類 信任關系的種類 將資源發(fā)布到活動目錄中 跨域訪問資源,本章目標,理解GPO的概念 掌握組策略管理器的使用 理解GPO的應用規(guī)則 利用組策略完成用戶環(huán)境的管理 組策略的委派管理,介紹組策略,通過使用組策略，可以: 設置整個組織的集中化策略或分散式策略 確保用戶有適合他們工作的環(huán)境 降低控制用戶和計算機環(huán)境的總費用 推行公司策略,組策略的作用,方便地管理AD中的計算機和用戶 賬戶策略的設定 本地策略的設定 腳本的設定 用戶桌面環(huán)境 計算機啟動/關機與用戶登錄/注銷時所執(zhí)行的腳本文件 文件夾重定向 軟件分發(fā) 安全設置,組策略,應用組策略的前提條件,組策略只能管理

2、AD中的計算機和用戶 只能在域控制器上設置組策略 只能針對整個站點、域或組織單位來設置組策略 要使用組策略，必須有相應的管理權限 組策略只適用于Windows 2000以上操作系統(tǒng)的計算機,組策略結構,組策略的設置數據皆保存在GPO中 GPO鏈接至SDOU（Site、Domain、Organized Unit） GPO管理SDOU中的計算機和用戶,SDOU,GPO,計算機,用戶,組策略,GPO與SDOU間的鏈接關系,域,組織單位,GPO 1,組織單位,組織單位,組織單位,組織單位,組織單位,站點,GPO 2,GPO 4,GPO 3,GPO 5,A 一個容器對一個GPO,B 多個容器對一個GPO

3、,C 一個容器對 多個GPO,鏈接到GPO,組策略的對象,查看GPC、GPT、LCP,GPC-group policy container AD計算機用戶和計算機-高級-選擇域-展開System容器-policies，將會看到包含用GUID所標識兩個默認GPO的文件夾(default domain policy and domain controller policy) GPT-group policy templates 存放于當前DC的%systemroot%SYSVOLsysvol域名稱policies文件夾內，同樣是以GUID所標識兩個默認GPO的文件夾(default domain

4、policy and domain controller policy) LCP-local computer policy 本地計算機策略，存放于本地計算機的%systemroot%system32grouppolicy文件內,1,2,3,4,5,新建GPO,6,7,8,9,組策略的添加和刪除,1,2,3,4,編輯GPO,組策略的繼承,域,組織單位 Product,組織單位 Employees,GPO f,應用GPO-f到域,繼承,繼承,John受到GPO-f的約束,域的組策略,組織單位的組策略,下層組織單位的組策略,不設置阻止 策略繼承,設置阻止 策略繼承,阻礙,John不受GPO-f的約

5、束,設置阻止 策略繼承,設置禁止替代,課堂討論：如何應用組策略 :,課堂討論：如何應用組策略(2),What are the resultant Group Policy settings for the OU?,A password must be at least 11 characters long The Windows Update icon appears on the Start menu Favorites does not appear on the Start menu,GPO3,課堂討論：改變組策略的繼承性,課堂討論：改變組策略的繼承性(2),計算機配置,1,2,3,4,

6、5,6,7,8,用戶配置,1,2,3,4,5,6,7,8,管理用戶桌面環(huán)境,1,2,3,利用GPO實現安全設置,管理模板,定義系統(tǒng)中所有涉及到注冊數據的設置 計算機配置 用戶配置,文件夾重定向,2,1,3,4,5,6,組策略的應用時機,在下列情況時 GetGPOList 功能在客戶機運行： 當計算機開始決定應用哪個包含計算機配置設置的 GPO 時，在客戶機上運行該功能 當用戶登錄，決定處理哪個包含用戶配置設置的 GPO 時，在客戶機上再次運行該功能,組策略的委派管理,鏈接GPO到站點、域或OU的委派 添加GPO的委派 編輯GPO的委派,鏈接GPO到站點、域或OU的委派,系統(tǒng)默認Domain A

