域和组策略课件

第3章域和组策略第3章域和组策略2023/1/3工程技术部鄢创辉版权所有谢绝盗版学习要点 理解什么是AD（重点）理解工作组和域的管理模式掌握组织单位的管理掌握组策略和组策略的设置理解域、组织单位和组策略的关系2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版前提知识2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版1、什么是活动目录WindowsServer2000相对于NT4.0而言最重要的改变是增加了活动目录(AD)，AD也是Windows2000最主要的特性。WindowsServer2003仍然提供了对AD的支持。从字面上看，活动目录由“活动”和“目录”两部分组成。“活动”是用来修饰“目录”，其核心是“目录”两个字；目录代表的是目录服务（DirectoryService）。目录：决定存放的内容及存放的方式。服务：对我们提出的要求的正确响应。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版1、什么是活动目录（续）目录服务有多种,如：NT4.0的SAM;NETWARE-NDS;UNIX;MACINTOISH。而活动目录是WindowsServer2003网络中目录服务的实现方式。它的“活动”体现在：活动目录中对象的数目是没有限制的；活动目录中对象的属性是可以增加的；可以方便地添加或删除域。

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版2、活动目录的特点方便的组织资源；活动目录将目录组织居能够存储大量对象的容器，因此活动目录能够随着组织机构的扩大而增长。方便的信息组织和查找；活动目录提供了收集和分发网络中对象的集中存储场所，这些网络信息包括用户、组和打印机等。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版2、活动目录的特点（续）集中管理和分散管理的相结合；利用活动目录工具能够对活动目录中的资源进行统一管理，如统一执行组策略等。也可以根据不同用户的需要进行分散的管理，如为不同的组织单位执行不同的组策略。资源的分级管理。通过登录认证和目录中对象的访问控制，安全性和活动目录紧密地集成在一起。管理员能够管理整个网络的目录数据，并且可以授权用户能够访问网络上任何位置的资源及权限。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版3、活动目录的好处降低总体拥有成本这些成本包括维护的成本、培训的成本、技术支持成本及相应的升级成本。一次登录即能访问所有的资源每个用户只要在登录一次提供用户信息，就可以访问网络中所有该用户有权限访问的资源。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版4、ActiveDirectory的逻辑架构活动目录的逻辑结构可以公司的组织机构框图结合起来，通过对资源进行逻辑组织，使用户可以通过名称而不是通过物理位置来查找资源，并且使网络的物理结构对用户来说是透明的。活动目录的逻辑结构包括：域（Domain）、域树（DomainTree）、域目录林（Forest森林林）和组织单位（OrganizationUnit）。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版5、ActiveDirectory的逻辑架构域域域域域域OUOUOU域树域林组织单位对象2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的逻辑架构域：ActiveDirectory逻辑结构中的核心功能单位，域提供下列三种功能：对象的管理边界管理共享资源安全性的方法对象的复制单元域树：以层次结构的方式组合到一起的域，子域的名称与其父域名称组合在一起，形成它自身唯一的域名系统森林：林是ActiveDirectory的完整实例。其中包含一个或多个树组织单位：是活动目录中的一个特殊容器。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版为什么需要域如果资源分布在多台服务器上，要在每台服务器分别为每一员工建立一个账户（共M*N），用户则需要在每台服务器上（共M台）登录2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版为什么需要域服务器和用户的计算机都在同一个域中，用户在域中只要拥有一个账号用户只需要在域中拥有一个域账户，只需要在域中登录一次就可以访问域中的资源了。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版为什么需要域用户信息存放在域中的域控制器(DC，DomainController)上。当网络有十万个用户甚至更多，域控制器存放的用户数据量将很大，更为关键的是如果用户频繁登录，域控制器可能因此而不堪重负。分成多个域，每个域的规模控制在一定的范围之内。实际上，分成小的域不仅仅出于服务器不堪重负的原因，更多的是出于管理上的要求。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版为什么需要域网络划分成多个域

