活动目录管理及维护-第三章组策略应用
Windows Server活动目录企业应用Windows Server使用组策略管理用户工作环境
Windows Server活动目录企业应用项目四 使用组策略管理用户地工作环境四.一有关知识识组策略是一种能够让系统管理员充分管理与控制用户工作环境地功能通过它来确保用户拥有符合组织要求地工作环境,也通过它来限制用户,这样不但可以让用户拥有适当地环境,也可以减轻系统管理员地管理负担。
本节介绍如何使用组策略来简化在Active Directory环境管理计算机与用户。
将了解组策略对象(GPO)结构以及如何应用GPO,还有应用GPO时地某些例外情况。
本节还将讨论Windows Server 二零一二提供地组策略功能,这些功能也有助于简化计算机与用户管理。
四.一.一组策略组策略是一种技术,它支持Active Directory环境计算机与用户地一对多管理,特点如图六-一所示。
图六-一组策略通过编辑组策略设置,并针对目地用户或计算机设计组策略对象(GPO),可以集管理具体地配置参数。
这样,只更改一个GPO,就能管理成千上万地计算机或用户。
组策略对象是应用于选定用户与计算机地设置地集合。
组策略可控制目地对象地环境地很多方面,包括注册表,NTFS文件系统安全,审核与安全策略,软件安装与限制,桌面环境,登录/注销脚本等。
通过链接,一个GPO可与AD DS地多个容器关联。
反过来,多个GPO也可链接到一个容器。
一.域策略域级策略只影响属于该域地用户与计算机。
默认情况下存在两个域级策略,如表六-一所示。
表六-一默认域级策略(域策略,域控制器策略)可以创建其它域级策略,然后将其链接到AD DS地各种容器,以将具体配置应用于选定对象。
例如,提供额外安全设置地GPO可应用于包含应用程序服务器计算机账户地组织单位。
又如,GPO可限制某个组织单位用户地桌面环境。
二.本地策略运行Windows 二零零零 Server或更高版本操作系统地每台计算机都有本地组策略。
此策略影响本地计算机以及登录到该计算机地任何用户,包括从该本地计算机登录到域地域用户。
Active Directory管理和构架-第3部分(AD数据库的维护与操作主机角色)
PDC Emulator 仿真) (PDC仿真) 仿真
Internet 时间服务器
PDC Emulator
PDC Emulator 域控制器
Pre-Windows 2000客户端 Pre 客户端
Windows NT BDC
Windows 2000客户端 客户端
时间服务器
查看服务器所使用的时间服务器 net time /querysntp (simple network time protocol) 设置服务器所使用的时间服务器 net time /setsntp:服务器名 手动同步时间 W32tm /resync
Infrastructure Master(结构主机) (结构主机)
组嵌套
Group Membership List GUID SID New DN
移动 Infrastructure Master
结构主机
在任何时候, 在任何时候,每个域中只能有一个域控制器作为结 构主机。 构主机。结构主机负责更新从它所在的域中的对象 到其他域中对象的引用。 到其他域中对象的引用。结构主机将其数据与全局 编录的数据进行比较。 编录的数据进行比较。全局编录通过复制操作定期 接受所有域中对象的更新, 接受所有域中对象的更新,从而使全局编录的数据 始终保持最新。如果结构主机发现数据过时, 始终保持最新。如果结构主机发现数据过时,则它 从全局编录申请更新的数据。 从全局编录申请更新的数据。结构主机然后将这些 更新的数据复制到域中的其他域控制器。 更新的数据复制到域中的其他域控制器。
初始化事 务
写入事务 缓冲
写于数据 库文件
写入事务 日志文件 Ntds.dit EDB.log
维护活动目录数据库简介
活动目录组策略
(3) 计算机策略已得到应用。 (4) 启动脚本开始运行。 (5) 用户按Ctrl+Alt+Del组合键登录。 (6) 用户通过验证后,将加载由当前生效的策略设置所控制的用 户配置文件。 (7) 用户获得组策略对象的有序列表。 (8) 用户策略已被应用。 (9) 登录脚本开始运行。 (10) 出现由组策略预定义的操作系统用户界面。
7
5.1.5 组策略对象的最佳操作
