Active Directory和组策略教材
Active+Diretory+全攻略--组策略
组策略与OU中的组没有关系,不要混淆了。
系统管理员可利用组策略来管理AD数据库中的计算机与用户。
例如:用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的脚本文件、文件重定向、软件安装等。
一、组策略的基本概念1、组策略的设置数据保存在AD数据库中,因此必须在域控制器上设置组策略。
2、组策略只能够管理计算机与用户。
也就是说组策略是无法管理打印机、共享文件夹等其它对象。
3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU)4、组策略不适用于WINDOWS9X/NT的计算机,所以应用到这些计算机上无效。
5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略来管理。
注意一下:本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置与用户设置。
GPO的特性:组策略的设置数据都是保存在“组策略对象“(GPO)中,GP O具有以下特性:1、GPO利用ACL记录权限设置,可以修改个别GPO的A CL,指定哪些人对该GPO拥有何种权限。
2、用户只要有足够的权限,便能够添加或删除GPO,但无法复制GPO。
当AD域刚建好时,默认仅有一个GPO--DEFA OLT DOMAIN POLICY。
这个GPO可用来管理域中所有的计算机与用户。
若要设置应用于组织单位的组策略,通常会再另行建立GPO,以方便管理。
GPO的内容:GPO有两大类策略:1、计算机设置:包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。
2、用户设置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。
下面来看下打开属性可以看到这里只有一个,而且是默认的。
点编辑来到这个默认GPO编辑器。
在这个域树结构中,计算机设置和用户设置称为节点(NODE)而这两个节点又都包含了软件设置、WINDOWS设置和系统管理模块三个子节点。
介绍如下:软件设置:此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。
管理员操作手册-AD域控及组策略管理51CTO下载
四川省烟草专卖局(公司) 效能协同平台管理员操作手册AD域控及组策略管理版本号1.0日期:2011年6月山东浪潮齐鲁软件产业股份有限公司文档修订记录ﻬ目录一、ActiveDirectory(AD)活动目录简介4ﻬ1、工作组与域的区别 (4)2、公司采用域管理的好处 (4)3、ActiveDirectory(AD)活动目录的功能ﻬ6二、AD域控(DC)基本操作 (6)1、登陆AD域控.................................................................................................................. 62、新建组织单位(OU)8ﻬ3、新建用户10ﻬ4、调整用户11ﻬ5、调整计算机14ﻬ三、AD域控常用命令15ﻬ1、创建组织单位:(dsadd)15ﻬ2、创建域用户帐户(dsadd)............................................................................................ 153、创建计算机帐户(dsadd)ﻬ154、创建联系人(dsadd)16ﻬ5、修改活动目录对象(dsmod)16ﻬ6、其他命令(dsquery、dsmove、dsrm)17ﻬ四、组策略管理................................................................................................................... 191、打开组策略管理器19ﻬ2、受信任的根证书办法机构组策略设置ﻬ203、IE安全及隐私组策略设置ﻬ254、注册表项推送30ﻬ五、ﻬ设置DNS转发33ﻬ一、Active Directory(AD)活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于:1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。