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域的概念域是活动目录逻辑结构的核心单元，是活动目录的容器。域定义了一个安全的边界（域是一个安全的堡垒），域中的所有对象都保存在域中，都在这个安全的范围内接受统一的管理．同时每个域只保存属于本域的对象，所以域管理员只能管理本域．安全边界的作用就是保证域的管理者只能在该域内拥有必要的管理权限，如果要让一个域的管理员去管理其他域，除非管理者得到了其他域的明确授权。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域的概念（续）域是复制的单元。域是一种逻辑的组织形式，因此一个域可以跨越多个物理位置。例如北京和广州的两个网段属于同一个域，它们之间通过WAN相连。如果只有一台域控制器（安装了活动目录的计算机）在北京，那么广州的用户也只能在北京的域控制器上进行身份验证。为了提高对用户的响应速度可以在广州的网段上也创建一台域控制器。这样就需要北京和广州的域控制器之间实现数据同步，而同步的内容就是域的信息，所以说域是复制的单元。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域树的概念域树是一组具有连续命名空间的域组成的。例如我们学院最初一个域名为，后来为了管理方便或者是为了安全的需要，需要新建一个域（域是安全的最小边界），这样就可以把这个新域添加到现有的目录当中去．这个新域就是的子域。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域树的概念（续）组成一棵树的第一个域称为树的根域，上图中为树的根域，而其他的域称为该树的结点域。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域目录林的概念域目录林（Forest）是由一棵或多棵域树组成的，每棵域树独享连续的命名空间，不同的域树之间没有命名空间的连续性。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域和信任关系什么是信任关系？域是安全的最小边界，对于树和目录林而言，如果不同的域之间进行访问，就需要不同域之间有一种信任关系。信任关系的方向信任是有方向的，信任的方向决定了资源访问的方向。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版关于信任的方向A域信任B域，A称为信任域（TrustingDomain），B称为被信任域（TrustedDomain），B域的用户可以访问A域中的资源。单向信任关系

双向信任关系

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版信任的传递性信任具有传递性，即如果A信任B，B又信任C，如果信任关系是可传递的，A就信任C。在WindowsServer2003中默认建立的信任关系是可传递的，但手工建立的信任关系有些是可传递的，有些则不传递的。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版信任的类型在创建树和目录林的结构时，活动目录安装向导会自动创建两种默认的信任关系：父子信任：在现有域当中添加新的子域时，父域和子域之间会建立父子信任关系，该关系是双向可传递的；树根信任：当在现有的目录中添加新的域树时，目录林的根域和树的根域之间会建立树根信任，关系是双向可传递的。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组织单位（OUOrganizationUnit）组织单位：是活动目录中的一个特殊容器，它可以所用户、计算机、打印机和组等对象组织起来。与一般容器仅能容纳对象不同，组织单元不仅可以包含对象，而且可以进行策略设置和委派管理，这是普通容器不具备的。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组织单位（续）组织单位是活动目录中最小的管理单元。如果一个域中的对象数目非常多的时候，我们可以把一些具有相同管理要求的对象组织在一起，这样就可以实现分级管理。作为域管理员还可以指定某个用户去管理某个OU，管理权限可视情况而定。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组织单位（续）组织单位可以和公司的行政机构相结合，这样可以方便管理员对活动目录对象的管理。市场部、技术部、财务部。。。。在规划组织单位时可以根据两个原则：地点和部门职能。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版全局编录（GC，GlobalCatalog）一个域的活动目录只能存储该域的信息，相当于这个域的目录。而当一个目录林中有多个域时，由于每个域都有一个活动目录，因此如果一个域的用户要在整个目录林范围内查找一个对象时就要搜索目录中每个域，这时全局编录就派上用场。默认情况下域中的第一台域控制器自动会成为全局编录服务器。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的物理架构在活动目录中，逻辑结构和物理结构是两个载然不同的概念。逻辑结构是用来组织网络资源的，而物理结构是用来设置和管理网络流量的。物理结构由域控制器和站点组成。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的物理架构域控制器：运行MicrosoftWindowsServer

2003（或Windows

2000Server）和ActiveDirectory的服务器。每台域控制器执行存储和复制功能一台域控制器只能支持一个域ActiveDirectory站点：通过建立站点实现网络流量优化，对不同位置的域控制器之间的带宽达到最佳利用2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的物理架构站点域控制器广域网连接站点域控制器广域网连接站点2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版运行Windows