1.不要处理未被配置的策略设置 2.尽量少用“阻止策略继承”和“禁止替代”功能 3.对于不同的组策略对象,不要使用相同的名称 4.将组策略对象使用的WMI筛选器数量减到最少 5.根据安全组成员身份筛选策略 6.仅在必要时才用基于计算机的组策略替代基于用户 的组策略 7.使用组策略而不是系统策略 8.避免跨域指派组策略对象 9.不要将一个组策略对象多次链接到同一组织单位
组策略的应用与管理
本章重点
组策略的类型和相应打开方式;
组策略的执行顺序; 用户帐户策略、本地策略、受限的组策略配置方法;
第5章
各安全选项的用途和应用;
文件夹重定向的意义和重定向策略配置方法。
2
5.1 组策略基础
组策略是Active Directory目录服务中的结构, 可用于定义将自动应用到Active Directory中的 用户和计算机帐户的默认设置。策略设置可用 于管理桌面显示、指派脚本、将文件夹从本地 计算机重新定向到网络位置、确定安全选项, 以及控制特定计算机上可安装的软件和特定用 户组可用的软件。 可用组策略定义用户和计算机组的配置,如可 以为基于注册表的策略、安全、软件安装、脚 本、文件夹重定向、远程安装服务以及 Internet Explorer的维护指定策略设置。
11
组策略的作用和功能
组策略的作用和功能本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March组策略的作用和功能1,组策略在windows域中的作用组策略是管理员为用户和计算机自定义并控制程序、网络资源及操作系统行为的主要工具。
通过使用组策略可以设置各种软件、计算机和用户策略。
例如,可使用“组策略”为网络用户分发软件、设定用户可以运行的程序、自定义“开始”菜单并简化“控制面板”。
此外,还可添加能在计算机上(在计算机启动或停止时,以及用户登录或注销时)自动运行的脚本,甚至可配置Internet Explorer。
组策略的优点是可以让系统管理员灵活控制Windows网络的客户端环境,更加方便地管理整个网络。
但伴随着灵活性而来的是复杂性。
如何熟悉、熟练应用组策略是系统管理员必须解决的一个问题。
如果能够正确、灵活地运用组策略,就能使Windows系统发挥出更加强大的功能,为个人用户和企业用户带来更大的利益。
策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory对象并对它进行设置。
2,日常工作中,在windows单机模式下,组策略中有很多比较有用的功能,例如,本地安全策略。
本地安全策略是对登陆到计算机上的账号定义一些安全设置,在没有活动目录集中管理的情况下,本地管理员必须为计算机进行设置以确保其安全。
例如,限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。
这些安全设置分组管理,就组成了的本地安全策略!。
活动目录、域及组策略-WindowsServer-WinOS中文技术论坛专注微...
活动目录、域及组策略-WindowsServer-WinOS中文技术论坛专注微...活动目录、域及组策略活动目录、域和组策略在很多用户那里都有所运用,如果刚开始接触这些内容时难免会觉得很复杂,这主要是因为专业名词太多,同时也许个人心理因素上存在畏难情绪,因此,在和客户交流过程中,有些发蒙,觉得底气不足,无法和客户继续沟通下去,也就无法了解客户企业完整的网络架构,那就无法从客户的实际环境出发,帮助客户提出一个完备的解决方案。
因此,今天我在这里对一些专业术语、易混淆的地方以及本人认为是难点的地方做一简单诠释,主要是做一个抛砖引玉,希望各位同仁指正。
活动目录活动目录存储整个网络上资源的信息,便于用户查找、管理和使用这些资源。
活动目录是Windows 2000网络中的目录服务。
它存储关于网络资源的信息,并使用户或应用程序可以访问这些资源。
活动目录使物理网络拓扑和协议透明化,这样网络上的用户可以访问任何资源,而不需要知道资源在什么地方,或物理上它是如何连接到网络上的。
以前我们访问网络资源,一是通过网上邻居,选择某个工作组,进入你所要访问的计算机,并且还需要目标计算机的用户名和密码才能访问上面的资源。
或者通过IPC$,输入目标计算机的IP地址和访问盘符,但是同样需要目标计算机的用户名和密码。
而通过活动目录,管理员可以把分布在网络各处各台计算机上的资源,比如打印机、共享文件,分门别类的放在一起。
活动目录提供对网络资源集中控制,允许用户只登录一次就可以访问整个活动目录的资源了。
用户打开网络邻居,所见到的不再是计算机,而是一个个目录文件夹形式:放着打印机资源的目录文件夹名称叫做打印机,技术部门的所有共享文件放在一个称做技术资料的目录文件夹中。
