计算机活动目录和组策略

肖正强2009年05月12日活动目录和组策略活动目录是Windows网络体系结构中一个基本且不可分割的部分。它在WindowsNT4.0操作系统的域结构基础上改进而成，并提供了一套为分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。

活动目录-什么是活动目录活动目录允许组织机构按照层次式的、面向对象的方式存储信息，并且提供支持分布式网络环境的多主复制机制。层次式组织活动目录使用对象来代表诸如用户、组、主机、设备及应用程序这样的网络资源。它使用容器来代表组织（如市场部）或相关对象的集合（如打印机）。它将信息组织为由这些对象和容器组成的树结构，这与Windows操作系统用目录和文件来组织一台计算机上信息的方法非常类似。图1：活动目录使用层次化方式组织信息以简化网络的使用和管理此外，活动目录通过提供单一、集中、全面的视图来管理对象集合和容器集合间的联系。这使得资源在一个高度分布式的网络中更容易被定位、管理和使用。活动目录的层次式结构具有灵活性并且可以进行配置，因此，组织机构能够按照一种优化自身可用性和管理能力的方法对资源进行组织。在图1中，容器用来代表用户、主机、设备和应用程序的集合。容器可以被嵌套（在一个容器中创建另一个容器），从而精确反映公司内部的组织结构。在这个例子中，市场和人力资源组织容器代表它们各自的部门以及它们在公司内部的相互联系。将对象组织在目录中允许管理员在一个宏观层次上（作为集合）管理对象而非采取一对一的方式。这种方式在允许组织机构根据其自身商务运作来安排网络管理的同时，更增加了管理的效率和准确性。活动目录-活动目录如何工作活动目录允许组织机构按照层次式的、面向对象的方式存储信息，并且提供支持分布式网络环境的多主复制机制。面向对象的存储如前所述，活动目录用对象的形式存储有关网络元素的信息。这些对象可以被设置属性来描述对象的特征。这种方式允许公司在目录中存储各种各样的信息并且密切控制对信息的访问。图2：活动目录的对象和属性被访问控制列表所保护如图2所示，对象和属性级安全性允许管理员精确控制对存储在目录中的信息访问。例如，一个为BobJones创建的存储在目录中的用户对象拥有用于记录Bob的姓名、电子邮件地址、电话号码和社会保险号码的属性。活动目录允许管理员为对象的每一个属性和对象自身分配访问权限。在这个例子中，系统管理员允许对BobJones对象进行全局访问，却封闭了对其社会保险号码的访问。活动目录-活动目录如何工作活动目录允许组织机构按照层次式的、面向对象的方式存储信息，并且提供支持分布式网络环境的多主复制机制。多主复制为了在分布式环境中提供高性能、可用性和灵活性，活动目录使用多主复制。如下图3所示，这种机制允许组织机构创建被称作目录复制的多个目录拷贝，并把它们放置在网络中的各个位置上。网络中任一位置上的变更都将自动被复制到整个网络上（这与单主复制机制相反，在单主复制中，所有变更必须针对单一的、授权的目录复制）图3：活动目录通过支持多主复制实现灵活性、高可用性和性能例如，完全同步的目录复制能够使活动目录在广域网（WAN）中的每个位置上均可使用。因为用户可以使用本地目录服务而非在广域网中漫游来定位资源，该过程能够向用户提供更高速的网络性能。根据可用的管理资源情况，这些相同的目录可在本地或远程进行管理。活动目录-活动目录如何工作DC：DomainController（域控制器）域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。GC：GlobalCatalog全局编录服务器(GC)是有着特殊含义的域控制器。通过GC，可以提高在活动目录中搜索对象的速度，可以加快用户登录验证等。dsqueryserver-domain-isgc简单的说，GC是森林中所有对象的只读调整缓冲存储器(ReadOnlyCache),目录只用于搜索。Site：站点,是指在物理上有较好的线路连接的能实现较快通讯速率的计算机的集合，一般是指一个LAN。而Site之间一般是通过慢速连接来实现信息通讯。可见Site是对网络上计算机的实际的物理分布的一种客观反映。站点划分的依据是子网Subnet。OU：OU(OrganizationalUnit，组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。DNS：域名解析系统账号(Account)：计算机账号域账号组账号(通讯组、安全组)活动目录-活动目录元素什么是AGDLP?A：UserAccount(用户账号)

G：GlobalGroup(全局安全组)

DL：DomainLocalGroup(域本地组)