Server

2003操作系统计算机至少250MB磁盘空间一个使用NTFS文件系统格式化的分区或卷创建域必需的管理特权安装有TCP/IP，并且配置其使用DNS一台管理DNS域的DNS服务器，并且支持SRV资源记录ActiveDirectory

安装要求2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版安装过程启动安全协议和设置安全策略创建：ActiveDirectory分区、数据库和日志文件林根域SYSVOL文件夹NetLogon文件夹配置域控制器的站点成员关系在目录服务和文件复制文件夹上启用安全特性将用户提供的密码应用到管理员账户（针对系统还原模式）ActiveDirectory安装过程2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版演示：验证以下文件夹是否创建SYSVOL和共享目录数据库和日志文件缺省的的ActiveDirectory架构是否创建通过事件查看器日志查看安装结果验证ActiveDirectory

安装2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版DNS和ActiveDirectory名称空间

ActiveDirectory集成区域

SRV资源记录域控制器注册的SRV记录检查域控制器注册的记录客户端计算机使用DNS定位域控制器和服务的过程检查集成了

DNS的ActiveDirectory2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版安装AD后操作系统的变化2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory集成区域是作为对象存储在ActiveDirectory数据库中的主DNS区域和存根DNS区域可以在ActiveDirectory应用程序分区或ActiveDirectory域分区中存储区域对象提供以下优点多主机复制安全动态更新到其他DNS服务器的标准区域传送ActiveDirectory

集成区域2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory

集成区域2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版SRV资源记录SRV记录是用于映射服务到提供此服务的计算机的信息字段组成SRV记录格式范例：_ldap._tcp.contoso.msft600

INSRV0

100389london.contoso.msft

_Service_.Protocol.Name

Ttl

Class

SRV

Priority

Weight

Port

Target

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版检查域控制器注册的记录演示目的：使用DNS控制台或者Nslookup工具查看域控制器注册的SRV资源记录2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版可能磁盘空间小于安装ActiveDirectory的最小磁盘要求磁盘空间不足网络错误DNS错误域不能联系其他域拥有同样的域名或NetBIOS名称DNS或NetBIOS域名不唯一可能原因现象没有使用属于LocalAdministrators组的账号登录没有提供DomainAdmins组或EnterpriseAdmins组成员的用户账号证书创建或添加域控制器时，访问被拒绝解决ActiveDirectory

安装中的问题2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版书本知识2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版工作组和域工作组和域是操作系统的网络资源的两种不同的管理方式。工作组的特点：管理方式是—分布式管理，工作组中的任何一台计算机中负责管理本地的资源。适合小型网络。域管理方式是—集中管理，至少有一台服务器负责每一台接入网络的计算机和用户的验证管理工作。适合于中大型网络。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版工作组和域图解创建方式不同

安全机制不同

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版工作组和域图解2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版关于域结构域由一些计算机组成，分三类域控制器成员服务器客户机2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版关于组织单位 组织单位(OU)用作一种容器，以便以逻辑方式来组织目录对象（如用户、组和计算机），这与使用文件夹来组织硬盘上的文件大体相同。它是可以指派组策略设置或委派管理权限的最小单元。您可以创建嵌套的OU，对嵌套级别没有限制。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版关于组策略组策略是AD的核心应用。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版为什么要引进组策略？在AD中，能起到关键作用的就是“组策略”，利用组策略可以管理域中的计算机和用户工作环境，实现软件分发等一系列功能、可以快速便捷的帮助管理员完成烦琐的工作。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版

