中型企业Active Directory 设计部署系列四 组策略的设计
Active Directory 的操作与部署 热点话题PPT文档45页
禁用 PDC 的AutoSite Coverge 功能
➢ HKLM\System\CurrentControlSet\Services\Netlogon\Param
eters\AutoSiteCoverage=0
从 WINS 中“隐藏” PDC
产生原因及处理方法
产生孤立对象的原因
➢ 目录复制出错 ➢ 服务器离线时间 > 墓碑生存周期 ➢ 域控制器时钟被更改
如何处理孤立对象--- 删除!
➢ 如果该账号在域控制器上
▪ 直接删除该对象
➢ 如果该账号在 GC 上
▪ 方案一:重建GC ▪ 方案二:安装 Q314282, 用LDP把他从GC中删除
防止用户的密码被猜测 当错误密码次数达到一定限制,该账号被锁定
➢ 暂时锁定 ➢ 永久锁定
BadPasswordCount
➢ 每台域控制器各自记录用户尝试密码的次数 ➢ PDC累积该次数
▪ PDC 将第一个锁住该账号 ▪ PDC 把锁住信号复制到其他域控制器
➢ 该值不会在BDC中复制 ➢ 当用户输入正确密码, BadPasswordCount设为0
4 个 处理器 2 Gb 物理内存 硬盘
➢ RAID 1 :操作系统+叶文件 ➢ RAID 1 :日志文件 ➢ RAID 0+1:数据库和sysvol
只运行和域服务相关的服务
从DNS中 “隐藏” PDC
降低 PDC SRV 记录的优先级
➢ HKLM\System\Cogon\Param
账号锁定的已知问题
客户端
➢ 建立网络盘 ➢ 一个错误密码被记录三次 ➢ DS Client
➢ 解决方案: 安装 补丁程序
管理Active Directory组对象和组策略
2. 组策略类型 •软件设置:影响用户可以访问的应用程序。 应用程序自动安装的策略有两种方法实现: 指派应用程序,组策略直接在用户计算机 上安装或升级应用程序,或为用户提供应用程 序的连接,指派的应用程序用户无法删除; 发布应用程序,组策略管理员通过活动目 录服务发布应用程序。应用程序出现在用户的 控制面板的“添加/删除程序”的安装组件列表 中。用户可以卸载这些应用程序。 •脚本:组策略管理员可以设定脚本和批处理文 件在指定时间运行。脚本可以自动执行重复性 任务 。
四、 更改组作用域 创建新组时,在默认情况下,新组配置为具有 全局作用域的安全组,而与当前域功能级别无关。 •全局到通用:只有当要更改的组不是另一个全 局作用域组的成员时,允许进行该转换。 •本地域到通用:只有当要更改的组没有另一个 本地域组作为其成员时,允许进行该转换。 •通用到全局:只有当要更改的组没有另一个通 用组作为其成员时,允许进行该转换。 •通用到本地域:该操作没有限制。
工作组中的组和域中的组 工作组中的组 创建在非DC的计算机上; • 驻留在SAM数据库中; • 只能访问本地资源 。 域中的工作组 • 只在DC上; • 在AD中; • 访问域中的计算机中的资源。
第一节 本地组 一、本地组类型 1. 本地组(Local Groups) 本地组可以在任何一台基于Windows Server 2003的非DC计算机上创建,通过将用户加入到相 应的本地组赋予相应的权限,就可以控制用户对 本地计算机上资源的访问。 本地账户信息是放置在创建该组的计算机内 的数据库中,因此其作用范围只限于在创建该本 地组的计算机上。
八、使用“运行方式”启动程序 为获得最优安全性,不要将网络管理员每天 访问使用的用户对象添加为Administrators组成员。 若要运行需要以Administrator身份登录的 程序,可以使用“运行方式”程序。 找到需要用管理员身份打开的程序或其快捷 方式、MMC控制台或控制面板工具。按下 “Shift”键,并右击,从弹出的菜单中选择“运 行方式” 。
Active Directory技术介绍
Active Directory 技术概述Microsoft 公司发布日期: 2002年7月摘要在Microsoft® Windows® 2000操作系统的基础之上, Windows Server 2003家族中的Active Directory® 服务引入了一些关键特性,以确保它能够成为当今市场上最为灵活的目录服务之一。
随着基于目录的应用日益流行,各类组织可以开始使用Active Directory管理各种复杂的企业网络环境。