这就是活动目录名字的由来。
活动目录的对象代表网络资源,如用户、组、计算机和打印机。
而且,网络中所有的服务器、域和站点都作为对象。
因为活动目录代表了所有网络资源,只需要一个管理员就可以管理这些资源。
Windows Server活动目录企业应用Windows Server管理组策略
项目背景从前面地学习我们知道:通过AD DS地组策略(group policy)功能,可更容易地管理用户地工作环境和计算机环境,可以统一部署软件以及限制特定软件地运行,也可以利用组策略使安全性标准化,以控制环境。
总之,组策略地合理使用能够轻网络管理负担,并降低网络管理成本。
项目目标•组策略地处理规则•组策略地委派管理•Starter GPO地设置和使用•组策略管理实例6.1 相关知识域成员计算机在处理(应用)组策略时有一定地程序和规则,系统管理员必须了解它们,才能够通过组策略来管理用户和计算机地环境。
6.1.1一般地继承和处理规则组策略地设置是有继承性地,也有一定地处理规则。
图6-1 Active Directory用户与计算机--组织单位Ø若高层父容器地某个策略被设置,但是在其下低层子容器并未设置此策略地话,则低层子容器会继承高层父容器地这个策略设置值。
以图6-1来说明,若位于高层地域long若组织单位sales下还有其它子容器,且它们地这些策略也被设置为未配置,则它们也会继承这个设置值。
Ø若在低层子容器内地某个策略被设置,则此设置值默认会覆盖由其高层父容器所继承下来地设置值。
以图6-1所示,若位于高层地域longØ 组策略设置是有累加性地,例如若您在组织单位sales内建立了GPO ,同时在站点、域内也都有GPO,则站点、域和组织单位内地所有GPO 设置值都会被累加起来作为组织单位sales地最后有效设置值。
但若站点、域和组织单位sales之间地GPO设置有冲突,则优先圾为:组织单位地GPO最优先、域地GPO次之、站点地GPO优先权最低。
6.1.2 例外地继承设置除了一般地继承和处理规则外,您还可以设置下面地例外规则。
1.禁止继承策略以设置让子容器不要继承父容器地设置。
例如若不要让组织单位sales继承域long管理组策略相关知识图6-2 阻止继承管理组策略相关知识2.强制继承策略可以通过父容器来强制其下子容器必须继承父容器地GPO设置,无论子容器是否选择了阻止继承。
活动目录解决方案
活动目录解决方案随着社交媒体和在线广告的普及,活动变得越来越多样化和复杂化。
现代的活动涉及到许多方面,包括活动的预算、日程安排、场地预订、营销,以及工作人员的招募等等。
活动目录解决方案旨在帮助组织者更高效地管理活动以及优化活动流程。
在本文中,我们将探讨活动目录解决方案的相关内容。
I. 活动目录解决方案的概念活动目录解决方案是指一种高效管理活动的工具或系统。
它的功能包括但不限于:维护预算、策划活动日程、处理活动场地申请、推行营销计划、进行预防措施(例如:灾难反应和风险管理计划)等。
活动目录解决方案的目的是确保活动在计划范围和预算内实现顺利的效果和产出。
通过实施活动目录解决方案,组织者能够更轻松地管理整个活动,节省时间和成本,并降低风险和误差的发生率。
II. 活动目录解决方案的优点活动目录解决方案相对于传统的管理方式,有以下优点。
1. 高效性和易用性。
活动目录解决方案可以简化组织者的工作流程,从而提高工作效率。
特别是对于那些需要同时管理多个活动的组织者来说,系统化地维护所有活动计划变得更加自然和无缝。
活动目录解决方案也提供了一些工具和功能,如事件日历、工作计划和记事本等,以优化活动管理。
2. 实现更好的沟通和协调。
活动目录解决方案可以更好地保持沟通和协调。
通过一个统一的系统,管理员和内部工作人员能够将所有活动关键数据和敏感信息共享。
这意味着所有有关部门的任何人都可以随时了解到当前状态和任何更改,从而更好地协调团队并避免重复操作。
此外,它还可以帮助组织者更好地与客户、供应商和其他相关人员沟通。
3. 提供更好的数据可视化和分析。
活动目录解决方案通常会记录活动相关的数据和信息。
这些数据可以用于生成各种统计信息、趋势分析或其他形式的报告。
通过对这些数据进行分析,组织者可以更好地管理和优化下一个活动,从而实现更好的质量和效益。
III. 实施活动目录解决方案的步骤如何实施一个成功的活动目录解决方案?下面是一些实施步骤和注意事项。
Windows 10组策略应用
Windows 10组策略应用组策略是Windows操作系统中的一项重要功能,它可以帮助管理员对计算机或用户进行集中管理。