1、组策略的概念“组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系，不要把组策略理解为是针对用户组所配置的策略。组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略的概念1.组策略对象（GPO）系统已经有两个内建GPO，分别是：DefaultDomainPolicy此策略已被连接到域，因此该策略将影响域内所有计算机和用户。DefaultDomainControllerPolicy此策略已被连接到DomainControllerOU，因此该策略将影响域控制器组织单元内的所有计算机和用户2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略的概念2．组策略配置类型应用组策略时存在两种配置选项：计算机配置和用户配置。计算机配置：用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。用户配置：用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略应用的对象计算机帐号用户帐号2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略的概念3．组策略功能类型软件部署：软件部署包括“应用程序分配”和“应用程序发行”两部分内容。“应用程序分配”指把应用软件提供给桌面，当计算机或用户根据组策略安装后就不能修改或删除应用程序；“应用程序发行”指将应用软件提供给用户或计算机，允许它们选择安装。软件策略：软件策略是最常用的配置设置。这些选项定义了用户的工作环境。例如，用户的“开始”菜单、屏保程序或用户配置文件的设置，包括操作系统组件和注册表设置。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略的概念3．组策略功能类型（续）文件夹管理：文件夹管理允许组策略系统管理员添加文件、文件夹和快捷方式到用户桌面。例如，可以根据安全组成员的身份把网络应用程序提供给用户。脚本：脚本能够用于在某些时间自动运行批处理文件的进程，如启动和关机、登录和注销、映射网络驱动器、映射网络打印机等。安全：安全策略设置用于定义目录树、域、网络和本地计算机的安全配置。它们能够用于设置账户策略。例如，密码的使用期、网络安全策略和账户锁定策略等。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版Demo1强制性地让用户将关键数据备份到服务器上，以便可以集中备份。思路：不让用户访问驱动器；不让用户使用命令行。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版操作步骤新建一个OU名为Computer，并在此OU上新建一个用户为Kobe。右击Computer，新建一个组策略。用户配置—管理模板—windows组件—windows资源管理器—在右边的窗格找到相应的选项。（不让用户访问驱动器。）用户配置—管理模板—系统—在右边的窗格找到相应的选项。（不让用户使用命令行。）2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版Demo2目的：设置IE选项操作步骤：用户配置—Windows设置—IE选项。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版Demo3利用组策略实现软件的指派实验步骤:将要指派的软件放到一共享文件夹中；用户配置—软件设置—软件安装；右击”软件安装”—新建--程序包—指定软件的网络位置。选择”已指派”。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版服务器端的设置过程图2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版客户端的效果图2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略的概念4.组策略的应用时机组策略计算机配置的启动时机是：计算机开机时自动启动；如果用户不重新开机，系统会每隔一段时间自动启动；或手工启动。组策略用户配置的启动时间是：用户登录时自动启动；系统即使用户不注销、登录，系统默认每隔90~120钟自动启动；手工启动。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略的应用顺序（难点！！！）组策略的应用顺序如下：本地组策略域组策略域控制器策略组织单元组策略默认情况下，这些策略不一致时，后应用的策略将覆盖以前的策略。但是，如果这些设置对象不一致，前后的策略都是有效策略。组策略可以继承，也可以阻止策略继承。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版课堂提问与演示如果在域上设置了组策略，而在OUComputer上并没有做任何设置，请问该OU上的用户是否可以受域上组策略的限制？如果在域上设置了组策略，而在OUComputer上做了相反的设置，请问该OU上的用户受何种组策略的限制？什么时候要在OU上设置“阻止策略继承”？2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版回顾--组策略应用的规则计算机策略覆盖用户策略；如果同一个容器的计算机策略和用户策略都设置了,但这2个的策略之间相互冲突,并且这个容器下的用户帐户恰好登录了这台计算机,那么计算机策略和用户策略同时都要生效,这时计算机策略覆盖用户策略!

不同层次的策略产生冲突时，子容器上的GPO优先级高；不同层次的策略产生冲突时，子容器上的GPO优先级高!