第2章配置ActiveDirectory域基础结构
Windows XP 安全指南第 2 章:配置Active Directory 域基础结构更新日期:2006年07月17日本页内容概述支持安全管理的OU 设计支持安全管理的GPO 设计域级别组策略密码策略设置帐户锁定策略设置用户权限分配设置安全选项设置Kerberos 策略OU 级别组策略组策略工具总结概述组策略是Active Directory® 目录服务的一个功能,它便于管理Microsoft® Windows Server™ 2003 和Microsoft Windows® 2000 Server 域中的更改和配置。
但是,在将组策略应用于环境中带有Service Pack 2 的Microsoft Windows XP Professional 客户端计算机之前,您需要在域中执行某些基本步骤。
组策略设置存储在Active Directory 数据库的组策略对象(GPO) 中。
GPO 链接到容器,这些容器包括Active Directory 站点、域和组织单位(OU)。
由于组策略与Active Directory 紧密集成,在实现组策略之前有必要对Active Directory 结构和不同设计配置选项的安全含义进行基本的了解。
有关Active Directory 设计的详细信息,请参阅《Windows Server 2003 安全指南》的第3 章“域策略”。
组策略是确保Windows XP 安全的重要工具。
本章提供有关如何使用组策略从中心位置在整个网络中应用和维护一致安全策略的详细信息。
本指南为企业客户端(EC) 环境和专用安全- 限制功能(SSLF) 环境提供选项。
对于桌面客户端计算机和便携式客户端计算机,本章中建议的设置是相同的。
它们均是在域根级别而非OU 级别应用的特殊设置。
例如,Windows Server 2003 和Windows 2000 Server 域的密码和帐户锁定策略必须通过域根链接的GPO 进行配置。
windows实训报告4--active+directory域用户和组管理
Active Directory域用户和组管理
一、实训要求
1、创建域用户账户;
勾勾去掉
右键该用户-属性
右键该用户出来选项
禁用用户,就是不使用该用户,冻结它
重新设置密码
此勾勾要是勾上则下次登录强制修改密码
移动用户至其它OU
删除用户
重命名
4、用户配置文件(默认,本地,漫游,强制,临时);默认为本地
漫游
在服务器上C盘根目录建立共享文件夹
删除其它权限添加张三,并给张三所有权限
添加NTFS权限
添加用户主文件夹并配置路径
登录客户机XP1
强制
将此文件后缀名改为man就可以了
临时
取消共享主文件夹
客户机登录管理员账户
删除此文件夹
注销客户机登录张三
5、用户主目录;
6、组的创建;
7、组的规划:
新建用户李四
将张三加入销售部
设置销售部文件夹权限为只允许销售部的组访问
由于张三加入了销售组,所以打开了
而李四没有加入销售组,所以无法访问
1)AGDLP原则;
A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。
A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
2)AGGDLP原则;
3) AGUDLP原则;
4) AGGUDLP原则;
三、总结。
管理Active Directory组对象和组策略
2. 组策略类型 •软件设置:影响用户可以访问的应用程序。 应用程序自动安装的策略有两种方法实现: 指派应用程序,组策略直接在用户计算机 上安装或升级应用程序,或为用户提供应用程 序的连接,指派的应用程序用户无法删除; 发布应用程序,组策略管理员通过活动目 录服务发布应用程序。应用程序出现在用户的 控制面板的“添加/删除程序”的安装组件列表 中。用户可以卸载这些应用程序。 •脚本:组策略管理员可以设定脚本和批处理文 件在指定时间运行。脚本可以自动执行重复性 任务 。