此外, Windows Server 2003产品家族还提供了众多的新功能,这使得它成为了开发和部署基于目录的应用程序的理想平台。
本文介绍了Active Directory的基本概念,并且概括了Windows Server 2003中的Active Directory所具有的一些新增功能和增强特性。
本白皮书只是预备性文档,并有可能在其所描述的软件产品投入最终商业发布之前接受实质性修订。
本文档所提供的信息资料仅代表Microsoft公司在信息发布当日就研讨活动所围绕的问题持有的临时观点。
鉴于Microsoft公司必须针对瞬息万变的市场状况不断做出相应调整,故而,本文档内容不应被解释为Microsoft方面所做出的任何承诺,与此同时,Microsoft也无法在发布之日后继续保证文件所含信息的准确性。
本白皮书仅供用于信息参考目的。
Microsoft并未在本文档中提供任何形式的保证、明示或暗示。
遵守所有适用版权法律是文档使用者所应承担的义务。
Microsoft公司虽未在版权保护下就与本文档相关的权利做出任何限定,但是,任何人未经Microsoft公司书面授权许可,均不得出于任何目的、以任何形式、利用任何手段(电子、机械、影印、录音等)将本文档的任何组成部分制作成拷贝、存储或引入检索系统、亦或向任何对象进行传送。
Microsoft公司可能就本文档所涉及的主题拥有专利、专利申请、商标、版权或其它形式的知识产权。
ActiveDirectory环境中使用组策略管理控制台GPMC精编
A c t i v e D i r e c t o r y环境中使用组策略管理控制台G P M C精编Lele was written in 2021关于组策略管理控制台使用的逐步式指南该逐步式指南提供了在 Active Directory 环境中使用组策略管理控制台 (GPMC) 来支持组策略对象 (GPO) 的一般性指导。
该指南并不提供 GPO 实施指导。
本页内容简介逐步式指南Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。
本指南首先介绍通过以下过程来建立通用网络结构:安装 Windows Server 2003;配置 Active Directory;安装 Windows XP Professional 工作站并最后将此工作站添加到域中。
后续逐步式指南假定您已建立了此通用网络结构。
如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。
通用网络结构要求完成以下指南。
在配置通用网络结构后,可以使用任何其他的逐步式指南。
注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。
任何额外的要求都将列在特定的逐步式指南中。
Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005)来实施 Windows Server 2003 部署逐步式指南。
借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。
Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。
Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就可以应用于虚拟环境。
ActiveDirectory和组策略教材
1.只读域控制器RODC如果分公司使用的LOB(line-of-business)业务应用程序只有安装到一个域控制器上才能运行,也要选择部署RODC。RODC从一个可写DC接收它的配置。敏感的安全信息不被复制到RODC。用户在分公司第一次登录时通过WAN进行身份确认,然后RODC可以把凭证缓存,以后就可以在本地验证。因此,在用户相对较少,物理安全性差,网络带宽较低,IT 知识贫乏的环境下,可以采用RODC。提供了只读AD DS数据库、单向复制、凭证缓存、管理员角色分离、只读DNS(不支持客户更新)等功能。
3.1.1介绍Windows Server 2008 目录服务器角色
3.1.1介绍Windows Server 2008 目录服务器角色
2.规划RODC实现条件:远程启动Server 2008升级或有一个2008的AD DS域,即可计划实现RODC。RODC安装的两个阶段:第一阶段:为该域中的RODC创建计算机账户时,可以为特定的RODC规定密码复制策略。在RODC上安装DNS实现一个辅助的DNS服务器,可以复制该DNS使用的所有应用程序目录分区。客户更新数据,可以请求单一更新DNS。第二阶段:安装