P:Permission(赋权限)从操作上解释为：赋权限时，将用户加入到全局组，然后将全局组加入到域本地组，最后对域本地组赋权限。含义为：1.当我们需要对用户赋权的时候，尽量将用户加入到相应的安全组，然后对这些安全组赋权，而避免对用户直接赋权。2.在账号域（有访问需求的用户账号所在的域）中，将本域里有相同访问需求的用户（如：读取财务信息）加入到同一个全局组。也就是说，每一个全局组代表了具有相同访问需求的人。3.在资源域（需要被访问的文件夹等资源所在的域）中，为不同的访问需求类型创建相应的域本地组（如：财务信息读取组、财务信息修改组）；然后将之前的全局组加入到相应的域本地组，如：需要读取的全局组加入到财务信息读取组。4.在资源上对域本地组赋相应的权限。如：在财务信息文件夹上对“财务读取”组赋读取权限，对“财务修改”组赋修改权限。这样，用户最终会得到相应的权限。采用此种方法，如果以后要进行更改，比如用户张三从普通财务人员升级到高级财务人员，他需要修改财务数据而不是读取，那么我们只用将张三加入到高级财务人员的全局组中即可。以上是AGDLP在NTFS权限方面的应用，对于AD对象的权限有可以使用AGDPL。活动目录-权限控制原则AGDLP实例活动目录-AGDLP权限控制原则ShangHai：上海，包含的DC有：Paicdcsh2Paicdcsh3Paicdcsh6paicdcsh8ShenZhen：深圳，包含的DC有：Paicdcgl1Paicdcgl2Paicdcgl3Paicdcgl6Paicdcgl8Paicdcsz1Paicdcsz2Paicdcsz7查看工作站所属站点：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName=ShenZhen查看登录服务器：在CMD窗口运行Set查看环境变量：LOGONSERVER=\\PAICDCGL6在CMD窗口运行Gpresult活动目录-站点DC：paicdom.local有两组DC，分别在深圳和上海两个IDC中OU：根据计算机账号和用户/组账号划分：paicdom.local/ProductionEnvironment存放的是计算机账号paicdom.local/U_PingAn存放的是用户账号和组账号Banks=银行BranchManage=加域账号和组Endowment=养老险General=Windows组使用HeadOffice=总部Life=寿险MicroCredit=信安易贷(小消)NewChannel=新渠道PC=未使用Property=产险活动目录-公司活动目录概况用户账号属性—登录限制、锁定、隶属权限计算机账号属性—加入域=在AD中创建计算机账号或者修改已有计算机账号的密码OU属性全局组通讯组活动目录-实例解说简述-组策略什么是组策略组策略包含的内容组策略管理简述-什么是组策略GroupPolicyisusedtodefineconfigurationsforgroupsofusersandcomputers.组策略是一个允许您执行针对用户和计算机进行配置的基础架构。组策略设定包含在组策略对象中(GPOs)，它们被链接到这些活动目录服务的容器：站点，域或者组织单元(OUs)。这些GPO中的设置随后利用活动目录的层级性质，实施于受影响的对象。因此，组策略是部署活动目录的一个最主要的原因之一，因为它能够让您方便的管理用户和计算机对象。组策略是组管理技术之一，这些统称为IntelliMirror®管理技术，即便用户从网络中脱离，仍然可以在任意被管理的计算机上向用户提供统一的应用程序，应用程序设定，漫游用户配置文件以及用户用户数据。IntelliMirror通过一组Microsoft®Windows®功能得以实现，这包括活动目录，群组策略，软件安装，WindowsInstaller，文件夹重定向，脱机文件夹以及漫游用户配置文件。简述-什么是组策略-组策略架构简述-什么是组策略-组策略组件组件描述服务器

(域控制器)在活动目录森林中，域控制器是一台包含活动目录数据库的拷贝，参与活动目录复制以及控制网络资源访问服务器，活动目录活动目录，基于Windows目录服务，存储网络中对象的信息，并将信息提供给用户和网络管理员。管理员将GPOs链接到诸如站点，域和OUs等包含了用户和计算机对象的容器上，从而将组策略设置实施于组织中的用户和计算机。

组策略对象(GPO)GPO是一个组策路设置的集合，作为一个虚拟的对象存储在域中，由组策略容器(GPC)和组策略模板(GPT)组成。GPC，包含GPO的属性信息，存储在域中每台域控制器活动目录中。GPT包含GPO的数据，存储在Sysvol的