同一个容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高；2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版回顾--组策略应用的规则图解2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版回顾--组策略应用的规则的进一步说明1掌握组策略继承在不同层次的容器上设置GPO或在同一层次的容器上设置了多个GPO,只要策略之间无冲突,那么所有策略都会做累加.还有上层容器做了GPO,那么下层容器会继承上层容器的策略.2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版回顾--组策略应用的规则的进一步说明2阻止继承操作下层容器默认会继承上层容器的策略，那么下层容器也可以阻止上层容器的策略，这样上层容器的策略就不会继承到下层了。方法是只需要在下层容器设置"阻止继承"即可:2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版回顾--阻止继承操作图片2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版回顾--组策略应用的规则的进一步说明3组策略强制生效下层容器也可以阻止上层容器的策略，那么反过来上级容器也可以把策略强制给下级容器，那么不管下层容器有没有选择“阻止继承”，都不生效，上层容器的策略都会继承下来。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版回顾--组策略强制生效图解2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版回顾--冲突的解决如果上层容器选择了“强制”，而下层容器同时选择了“阻止‘，两个都存在，那么”强制“优先级高。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版进一步说明---如何设置特例？GPO都是应用于容器下的所有的计算机和用户，但在实际中会有这样的需求，例如学术部的所有普通用户都要受GPO的约束，而经理却不想受此约束，该如何操作？2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版用筛选组策略设置利用筛选组策略设置可以实现阻止一个GPO应用于容器内部的特定计算机和用户。

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版操作图解2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版2、创建组策略每一计算机上的本地策略都是只能有一个，因此只能编辑本地策略而不能创建本地策略，而域上或组织单元级别上可以有多个组策略，我们可以在一个域上或组织单元上同时应用多个组策略

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版2、创建组策略2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版链接已有的GPO2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版链接已有的GPO2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版链接已有的GPO2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版委托GPO管理控制2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版委托GPO管理控制2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版4、设置组策略2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版4、设置组策略2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版4、设置组策略未配置：表示该设置不会更改注册表。已启用：表示该配置应用到该GPO的用户和计算机。已禁用：表示注册表将指示策略不会应用到隶属于该GPO的用户和计算机。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版5、删除GPO链接2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版5、删除GPO链接2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版5、删除GPO2022/12/18工程技术部鄢创辉第3章域和组策略第3章域和组策略2023/1/3工程技术部鄢创辉版权所有谢绝盗版学习要点 理解什么是AD（重点）理解工作组和域的管理模式掌握组织单位的管理掌握组策略和组策略的设置理解域、组织单位和组策略的关系2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版前提知识2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版1、什么是活动目录WindowsServer2000相对于NT4.0而言最重要的改变是增加了活动目录(AD)，AD也是Windows2000最主要的特性。WindowsServer2003仍然提供了对AD的支持。从字面上看，活动目录由“活动”和“目录”两部分组成。“活动”是用来修饰“目录”，其核心是“目录”两个字；目录代表的是目录服务（DirectoryService）。目录：决定存放的内容及存放的方式。服务：对我们提出的要求的正确响应。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版1、什么是活动目录（续）目录服务有多种,如：NT4.0的SAM;NETWARE-NDS;UNIX;MACINTOISH。而活动目录是WindowsServer2003网络中目录服务的实现方式。它的“活动”体现在：活动目录中对象的数目是没有限制的；活动目录中对象的属性是可以增加的；可以方便地添加或删除域。