3.1.3 规划林级信任
3.1.3 规划林级信任
2.创建林信任在创建前,需要确保两个林的林功能级别是Windows Server 2003 或 Windows Server 2008。下一步是确保每个林的根域可以访问其他林的根域。从“管理工具”中打开“Active Directory域和信任关系”。启动“新建信任向导”。
第2课 Windows Server 2008组策略
组策略通过自动完成很多与用户和计算机管理相关的任务来简化管理。可以使用组策略在客户端按需安装允许的应用程序,并使应用程序保持更新。 在Windows Server 2008中,组策略管理控制台(GPMC)是内置的。通过“添加功能向导”可以安装GPMC。 管理模板(ADM)文件用来描述基于注册表的组策略设置。在Windows Server 2008中ADM文件被替换为XML格式的ADMX文件,使管理更加容易。
AD域组策略规划和部署指南
AD域组策略规划和部署指南AD域(Active Directory)是一种用于管理网络资源的服务。
组策略是AD域中的一项功能,在整个域范围内为用户和计算机提供统一的安全设置和管理。
本文将提供AD域组策略规划和部署的指南,帮助管理员更好地使用此功能。
一、规划阶段1.定义需求:首先,确定组策略的主要需求和目标。
这可能包括安全性、访问控制、软件分发、用户配置等方面。
2.识别和分类对象:将AD域中的用户和计算机分组,并为每个组定义不同的策略需求。
例如,可以将用户分为管理人员、技术人员和普通员工等组别。
3.制定策略范围:确定需要部署组策略的范围。
可以选择在整个域中实施策略,也可以仅在特定的组织单位或者OU(组织单元)中实施。
二、设计策略1.定义基本策略:根据需求和目标,制定基本策略模板。
这些策略包括密码策略、帐户锁定策略、用户权限策略等。
2.定义高级策略:根据不同的组别和对象,制定更详细的策略,以满足各组的需求。
例如,可以为管理人员组设计更严格的安全设置,为技术人员组配置特定的软件等。
3.组织单位结构设计:根据分组需求,设计合适的OU结构。
这将有助于更好地管理和应用组策略,使其更符合组织的层次结构和需求。
三、实施策略1.创建组策略:在AD域中,使用组策略对象来创建和管理策略。
可以通过右键单击"组策略对象",然后选择"新建策略"来创建新的策略。
2.配置策略设置:打开组策略对象后,可以根据需求和目标,通过对不同设置进行配置来实施策略。
这些设置包括安全设置、软件安装、脚本执行、桌面设置等。
3.应用策略:设置好策略后,在AD域中的对象将自动接收到策略,并按照设置进行操作。
可以通过强制组策略更新、重启计算机等方式来确保策略被应用。
四、测试和审计1.测试策略:在实施策略后,进行测试以确保它们按预期工作。
可以选择一些测试用户和计算机,观察他们是否符合策略要求。
2.审计策略:定期审计和评估组策略的效果和安全性。
windows实训报告6--active+directory组策略
Active Directory组策略一、实训要求1、用户配置实例;2、计算机配置实例;3、组策略处理规则:1)组策略执行顺序;2)组策略继承;3)组策略累加:4)组策略冲突(上下级和同一级);5)组策略禁止替代;6)组策略阻止继承;7)策略筛选;8)GPO针对某一容器的禁用;9)禁用用户设置/计算机设置。
4、用户登录注销脚本;5、计算机开机关机脚本;6、文件夹重定向。
二、实训步骤1、用户配置实例;点击服务器管理器-功能-组策略管理-林-域针对北京用户lisi让他不能使用开始菜单的运行功能创建GPO编辑GPO注销账户重新登录已经没有运行2、计算机配置实例;先把计算机移动到Beijing的OU中3、组策略处理规则:1)组策略执行顺序;父容器到子容器在到OU比如:高层父容器的某个策略被设置启用,但是其子容器策略被设置禁用,其结果是禁用2)组策略继承;子容器会继承父容器的策略比如:高层父容器的某个策略被设置启用,但是其子容器策略未设置,其结果是启用3)组策略累加:域、站点和OU都设置了策略的时候,其结果是累加在一起,如果有冲突的时候,则以处理顺序在后的策略为优先比如:域、站点都设置了同一策略为启用,而OU设置了禁用,其结果为禁用4)组策略冲突(上下级和同一级);计算机策略和用户策略冲突时,会优先计算机策略,如果计算机有多个策略冲突时,是以在前面的策略为优先。