四、 更改组作用域 创建新组时,在默认情况下,新组配置为具有 全局作用域的安全组,而与当前域功能级别无关。 •全局到通用:只有当要更改的组不是另一个全 局作用域组的成员时,允许进行该转换。 •本地域到通用:只有当要更改的组没有另一个 本地域组作为其成员时,允许进行该转换。 •通用到全局:只有当要更改的组没有另一个通 用组作为其成员时,允许进行该转换。 •通用到本地域:该操作没有限制。
工作组中的组和域中的组 工作组中的组 创建在非DC的计算机上; • 驻留在SAM数据库中; • 只能访问本地资源 。 域中的工作组 • 只在DC上; • 在AD中; • 访问域中的计算机中的资源。
第一节 本地组 一、本地组类型 1. 本地组(Local Groups) 本地组可以在任何一台基于Windows Server 2003的非DC计算机上创建,通过将用户加入到相 应的本地组赋予相应的权限,就可以控制用户对 本地计算机上资源的访问。 本地账户信息是放置在创建该组的计算机内 的数据库中,因此其作用范围只限于在创建该本 地组的计算机上。
八、使用“运行方式”启动程序 为获得最优安全性,不要将网络管理员每天 访问使用的用户对象添加为Administrators组成员。 若要运行需要以Administrator身份登录的 程序,可以使用“运行方式”程序。 找到需要用管理员身份打开的程序或其快捷 方式、MMC控制台或控制面板工具。按下 “Shift”键,并右击,从弹出的菜单中选择“运 行方式” 。
Active Directory和组策略教材
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
6.规划多元密码和帐户锁定策略
❖ 以前的Active Directory实现中,只能对域中的所有用户应 用一个密码和帐户锁定策略。
存放一个可写的DC和一个管理员,浪费太大。 存放一个可写的DC,让管理员远程管理,带宽低,费时
又棘手。 存放一个可写的DC不如WAN安全。
❖ RODC解决方案:
RODC提供了增强的安全性; 使登录更快速,并且允许更有效地访问本地资源; 路漫漫其悠远 RODC管理可以委派给一个没有管理权限的用户或组。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
4.委派RODC安装
❖ 在总公司DC中,可以委派合适的权限给一个用户或组。 ❖ 分支办公室的用户接受了委派权限后,就可以执行RODC
的安装,并可以管理RODC,但不需要域管理员权限。 ❖ 过程:
首先创建RODC账户; 安装过程中就可以关联/委派。
影子组(全局安全组),然后应用PSO。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
6.规划多元密码和帐户锁定策略
❖ 将PSO应用于组而不是OU,可以不用修改OU层次结构,组 为管理各用户集提供了更好的灵活性。
❖ 使用多元密码,需要具有2008域功能级别。 ❖ 只有域管理组的成员才可以创建PSO,以及将一个PSO应
❖ 因此,在用户相对较少,物理安全性差,网络带宽较低, IT 知识贫乏的环境下,可以采用RODC。 提供了只读AD DS数据库、单向复制、凭证缓存、管理 员角色分离、只读DNS(不支持客户更新)等功能。
windows实训报告6--active+directory组策略
Active Directory组策略一、实训要求1、用户配置实例;2、计算机配置实例;3、组策略处理规则:1)组策略执行顺序;2)组策略继承;3)组策略累加:4)组策略冲突(上下级和同一级);5)组策略禁止替代;6)组策略阻止继承;7)策略筛选;8)GPO针对某一容器的禁用;9)禁用用户设置/计算机设置。
4、用户登录注销脚本;5、计算机开机关机脚本;6、文件夹重定向。