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版2、活动目录的特点方便的组织资源；活动目录将目录组织居能够存储大量对象的容器，因此活动目录能够随着组织机构的扩大而增长。方便的信息组织和查找；活动目录提供了收集和分发网络中对象的集中存储场所，这些网络信息包括用户、组和打印机等。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版2、活动目录的特点（续）集中管理和分散管理的相结合；利用活动目录工具能够对活动目录中的资源进行统一管理，如统一执行组策略等。也可以根据不同用户的需要进行分散的管理，如为不同的组织单位执行不同的组策略。资源的分级管理。通过登录认证和目录中对象的访问控制，安全性和活动目录紧密地集成在一起。管理员能够管理整个网络的目录数据，并且可以授权用户能够访问网络上任何位置的资源及权限。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版3、活动目录的好处降低总体拥有成本这些成本包括维护的成本、培训的成本、技术支持成本及相应的升级成本。一次登录即能访问所有的资源每个用户只要在登录一次提供用户信息，就可以访问网络中所有该用户有权限访问的资源。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版4、ActiveDirectory的逻辑架构活动目录的逻辑结构可以公司的组织机构框图结合起来，通过对资源进行逻辑组织，使用户可以通过名称而不是通过物理位置来查找资源，并且使网络的物理结构对用户来说是透明的。活动目录的逻辑结构包括：域（Domain）、域树（DomainTree）、域目录林（Forest森林林）和组织单位（OrganizationUnit）。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版5、ActiveDirectory的逻辑架构域域域域域域OUOUOU域树域林组织单位对象2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的逻辑架构域：ActiveDirectory逻辑结构中的核心功能单位，域提供下列三种功能：对象的管理边界管理共享资源安全性的方法对象的复制单元域树：以层次结构的方式组合到一起的域，子域的名称与其父域名称组合在一起，形成它自身唯一的域名系统森林：林是ActiveDirectory的完整实例。其中包含一个或多个树组织单位：是活动目录中的一个特殊容器。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版为什么需要域如果资源分布在多台服务器上，要在每台服务器分别为每一员工建立一个账户（共M*N），用户则需要在每台服务器上（共M台）登录2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版为什么需要域服务器和用户的计算机都在同一个域中，用户在域中只要拥有一个账号用户只需要在域中拥有一个域账户，只需要在域中登录一次就可以访问域中的资源了。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版为什么需要域用户信息存放在域中的域控制器(DC，DomainController)上。当网络有十万个用户甚至更多，域控制器存放的用户数据量将很大，更为关键的是如果用户频繁登录，域控制器可能因此而不堪重负。分成多个域，每个域的规模控制在一定的范围之内。实际上，分成小的域不仅仅出于服务器不堪重负的原因，更多的是出于管理上的要求。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版为什么需要域网络划分成多个域

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域的概念域是活动目录逻辑结构的核心单元，是活动目录的容器。域定义了一个安全的边界（域是一个安全的堡垒），域中的所有对象都保存在域中，都在这个安全的范围内接受统一的管理．同时每个域只保存属于本域的对象，所以域管理员只能管理本域．安全边界的作用就是保证域的管理者只能在该域内拥有必要的管理权限，如果要让一个域的管理员去管理其他域，除非管理者得到了其他域的明确授权。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域的概念（续）域是复制的单元。域是一种逻辑的组织形式，因此一个域可以跨越多个物理位置。例如北京和广州的两个网段属于同一个域，它们之间通过WAN相连。如果只有一台域控制器（安装了活动目录的计算机）在北京，那么广州的用户也只能在北京的域控制器上进行身份验证。为了提高对用户的响应速度可以在广州的网段上也创建一台域控制器。这样就需要北京和广州的域控制器之间实现数据同步，而同步的内容就是域的信息，所以说域是复制的单元。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域树的概念域树是一组具有连续命名空间的域组成的。例如我们学院最初一个域名为，后来为了管理方便或者是为了安全的需要，需要新建一个域（域是安全的最小边界），这样就可以把这个新域添加到现有的目录当中去．这个新域就是的子域。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域树的概念（续）组成一棵树的第一个域称为树的根域，上图中为树的根域，而其他的域称为该树的结点域。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域目录林的概念域目录林（Forest）是由一棵或多棵域树组成的，每棵域树独享连续的命名空间，不同的域树之间没有命名空间的连续性。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版域和信任关系什么是信任关系？域是安全的最小边界，对于树和目录林而言，如果不同的域之间进行访问，就需要不同域之间有一种信任关系。信任关系的方向信任是有方向的，信任的方向决定了资源访问的方向。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版关于信任的方向A域信任B域，A称为信任域（TrustingDomain），B称为被信任域（TrustedDomain），B域的用户可以访问A域中的资源。单向信任关系

