AD_04_组策略.ppt

1、组策略,第四章,上节回顾,域组的分类 信任关系的种类 将资源发布到活动目录中 跨域访问资源,本章目标,理解GPO的概念 掌握组策略管理器的使用 理解GPO的应用规则 利用组策略完成用户环境的管理 组策略的委派管理,介绍组策略,通过使用组策略，可以: 设置整个组织的集中化策略或分散式策略 确保用户有适合他们工作的环境 降低控制用户和计算机环境的总费用 推行公司策略,组策略的作用,方便地管理AD中的计算机和用户 账户策略的设定 本地策略的设定 脚本的设定 用户桌面环境 计算机启动/关机与用户登录/注销时所执行的脚本文件 文件夹重定向 软件分发 安全设置,组策略,应用组策略的前提条件,组策略只能管理

2、AD中的计算机和用户 只能在域控制器上设置组策略 只能针对整个站点、域或组织单位来设置组策略 要使用组策略，必须有相应的管理权限 组策略只适用于Windows 2000以上操作系统的计算机,组策略结构,组策略的设置数据皆保存在GPO中 GPO链接至SDOU（Site、Domain、Organized Unit） GPO管理SDOU中的计算机和用户,SDOU,GPO,计算机,用户,组策略,GPO与SDOU间的链接关系,域,组织单位,GPO 1,组织单位,组织单位,组织单位,组织单位,组织单位,站点,GPO 2,GPO 4,GPO 3,GPO 5,A 一个容器对一个GPO,B 多个容器对一个GPO

3、,C 一个容器对 多个GPO,链接到GPO,组策略的对象,查看GPC、GPT、LCP,GPC-group policy container AD计算机用户和计算机-高级-选择域-展开System容器-policies，将会看到包含用GUID所标识两个默认GPO的文件夹(default domain policy and domain controller policy) GPT-group policy templates 存放于当前DC的%systemroot%SYSVOLsysvol域名称policies文件夹内，同样是以GUID所标识两个默认GPO的文件夹(default domain

4、policy and domain controller policy) LCP-local computer policy 本地计算机策略，存放于本地计算机的%systemroot%system32grouppolicy文件内,1,2,3,4,5,新建GPO,6,7,8,9,组策略的添加和删除,1,2,3,4,编辑GPO,组策略的继承,域,组织单位 Product,组织单位 Employees,GPO f,应用GPO-f到域,继承,继承,John受到GPO-f的约束,域的组策略,组织单位的组策略,下层组织单位的组策略,不设置阻止 策略继承,设置阻止 策略继承,阻碍,John不受GPO-f的约

5、束,设置阻止 策略继承,设置禁止替代,课堂讨论：如何应用组策略 :,课堂讨论：如何应用组策略(2),What are the resultant Group Policy settings for the OU?,A password must be at least 11 characters long The Windows Update icon appears on the Start menu Favorites does not appear on the Start menu,GPO3,课堂讨论：改变组策略的继承性,课堂讨论：改变组策略的继承性(2),计算机配置,1,2,3,4,

6、5,6,7,8,用户配置,1,2,3,4,5,6,7,8,管理用户桌面环境,1,2,3,利用GPO实现安全设置,管理模板,定义系统中所有涉及到注册数据的设置 计算机配置 用户配置,文件夹重定向,2,1,3,4,5,6,组策略的应用时机,在下列情况时 GetGPOList 功能在客户机运行： 当计算机开始决定应用哪个包含计算机配置设置的 GPO 时，在客户机上运行该功能 当用户登录，决定处理哪个包含用户配置设置的 GPO 时，在客户机上再次运行该功能,组策略的委派管理,链接GPO到站点、域或OU的委派 添加GPO的委派 编辑GPO的委派,链接GPO到站点、域或OU的委派,系统默认Domain A

7、dmins或Enterprise Admins组内的用户可以将GPO链接到站点、域或OU 一般用户如果拥有对站点、域或OU的gPLink与gPOptions这两个属性的读取与写入权限，就可以将GPO链接到站点、域或OU 可以通过“委派控制”的方式来赋予一般用户gPLink与gPOptions这两个属性的读取与写入权限,添加GPO的委派,只要用户是属于Domain Admins、Enterprise Admins、Group Policy Creator Owners组的用户，他就拥有添加GPO的权限 Group Policy Creator Owners组内的一般用户，在添加GPO后，就是这个

8、GPO的拥有者，对这个GPO拥有完全控制的权限，可以编辑这个GPO的内容，但无权限编辑其他的GPO Group Policy Creator Owners组内的用户，虽然可以添加GPO，但无权限将GPO链接到站点、域或OU，除非他们被委派权限,编辑GPO的委派,只要用户是属于Domain Admins或Enterprise Admins、GPO的拥有者、被赋予修改GPO权限，就可以编辑GPO的内容。,控制组策略的处理,同步和异步处理 默认的组策略处理是同步的 可以通过使用组策略设置将默认的行为改为异步 在选定的时间间隔内刷新组策略 在运行 Windows2003 Sever 但没有配置成域控制

9、器的计算机和运行Windows XP的计算机上每90120分钟刷新一次 域控制器每5分钟刷新一次 不论策略配置值是否有变化，系统仍然会每隔16小时自动启用一次 手动强制刷新组策略 gpupdate /force 未发生变更的组策略设置的处理 你可以配置每一个客户端的扩展来处理所有可用的组策略设置,解决组策略间的冲突,应用组策略的结果是那些除了发生冲突以外设置的应用 组策略的配置具有累加性 如果发生冲突，默认的状态下，实施最后的设置 来自父容器的GPO设置和来自子容器的GPO设置发生冲突。子容器的设置后执行并发挥作用 当站点、域、OU的GPO策略发生冲突时，则以处理顺序在后的GPO优先。处理优先

10、顺序为：站点的GPO、域的GPO、OU的GPO 当用户设置和计算机设置发生冲突时，忽略用户设置而执行计算机设置 如果多个GPO链接到同一个OU，那么所有GPO的配置将被累加作为最后的有效配置。如果这些GPO配置有冲突，则以排在GPO列表最上面的GPO配置为优先。 “本地计算机策略”的优先权最低，也就是在其策略配置与站点、域、OU的策略配置发生冲突时，本地计算机策略无效。,解决组策略冲突,最佳方案,限制使用阻止、过滤GPO限制，特别是域相互之间 的使用,限制影响计算机或用户的GPO数目,在单个GPO中与设置相关的组,在把GPO委派给管理员时限制管理员的数目为一至两个,避免把GPO连接到包含多个域的站点上,在开始添加GPO前规划好如何在网络中执行组策略模型,本章总结,组策略是一组策略的集合，应用组策略，管理员可以很方便的管理Active Directory中的计算机和用户 组策略的设置数据皆保存在GPO中，GPO链接至SDOU 管理员可以为一个SDOU新建、添加、编辑和删除GPO,本章总结,子容器会继承来自上层容器的GPO，可以利用阻止策略继承和禁止替代两种方式来调整默认的继承与累加关系 组策略由两部分组成:计算机配置和用户配置，能够设置各种策略，管理活动目录中的计算机和用户 可以利用GPO实现与系统相关的安全设置，如密码长度