二、实训步骤1、用户配置实例;点击服务器管理器-功能-组策略管理-林-域针对北京用户lisi让他不能使用开始菜单的运行功能创建GPO编辑GPO注销账户重新登录已经没有运行2、计算机配置实例;先把计算机移动到Beijing的OU中3、组策略处理规则:1)组策略执行顺序;父容器到子容器在到OU比如:高层父容器的某个策略被设置启用,但是其子容器策略被设置禁用,其结果是禁用2)组策略继承;子容器会继承父容器的策略比如:高层父容器的某个策略被设置启用,但是其子容器策略未设置,其结果是启用3)组策略累加:域、站点和OU都设置了策略的时候,其结果是累加在一起,如果有冲突的时候,则以处理顺序在后的策略为优先比如:域、站点都设置了同一策略为启用,而OU设置了禁用,其结果为禁用4)组策略冲突(上下级和同一级);计算机策略和用户策略冲突时,会优先计算机策略,如果计算机有多个策略冲突时,是以在前面的策略为优先。
(策略是针对同一设置)比如:计算机策略是启用,用户是禁用的时候,其结果是启用,同时计算机有三条策略针对同一设置时,其在最前面的优先配置。
5)组策略禁止替代;父容器设置了某策略,与子容器策略有冲突,并且子容器设置了组策略禁止替代,子容器还是执行自己现有策略,不改变。
6)组策略阻止继承;父容器不让子容器继承策略比如:父容器设置了某策略,如果子容器阻止继承的话,其子容器不会受到父容器策略影响7)策略筛选;当为一个OU设置了策略之后,如果您想针对某一计算机或用户不执行此策略,可以用策略筛选来做比如:针对业务部设置了开始菜单没有运行选项策略之后,如果想让业务部的经理有运行选项,就可以用策略筛选设置不执行此策略。
Active Directory组策略
– – – –
安全性 组策略脚本 重定向文件夹 软件分发管理
安全模板
• mmc控制台—[添加独立管理单元]—[安全模板] • Windows2000提供“安全模板”管理单元实现安全性的集 中管理。 • 安全模板没有引入新的安全参数,它只是将现有的 Windows2000安全属性组织到一个文件以简化管理。 • 在AD中,安全模板可以导入到组策略对象中。 • 默认情况下,Win2000保存一些安全模板在 %systemroot%\security\templates目录下,扩 展名为.inf的文本格式文件。 • 初始使用的安全模板在工具“本地计算机策略”下可以看到。
– 查看GPT
• [开始]|[运行],输入 %systemroot\sysvol\sysvol%
使用组策略进行安全配置和管理
• 组策略对象链接(GPO link)
– GPO创建后并不会生效,必须把它连接到站 点、域或组织单元上后才发生作用 – 在容器上创建GPO,则GPO自动连接到该容器 上。 – Group Policy Creator Owners组的成 员,只能创建GPO,但无法连接容器。 – Domain Admins组和Enterprise Admins 组的成员有权限把GPO连接到域组织单元,只 有Enterprise Admins组的成员才能把GPO 连接到AD站点。
安全模板
• 预定义的安全模板 – 基本的默认安全模板 Basicwk.inf 2000P Basicsv.inf 2000S Basicdc.inf 域控制器 – 兼容的安全模板 Compatws.inf – 安全的安全模板 Securews.inf Securedc.inf – 高度安全模板 Hisecws.inf Hisecdc.inf – 专用域控制器安全模板 Dedicadc.inf 自定义的安全模板
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.1.2 规划域和林功能
将域和林升级到 2008时,总会提升域和林的功能级别。 提升功能级别非常容易,但是不可能降低它们,除了卸载
重装。 要规划需要为域设置什么功能级别以及什么时候提升功能,
需要知道每个功能级别支持什么以及提升功能级别提供哪 些附加功能,还需要知道域和林功能级别之间的关系。 域功能级别考虑因素 林功能级别考虑因素
4
3.1.1介绍 2008 目录服务器角色
使用案例: 远程分公司的用户,一般通过广域网连接到总公司的
进行身份验证。缺点:延迟或不能登录。 怎么解决?可写的? 存放一个可写的和一个管理员,浪费太大。 存放一个可写的,让管理员远程管理,带宽低,费时
又棘手。 存放一个可写的不如安全。 解决方案: 提供了增强的安全性; 使登录更快速,并且允许更有效地访问本地资源; 管理可以委派给一个没有管理权限的用户或组。 5