双向信任关系

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版信任的传递性信任具有传递性，即如果A信任B，B又信任C，如果信任关系是可传递的，A就信任C。在WindowsServer2003中默认建立的信任关系是可传递的，但手工建立的信任关系有些是可传递的，有些则不传递的。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版信任的类型在创建树和目录林的结构时，活动目录安装向导会自动创建两种默认的信任关系：父子信任：在现有域当中添加新的子域时，父域和子域之间会建立父子信任关系，该关系是双向可传递的；树根信任：当在现有的目录中添加新的域树时，目录林的根域和树的根域之间会建立树根信任，关系是双向可传递的。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组织单位（OUOrganizationUnit）组织单位：是活动目录中的一个特殊容器，它可以所用户、计算机、打印机和组等对象组织起来。与一般容器仅能容纳对象不同，组织单元不仅可以包含对象，而且可以进行策略设置和委派管理，这是普通容器不具备的。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组织单位（续）组织单位是活动目录中最小的管理单元。如果一个域中的对象数目非常多的时候，我们可以把一些具有相同管理要求的对象组织在一起，这样就可以实现分级管理。作为域管理员还可以指定某个用户去管理某个OU，管理权限可视情况而定。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组织单位（续）组织单位可以和公司的行政机构相结合，这样可以方便管理员对活动目录对象的管理。市场部、技术部、财务部。。。。在规划组织单位时可以根据两个原则：地点和部门职能。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版全局编录（GC，GlobalCatalog）一个域的活动目录只能存储该域的信息，相当于这个域的目录。而当一个目录林中有多个域时，由于每个域都有一个活动目录，因此如果一个域的用户要在整个目录林范围内查找一个对象时就要搜索目录中每个域，这时全局编录就派上用场。默认情况下域中的第一台域控制器自动会成为全局编录服务器。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的物理架构在活动目录中，逻辑结构和物理结构是两个载然不同的概念。逻辑结构是用来组织网络资源的，而物理结构是用来设置和管理网络流量的。物理结构由域控制器和站点组成。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的物理架构域控制器：运行MicrosoftWindowsServer

2003（或Windows

2000Server）和ActiveDirectory的服务器。每台域控制器执行存储和复制功能一台域控制器只能支持一个域ActiveDirectory站点：通过建立站点实现网络流量优化，对不同位置的域控制器之间的带宽达到最佳利用2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的物理架构站点域控制器广域网连接站点域控制器广域网连接站点2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版运行Windows

Server

2003操作系统计算机至少250MB磁盘空间一个使用NTFS文件系统格式化的分区或卷创建域必需的管理特权安装有TCP/IP，并且配置其使用DNS一台管理DNS域的DNS服务器，并且支持SRV资源记录ActiveDirectory

安装要求2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版安装过程启动安全协议和设置安全策略创建：ActiveDirectory分区、数据库和日志文件林根域SYSVOL文件夹NetLogon文件夹配置域控制器的站点成员关系在目录服务和文件复制文件夹上启用安全特性将用户提供的密码应用到管理员账户（针对系统还原模式）ActiveDirectory安装过程2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版演示：验证以下文件夹是否创建SYSVOL和共享目录数据库和日志文件缺省的的ActiveDirectory架构是否创建通过事件查看器日志查看安装结果验证ActiveDirectory

安装2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版DNS和ActiveDirectory名称空间

ActiveDirectory集成区域

SRV资源记录域控制器注册的SRV记录检查域控制器注册的记录客户端计算机使用DNS定位域控制器和服务的过程检查集成了

DNS的ActiveDirectory2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版安装AD后操作系统的变化2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory集成区域是作为对象存储在ActiveDirectory数据库中的主DNS区域和存根DNS区域可以在ActiveDirectory应用程序分区或ActiveDirectory域分区中存储区域对象提供以下优点多主机复制安全动态更新到其他DNS服务器的标准区域传送ActiveDirectory

集成区域2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory

集成区域2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版SRV资源记录SRV记录是用于映射服务到提供此服务的计算机的信息字段组成SRV记录格式范例：_ldap._tcp.contoso.msft600

INSRV0

100389london.contoso.msft

_Service_.Protocol.Name

Ttl

Class

SRV

Priority

Weight

Port

Target

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版检查域控制器注册的记录演示目的：使用DNS控制台或者Nslookup工具查看域控制器注册的SRV资源记录2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版可能磁盘空间小于安装ActiveDirectory的最小磁盘要求磁盘空间不足网络错误DNS错误域不能联系其他域拥有同样的域名或NetBIOS名称DNS或NetBIOS域名不唯一可能原因现象没有使用属于LocalAdministrators组的账号登录没有提供DomainAdmins组或EnterpriseAdmins组成员的用户账号证书创建或添加域控制器时，访问被拒绝解决ActiveDirectory