通过组策略,管理员可以控制和配置计算机上的各种设置,包括安全设置、网络设置、应用程序限制、桌面设置等等。
本文将详细介绍Windows 10组策略的应用,并提供相关实例和细节分析。
首先,我们来了解一下Windows 10的组策略功能。
组策略是通过活动目录域服务(Active Directory Domain Services,AD DS)来实现的。
AD DS是Windows Server操作系统的一项功能,它允许管理员在网络中集中管理用户、计算机和其他资源。
通过组策略,管理员可以在活动目录域中创建策略,并将这些策略应用于特定的用户组或计算机组。
一旦策略被应用,相应的设置将会自动在目标计算机上生效。
在Windows 10中,可以使用组策略编辑器(Group Policy Editor)来创建和配置组策略。
该编辑器提供了一个图形化界面,使管理员能够方便地进行设置和修改。
可以通过本地组策略编辑器(Local Group Policy Editor)来编辑本地计算机上的策略,也可以通过远程组策略管理(Group Policy Management)工具来编辑整个域中的策略。
组策略可以应用于计算机配置和用户配置。
计算机配置适用于计算机层面的设置,如启动脚本、安全设置、应用程序限制等。
用户配置适用于用户层面的设置,如桌面设置、应用程序访问、Internet设置等。
通过组策略可以为不同的计算机和用户提供不同的配置。
例如,可以通过组策略限制某些用户对特定程序的访问权限,或者通过组策略设置某些计算机的网络连接方式。
接下来,我们将深入讨论Windows 10组策略的一些常见应用。
1. 安全设置:通过组策略,管理员可以强制实施严格的安全设置,以保护计算机和网络的安全。
例如,可以通过组策略禁用不安全的网络协议和服务,限制用户对敏感文件和文件夹的访问权限,配置防火墙和安全审计等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
理论部分
课程回顾
•添加额外域控制器有什么好处? 添加额外域控制器需要满足哪些条件?
•如何添加额外域控制器?
技能展示
理解组策略的概念
•创建组策略
理解计算机配置和用户配置的区别掌握组策略的应用规则
组策略概念
I
、
组策略对象概念
I
创建组策略
1
U 建组策略
| 策略继承与阻止 ] 策略累加型突 ]
官策略应用规心 |策麟制纹 | 筛选
I
软件分发
I
本章结构 组策略应用
I
•组策略
-一组策略的集合
-用来统一修改系统、设置程序
设置桌面环境1-^-1
>71.
女至以直自动
执行脚本 ,软件分
发
•组策略的优点
-减小管理成本
-只需设置一次,相应的计算机或用户即可应用-减小用户单独配置错误的可能性
-可以针对特定对象设置特定的策略
-用户
.计算机
组策略对象
• GPO ( Group Policy Object)的概念-存储组策略的所有配置信息
—AD中的一种特殊对
象
•默认GP。
-默认域策略
-默认域控制器策略• GPO链接
-只能链接到站点、域、
*1?
B 兴卜5” ccr»
TZ I DMtfdt ?。
1 技
y
S iij Dm.m = a
a id人争即
矿-ms
B 团HH®
JJ D-fx-alt Derain Ccc.troll.rx Tolicj (jf 以
点、Dgin Fdicy
S J nllWWw
9 3 SltfUt 彻
虫站点
t匝烈銓榜
U
______________________________________________L
■ .冋
X1 二ia j
bcne com中的组策略对关内召
|签塩|
计算机配置
-策略
.软件设置
•Windows 设置
.管理模板
首选项
•Windows 设置。
控制面板设置
计算机配置只针对容器中的计算机生效
用户配置
-策略
.软件设置
•Windows 设置
.管理模板
首选项
•Windows 设置。
控制面板设置
计算机配置和用户配置2-1
用户配置只针对容器中的用
户生效
案例:组策略的简单应用
•实验环境
-已部署Windows Server 2008 域
-销售部员工用户位于0U "销售部〃中
•需求描述
-销售部员工使用统一的桌面背景,禁止更改桌面背景
•实现思路
-创建并链接GPO
-配置组策略
1!
-用户配置-策略-管理模板-桌面-桌面
小结
•请思考
-使用组策略有什么好处? -GPO可以链接到哪些对象?
计算机配置和用户配置有什么区别?
—使用什么命令可以刷新组策略使其立即生效?