(策略是针对同一设置)比如:计算机策略是启用,用户是禁用的时候,其结果是启用,同时计算机有三条策略针对同一设置时,其在最前面的优先配置。
5)组策略禁止替代;父容器设置了某策略,与子容器策略有冲突,并且子容器设置了组策略禁止替代,子容器还是执行自己现有策略,不改变。
6)组策略阻止继承;父容器不让子容器继承策略比如:父容器设置了某策略,如果子容器阻止继承的话,其子容器不会受到父容器策略影响7)策略筛选;当为一个OU设置了策略之后,如果您想针对某一计算机或用户不执行此策略,可以用策略筛选来做比如:针对业务部设置了开始菜单没有运行选项策略之后,如果想让业务部的经理有运行选项,就可以用策略筛选设置不执行此策略。
ad域常用策略
ad域常用策略AD域(Active Directory)是一种由微软公司开发的用于管理网络资源的目录服务。
在企业和组织中,AD域常用策略被广泛应用于用户权限管理、安全策略、网络访问控制等方面,以确保网络的稳定运行和信息安全。
本文将介绍AD域常用策略的相关内容。
一、用户权限管理策略1. 密码策略:通过设置密码复杂度、密码过期时间等参数,确保用户的密码安全可靠。
密码复杂度要求用户使用包含大写字母、小写字母、数字和特殊字符的复杂密码,并设置密码最短使用期限和密码历史,禁止用户频繁更改密码。
2. 用户账户锁定策略:设置账户锁定阈值和锁定时间,当用户连续多次输入错误密码时,账户将被锁定一段时间,以防止密码暴力破解。
3. 用户授权策略:通过授权用户的组成员身份和所属组织单位,限制用户对资源的访问权限,确保数据的安全性和完整性。
二、安全策略1. 安全审核策略:启用安全审核策略,记录系统日志和安全事件,及时发现和处理安全漏洞和威胁。
2. 账户登录策略:限制用户登录计算机的方式和时间,设置登录失败提示信息,以防止非法用户的登录访问。
3. 文件和文件夹权限策略:通过设置文件和文件夹的权限,保护重要数据不被未授权的用户访问和修改。
三、网络访问控制策略1. 防火墙策略:设置防火墙规则,限制不同网络段之间的通信,阻止潜在的网络攻击和入侵。
2. 网络访问策略:通过设置网络访问规则和权限,限制特定用户或用户组对特定网络资源的访问,确保网络资源的安全和合规性。
四、软件安装与更新策略1. 软件安装策略:通过AD域控制器的软件分发功能,实现远程软件安装和更新,确保企业中所有计算机的软件版本一致性和安全性。
2. Windows更新策略:配置Windows更新设置,自动下载和安装操作系统和应用程序的更新补丁,及时修复安全漏洞,提高系统的稳定性和安全性。
五、域控制器策略1. 域控制器安全策略:加强对域控制器的安全管理,设置域控制器的安全审计策略、密码策略和账户锁定策略,提高域控制器的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中型企业Active Directory 设计部署系列四组策略的设计
经过前面的工作OS公司的AD架构已经设计好了,下面进行组策略的设计。
设计组策略的目的是管理用户和计算机,通过组策略可以配置管理一群用户和一群计算机的使用环境,因此需要根据公司的实际情况和管理环境来进行设计。
先看下面的两张设计图吧
设计图一
设计图二
1、组策略分为计算机策略和用户策略,在设计组策略时最好把这两样分开;
2、合理的优化组策略,有助于加快客户端处理组策略的速度和排错,比如说你有一条策略是针对计算机的那完全可以把用户策略这一块禁用掉,如果是用户策略则可以把计算机策略这块禁掉。
3、尽量减少组策略的使用数量,组策略是一样好东西,但不要乱用,刚学习组策略的朋友很喜欢在自己的AD里使用大量的组策略,这是不好的。
为什么?
(1、)用的策略越多对客户端的性能影响就越大,因为客户端需要花资源花时间去处理这些策略;
(2、)增加客户端的复杂度,一旦出问题增加了排错的困难。
在那里优化呢?请参考下图
从上面的图可以看出OS公司AD组策略的设计是很简单的;
域级别是2条策略,其中1条是默认策略;
Domain Controllers只有1条默认策略
每个公司有4条OU级别的策略1条是针对用户的,3条是针对计算机类型的;为什么设计的这么简单呢?在大中型企业待过的朋友可能有体会,大中型企业的组策略往往是很简单的特别是大型企业。
设计太多的组策略会降低客户端的性能,不利于维护管理,增加了系统的复杂度。
组策略的管理,域级别和Domain Controllers的组策略由总公司IT进行管理,分公司的4条策略委派给本地IT进行管理。