安装中的问题2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版书本知识2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版工作组和域工作组和域是操作系统的网络资源的两种不同的管理方式。工作组的特点：管理方式是—分布式管理，工作组中的任何一台计算机中负责管理本地的资源。适合小型网络。域管理方式是—集中管理，至少有一台服务器负责每一台接入网络的计算机和用户的验证管理工作。适合于中大型网络。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版工作组和域图解创建方式不同

安全机制不同

2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版工作组和域图解2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版关于域结构域由一些计算机组成，分三类域控制器成员服务器客户机2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版关于组织单位 组织单位(OU)用作一种容器，以便以逻辑方式来组织目录对象（如用户、组和计算机），这与使用文件夹来组织硬盘上的文件大体相同。它是可以指派组策略设置或委派管理权限的最小单元。您可以创建嵌套的OU，对嵌套级别没有限制。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版关于组策略组策略是AD的核心应用。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版为什么要引进组策略？在AD中，能起到关键作用的就是“组策略”，利用组策略可以管理域中的计算机和用户工作环境，实现软件分发等一系列功能、可以快速便捷的帮助管理员完成烦琐的工作。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版

1、组策略的概念“组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系，不要把组策略理解为是针对用户组所配置的策略。组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略的概念1.组策略对象（GPO）系统已经有两个内建GPO，分别是：DefaultDomainPolicy此策略已被连接到域，因此该策略将影响域内所有计算机和用户。DefaultDomainControllerPolicy此策略已被连接到DomainControllerOU，因此该策略将影响域控制器组织单元内的所有计算机和用户2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略的概念2．组策略配置类型应用组策略时存在两种配置选项：计算机配置和用户配置。计算机配置：用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。用户配置：用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略应用的对象计算机帐号用户帐号2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略的概念3．组策略功能类型软件部署：软件部署包括“应用程序分配”和“应用程序发行”两部分内容。“应用程序分配”指把应用软件提供给桌面，当计算机或用户根据组策略安装后就不能修改或删除应用程序；“应用程序发行”指将应用软件提供给用户或计算机，允许它们选择安装。软件策略：软件策略是最常用的配置设置。这些选项定义了用户的工作环境。例如，用户的“开始”菜单、屏保程序或用户配置文件的设置，包括操作系统组件和注册表设置。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略的概念3．组策略功能类型（续）文件夹管理：文件夹管理允许组策略系统管理员添加文件、文件夹和快捷方式到用户桌面。例如，可以根据安全组成员的身份把网络应用程序提供给用户。脚本：脚本能够用于在某些时间自动运行批处理文件的进程，如启动和关机、登录和注销、映射网络驱动器、映射网络打印机等。安全：安全策略设置用于定义目录树、域、网络和本地计算机的安全配置。它们能够用于设置账户策略。例如，密码的使用期、网络安全策略和账户锁定策略等。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版Demo1强制性地让用户将关键数据备份到服务器上，以便可以集中备份。思路：不让用户访问驱动器；不让用户使用命令行。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版操作步骤新建一个OU名为Computer，并在此OU上新建一个用户为Kobe。右击Computer，新建一个组策略。用户配置—管理模板—windows组件—windows资源管理器—在右边的窗格找到相应的选项。（不让用户访问驱动器。）用户配置—管理模板—系统—在右边的窗格找到相应的选项。（不让用户使用命令行。）2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版Demo2目的：设置IE选项操作步骤：用户配置—Windows设置—IE选项。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版Demo3利用组策略实现软件的指派实验步骤:将要指派的软件放到一共享文件夹中；用户配置—软件设置—软件安装；右击”软件安装”—新建--程序包—指定软件的网络位置。选择”已指派”。2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版服务器端的设置过程图2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版客户端的效果图2022/12/18工程技术部鄢创辉2023/1/3工程技术部鄢创辉版权所有谢绝盗版组策略的概念4.组策略的应用时机组策略计算机配置的启动时机是：计算机开机时自动启动；如果用户不重新开机，系统会每隔一段时间自动启动；或手工启动。组策略用户配置的启动时间是：用户登录时自动启动；系统即使用户不注销、登录，系统默认每隔90~120钟自动启动；手工启动。20