•策略继承与阻止
-下级容器可以继承或阻止应用其上级容器的
GPO设置
•策略累加与冲突
-多个GPO设置可以累加或发生)中突被覆盖•策略强制生效
使下级容器强制执行其上级容器的GPO设置•筛选
-阻止一个容器内的用户或计算机应用其GPO设
置
策略继承与阻止
•下级容器默认会继承来自上级容器的GPO 子容器可以阻止继承上级容器的G P0
—右击魚组宙路萸RB I卜幺快承
志又件伊)掬TOO s§(v)窗口0)戒助oo
I _|g| '-I
坦洒治理
、\、林.bsot. C^ri
(3紗
[d,bwn«t. ccn
* Dtf&nlt D
稍售部
此列瘀包括任佛脇到芯点的物。
有关更多详细信!?,苗单击"奈助”" Policy
D OB »a a Conir all arv
人事浏工程却
-行晩J
:一財和
E =
R allp^D cr_S41es
'[壬襲驚义北京一
F 下、m (SiSH ffi 言
Starter 时。
m甬站点
r:组語珞丑很
丄翁苗瑁作军
继承默认域策略
2J
策略累加与冲突
•如果多个组策略设置不冲突,则最终的有效策略是所有组策略设置的累加
如果多个组策略设置冲突,则后应用的组策略覆盖先应用的组策略
组策略设置是否冲突OU的有效设置域:已启用"从桌面删除回收站厂
0U :已启用"阻止更改墙纸" 否元緬删除回收站
阻止更改墙纸
域:已禁用"阻止更改墙纸"
0U1已启用"阻止更改墙纸" 是阻止更改墙纸
组策略应用顺序
•组策略应用顺序:LSDOU
-首先应用本地组策略
-如果有站点组策略,则应用
-接着应用域策略
-最后应用0U上的策略
-如果同一个OU上链接了多个GPO ,则按照链接顺序从高到低逐个应用
策略强制生效
强制生效是上级容器强制下级容器执行其GPO设-IDI XI
〃强制生效"会覆盖"阻止继承"设置
筛选
•筛选可以阻止一个GPO 应用于容器内的特 定计算血或用户
-委派一权限设置
安全设虽
安全I
r* Donain Adnins IjEHETSIonain Admits)
'f^ Enlerpr J se ASina G)EKETkEntexprise Adnins) ^EllTERFBISE ODKTKOUCTS 係 namgcr 为 (nana&er aObsGl us) 11
渤施)...I 榔紐)
允许
3詞
写入
创逮所有子?撿 删院昕有子?掾
諏(V)
7償苗i 誹稀ll 知忡隔
I 程 I 瞬
应用伝)
小结
口
口
口
请思考
-如果OU上的组策略设置与域上的组策略设置不冲突,该OU的有效策略是什么?
-如果OU上的组策略设置与域上的组策略设置冲突,该0U的有效策略是什么?
-组策略的应用顺序是什么?
软件分发
•软件分发步骤
-准备.msi格式文件
-将.msi格式文件放置到软件分发点
—创建并链接GPO
•分配与发布的区别
-分配:将程序分配到用户或计算机
-发布:将程序发布给用户,用户可选择是否安装
-分配比发布更具有强制性
实验环境
-已部署Windows Server 2008 域
-销售部员工用户位于0U 〃销售部〃中•需求描述
-将软件MBSA统一分发给销售部所有员工-用户可以选择是否进行安装
•实现思路
-准备软件mbsa.msi
-将软件mbsa.msi放置至U共享文件夹中
-创建并链接GPO
用户西己詈—笫临—软件设詈
组策略概念 I 、 组策略对象概念 I 创建组策略 1 U 建组策略 | 策略继承与阻止 ] 策略累加型突 ] 官策略应用规心 |策麟制纹 | 筛选 I 软件分发 I 本章总结
组策略应用 I
上机部分
•实验环境
-已部署Windows Server 2008 域
-销售部员工用户位于0U "销售部〃中•需求描述
-销售部员工使用统一的桌面背景
•实现思路
-准备桌面背景图片
将图片放置到共享文件夹中(赋予读取权限即可)
—创建并链接GPO
一配置组策略
用户配置-策略-管理模板-桌面-桌面-刷新组策略
-验证组策略的应用结果皿孫野完成
实验案例二:组策略的应用规则2
•实验环境
-已部署Windows Server 2008 域
-销售部员工用户位于0U "销售部〃中
•需求描述
-禁止所有用户运行命令提示符
-所有用户使用公司统一的桌面背景
-销售部用户使用销售部统一的桌面背景
-销售部经理可以自定义桌面背景
组策略的应用规则2-2
•实现思路
-将两张桌面背景图片放到共享文件夹(赋予读取权限)
-编辑默认域策略
.启用〃阻止访问命令提示符〃策略
•设置公司统一使用的桌面背景
-在0U "销售部”上创建并链接GPO
•设置销售部统一使用的桌面背景
•委派权限,为销售部经理添加〃读取〃和〃应用组策
略〃的拒绝权限
练跡完成。