7、dmins或Enterprise Admins組內的用戶可以將GPO鏈接到站點、域或OU 一般用戶如果擁有對站點、域或OU的gPLink與gPOptions這兩個屬性的讀取與寫入權限，就可以將GPO鏈接到站點、域或OU 可以通過“委派控制”的方式來賦予一般用戶gPLink與gPOptions這兩個屬性的讀取與寫入權限,添加GPO的委派,只要用戶是屬于Domain Admins、Enterprise Admins、Group Policy Creator Owners組的用戶，他就擁有添加GPO的權限 Group Policy Creator Owners組內的一般用戶，在添加GPO后，就是這個

8、GPO的擁有者，對這個GPO擁有完全控制的權限，可以編輯這個GPO的內容，但無權限編輯其他的GPO Group Policy Creator Owners組內的用戶，雖然可以添加GPO，但無權限將GPO鏈接到站點、域或OU，除非他們被委派權限,編輯GPO的委派,只要用戶是屬于Domain Admins或Enterprise Admins、GPO的擁有者、被賦予修改GPO權限，就可以編輯GPO的內容。,控制組策略的處理,同步和異步處理 默認的組策略處理是同步的 可以通過使用組策略設置將默認的行為改為異步 在選定的時間間隔內刷新組策略 在運行 Windows2003 Sever 但沒有配置成域控制

9、器的計算機和運行Windows XP的計算機上每90120分鐘刷新一次 域控制器每5分鐘刷新一次 不論策略配置值是否有變化，系統(tǒng)仍然會每隔16小時自動啟用一次 手動強制刷新組策略 gpupdate /force 未發(fā)生變更的組策略設置的處理 你可以配置每一個客戶端的擴展來處理所有可用的組策略設置,解決組策略間的沖突,應用組策略的結果是那些除了發(fā)生沖突以外設置的應用 組策略的配置具有累加性 如果發(fā)生沖突，默認的狀態(tài)下，實施最后的設置 來自父容器的GPO設置和來自子容器的GPO設置發(fā)生沖突。子容器的設置后執(zhí)行并發(fā)揮作用 當站點、域、OU的GPO策略發(fā)生沖突時，則以處理順序在后的GPO優(yōu)先。處理優(yōu)先

10、順序為：站點的GPO、域的GPO、OU的GPO 當用戶設置和計算機設置發(fā)生沖突時，忽略用戶設置而執(zhí)行計算機設置 如果多個GPO鏈接到同一個OU，那么所有GPO的配置將被累加作為最后的有效配置。如果這些GPO配置有沖突，則以排在GPO列表最上面的GPO配置為優(yōu)先。 “本地計算機策略”的優(yōu)先權最低，也就是在其策略配置與站點、域、OU的策略配置發(fā)生沖突時，本地計算機策略無效。,解決組策略沖突,最佳方案,限制使用阻止、過濾GPO限制，特別是域相互之間 的使用,限制影響計算機或用戶的GPO數目,在單個GPO中與設置相關的組,在把GPO委派給管理員時限制管理員的數目為一至兩個,避免把GPO連接到包含多個域的站點上,在開始添加GPO前規(guī)劃好如何在網絡中執(zhí)行組策略模型,本章總結,組策略是一組策略的集合，應用組策略，管理員可以很方便的管理Active Directory中的計算機和用戶 組策略的設置數據皆保存在GPO中，GPO鏈接至SDOU 管理員可以為一個SDOU新建、添加、編輯和刪除GPO,本章總結,子容器會繼承來自上層容器的GPO，可以利用阻止策略繼承和禁止替代兩種方式來調整默認的繼承與累加關系 組策略由兩部分組成:計算機配置和用戶配置，能夠設置各種策略，管理活動目錄中的計算機和用戶 可以利用GPO實現與系統(tǒng)相關的安全設置，如密碼長度