/Policies

子目录下。GPO能够影响包含在站点，域和OU中的用户和计算机。

SysvolSysvol是一个共享目录，存储了域中公用文件的副本，此副本在域中所有的域控制器之间同步。

Sysvol包含了GPO中的数据:GPT，包含了基于组策略设置，安全设置，脚本文件以及关于软件安装应用程序的相关信息的管理模板。它通过文件复制服务

(FRS)得以同步。本地组策略对象本地组策略对象(localGPO)存储在每台个人计算机上的%systemroot%\System32\GroupPolicy目录下，具有隐藏属性。每一台运行Windows2000,WindowsXPProfessional,WindowsXP64-BitEdition,WindowsXPMediaCenterEdition或者

WindowsServer™2003的计算机，不论它是否处于活动目录环境中，都设置了严格的localGPO。

LocalGPOs不支持某些扩展，比如文件夹重定向或者软件安装组策略。也不支持一些安全性设定，但组策略对象编辑器的安全设定扩展不支持localGPO的远程管理。LocalGPOs始终在执行，但它在活动目录环境中影响力最小，因为基于活动目录的GPOs优先。尽管您可以在个人计算机上设置localGPO，但组策略的完整功能只有在安装了活动目录的WindowsServer网络中方能得以实现。另外，一些功能和组策略设置在客户端需要WindowsXP的支持组策略对象编辑器组策略对象编辑器是一个微软管理控制台(MMC)单元，用于编辑GPO。

之前是组策略管理单元，组策略编辑器或者Gpedit.简述-什么是组策略-组策略组件服务端管理单元MMC管理单元默认情况下被组策略对象编辑器加载。当客户端扩展在目标客户端计算机上执行实际的策略设置的时候，服务端管理单元扩展提供用户接口，允许您设置不同的策略设置。

管理单元扩展包括管理模板，脚本，安全性设定，软件安装，文件夹重定向，远程安装服务，InternetExplorer维护，磁盘配额，无线网络策勒以及QoSPacketScheduler.管理单元可以被扩展，比如安全设置管理单元包括几个扩展管理单元。开发者也可以创建他们自己的MMC扩展管理单元，使得足策略对象编辑器提供附加的组策略设置。

客户端扩展客户端扩展(CSEs)在动态链接库

(DLLs)中运行，为组策略在客户端计算机上的执行负责。缺省状态下WindowsServer2003装载如下CSE:管理模板，无线网络策略，文件夹重定向，磁盘配额，

QoSPacketScheduler，脚本，安全，

InternetExplorer维护，EFS恢复，软件安装以及IP安全

组策略管理控制台

(GPMC)GPMC是一个新的进行组策略单一化执行和管理工具。它由一个新的管理单元和组策略管理的脚本集合组成。组策略管理控制台提供：

•

一个基于如何定制使用和管理组策略的用户界面，这比之前基于技术如何构建要来的好。

•

导入/导出，复制/粘贴和GPO的搜索•

组策略相关安全的单一化管理

•

对于GPO和策略结果集

(RSoP)数据的报表(对于GPO的打印，保存，只读访问)•

GPO的备份/恢复•

用此工具查看GPO操作脚本

(但不能查看GPO中设置的脚本).策略结果集管理单元(RSoP)策略结果集

(RSoP)管理单元是一个单一的组策略执行和错误排查的MMC管理单元。RSoP使用Windows管理规范

(WMI)测定组策略设定是如何被应用到用户和计算机商的。对于RSoP功能性来说，它建议在GPMC中使用此报表功能。

WinlogonWindows操作系统中提供交互式登陆支持的组件，Winlogon是组策略引擎运行的服务。.组策略引擎组策略引擎是一个扩越客户端扩展，包括组策路运作排程，从相关设置定位中获取GPO以及GPO的排序和过滤，处理共处理公用功能性的框架。文件系统存在于客户端计算机上的NTFS文件系统简述-什么是组策略-组策略组件注册表一个关于计算机设置信息的存储数据库，注册表包含系统操作期间Windows不断设计的信息，比如：

1.

每个用户的配置文件。

2.

安装在计算机上的程序和每个能够创建的文档类型。

3.

文件夹和程序图标的属性设置。

4.

系统硬件

5.

使用中的端口注册表是树状层级组织，它由键及其子键，配置单元以及注册项构成。注册表引擎对于注册表具有读写权限。注册表设置可以通过组策略管理模板扩展来控制。

事件日志事件日志是一个服务，处于事件查看器，在系统，安全和应用程序日志中记录事件。组策略引擎对于客户端和域控制器上的事件日志具有写访问。

帮助和支持中心帮助和支持中心是一个存在于每台计算机上的组件，为作用于计算机上的组策略设置提供HTML报表。

策略结果集

(RSoP)基础结构所有的组策略执行信息被收集、储存在本地计算机上的共用信息模型对象管理(CIMOM)数据库中，这个信息，例如列表、目录和每个GPO处理的详细记录，可以被使用WMI的工具访问。

在日志模式(组策略结果)，RSoP查询目标计算机上的CIMOM数据库，获取关于策略的相关信息并将其显示在GPMC中。在规划模式(组策略模型),RSoP虚拟出域控制器上使用组策勒目录访问服务(GPDAS)的策略运作环境，由GPDAS模仿GPO运作，并将它们传递给域控制器上的虚拟客户端扩展，这个模拟过程的结果在回传并显示在GPMC之前，存储在本地CIMOM数据库中。WMIWMI是一个管理的基础架构，它支持通过一组公用界面实施系统资源的监视和控制，同时提供一个逻辑上有组织的，一致的Windows操作、配置信息和状态模型。

WMI收集目标计算机的相关数据用于管理用途，这些数据包括硬件和软件列表，设置和配置信息。例如：WMI公开诸如CPU，内存，磁盘空间，内存和厂商等硬件信息，从注册表，驱动程序，文件系统，活动目录，WindowsInstaller服务，网络配置和应用程序数据中获取软件信息。WindowsServer2003上的WMI过滤允许您给予这些数据创建查询，这些查询（也称为WMI过滤器）检测，在您创建顾虑其的地方，用户和计算机将会接受到的所有的策略设置。GPO的容器路径：paicdom.local/System/PoliciesGPO存放使用的为GUID，而不是“友好名称”NamedbyGUID,notbyfriendlyname简述-组策略对象(GPOs)的存放GroupPoliceTemplate的存放位置：\\paicdom.local\SYSVOL\paicdom.local\Policies本地策略的存放路径为：Windows\System32\GroupPolicy简述-组策略对象(GPOs)的存放组策略对象的继承：默认下级OU会继承上级OU的组策略。当各级OU之间的策略有冲突时，请参考下页简述-组策略对象的继承组策略的优先级，确定了设置生效的级别：组策略的应用次序是本地->站点->域->OU，如果策略有冲突，则后应用的生效。简述-组策略的优先级计算机策略：对应计算机配置，对计算机的相应设置，原则上无论是哪些用户在这些计算机上登录，都将加载此设置。一般对应注册表HKLM用户策略：对应用户的相应设置。原则上无论这些用户在那些计算机上登录，都将加载这些设置。对应注册表HKCR简述-用户策略和计算机策略gpmc.msc请下载安装组策略管理控制台:《MicrosoftGroupPolicyManagementConsole》下载链接：/downloads/details.aspx?displaylang=zh-cn&FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887简述-组策略的管理工具运行rsop.msc可以得到本机和用户应用的策略结果集合通过该工具可以很清晰的看到本机已应用的各项设置：简述-组策略的策略结果集-rsop.mscgpresult:DisplaysGroupPolicysettingsandResultantSetofPolicy(RSoP)forauseroracomputer.简述-组策略的策略结果集-gpresult组策略应用的系统日志：事件查看器应用程序组策略执行的详细日志：C:\WINDOWS\security\logs\diagnosis.logC:\WINDOWS\security\logs\winlogon.log简述-组策略的执行日志管理员权限控制管理权限的控制是通过“受限制的组”实现。在【计算机配置】【Windows设置】【安全设置】【受限制的组】已有组策略解释-管理员权限控制USB存储设备禁用USB存储设备禁用的原理如下：拒绝系统账号和其他账号对%systemroot%\inf\usbstor.pnf和usbstor.inf两个文件的访问权限，阻止系统安装usb存储类设备的驱动设置注册表HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\start=4，控制已驱动的U盘设备的启动。Start=3为允许启动，Start=4为拒绝启动设置注册表HKLM\SYSTEM\CurrentControlSet\Control\storagedevicepolicies\writeprotect=1，控制U盘设备的读写。writeprotect=1为写保护，writeprotect=0为可读写拒绝管理员组对注册表HKLM\SYSTEM\CurrentControlSet\Control\storagedevicepolicies\和HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\的修改权限，阻止管理员随意开启U盘权限。已有组策略解释-USB存储设备WSUS补丁升级WSUS补丁升级设置的原理如下：默认的系统管理模板有对应的设置选项，可直接修改。【计算机配置】【管理模板】【Windows组件】【WindowsUpdate】已有组策略解释-WSUS补丁升级组策略模板展示：初步