和帐户锁定策略。 2008允许规定多元密码策略。可以规定多个密码策 略,并对单个域中的不同用户组应用不同的密码限 制和账户锁定策略。 密码设置容器() 密码设置对象() 通常,规划的策略可以包含至少3个但不能多于10个。 不能直接将应用于组织单元。而考虑为这些创建影子11 组(全局安全组),然后应用。
查找命令:该命令允许查找放置的站点。可以帮助 解决复制问题。
提供配置“密码复制策略”选项卡,用于配置的设 置。
单击“高级”按钮,可以查看哪些密码已被发送或 存储到中,也就知道谁在使用。
10
3.1.1介绍 2008 目录服务器角色
6.规划多元密码和帐户锁定策略 以前的 实现中,只能对域中的所有用户应用一个密码
较低, 知识贫乏的环境下,可以采用。 提供了只读 数据库、单向复制、凭证缓存、管理员
角色分离、只读(不支持客户更新)等功能。 6
3.1.1介绍 2008 目录服务器角色
2.规划实现 条件:远程启动 2008升级或有一个2008的 域,即
可计划实现。 安装的两个阶段: 第一阶段:为该域中的创建计算机账户时,可以为
能应用于计算机对象。 多元密码策略不能干预自定义的密码筛选器。 分配给一个全局组后,可以把一个特殊的直接应用于12
特定的用户。
3.1.1介绍 2008 目录服务器角色
7.规划数据挖掘工具的使用 目的:为了方便恢复被删除的 对象。 数据挖掘工具使被删除的数据能够以卷影复制服务备
份的 快照方式进行保留。可以利用轻型目录访问协 议工具,如查看这些快照中的只读数据。 规划被删除数据的还原策略: 决定如何最好地保留删除的数据,使它能够被还原, 从而在需要的时候还原该数据。 决定数据丢失后或者破坏时应还原哪个快照。 确定了需要恢复的对象或,可以在快照中标识并记录13 它们的属性和返回链接。
特定的规定密码复制策略。 在上安装实现一个辅助的服务器,可以复制该使用
的所有应用程序目录分区。客户更新数据,可以 请求单一更新。 第二阶段:安装
7
3.1.1介绍 2008 目录服务器角色
3.利用安装向导增强功能 2008增加了 安装向导,以简化 安装,并引入了安 装等新特征。
单击“添加角色” 输入命令 高级模式安装使你能够更好地控制安装过程。
8Leabharlann 3.1.1介绍 2008 目录服务器角色
4.委派安装 在总公司中,可以委派合适的权限给一个用户或组。 分支办公室的用户接受了委派权限后,就可以执行
的安装,并可以管理,但不需要域管理员权限。 过程: 首先创建账户; 安装过程中就可以关联/委派。
9
3.1.1介绍 2008 目录服务器角色
5.利用管理单元增强功能 2008增强了管理单元工具(如用户和计算机)的功 能。
15
3.1.3 规划林级信任
林信任(即林级信任)允许一个林中的每个域信任另一个 林中的每个域。
可以是单向传入信任、单向传出信任或双向信任。 应用: 伙伴公司或密切联系的组织之间可以使用林信任。 林信任可能构成并购或者接管战略的组成部分。 对隔离也可以使用林信任。
3.1.1介绍 2008 目录服务器角色
6.规划多元密码和帐户锁定策略 将应用于组而不是,可以不用修改层次结构,组为管
理各用户集提供了更好的灵活性。 使用多元密码,需要具有2008域功能级别。 只有域管理组的成员才可以创建,以及将一个应用于
某个组或用户。 多元密码策略只能应用于用户对象和全局安全组,不
目录服务器角色 引入的新功能: 只读域控制器 新的和增强的工具和向导: 安装向导 细化的安全策略:多元密码策略 可重启的 :允许离线操作 数据挖掘工具:可查看快照数据
3
3.1.1介绍 2008 目录服务器角色
1.只读域控制器 是具有 文件库只读版本的域控制器,可部署于域
控制器安全性无法确保的环境中。包括域控制器 的物理安全性有疑虑的分支机构,或者具有额外 角色功能并需要其他用户登入与管理服务器的域 控制器。 可以把管理委派给一个域用户或安全组,从而在本 地管理员不是 组成员的地方使用。
3.1.1介绍 2008 目录服务器角色
8.规划 审核 在 2008中,全局审核策略“审核目录服务访问”默
认启动。该策略控制启用还是禁用目录服务事件的 审核。 审核:记录事件写入“安全性”事件日志以及如何响 应事件。 访问 改变 复制 审核复制被进一步细分,提供两个审核级别的选择:14 正常和详细。
第3章和组策略
规划基础结构服务服务器角色 本章课程设置:
规划和实现组策略方案
第1课2008 第2课2008组策略
1
第1课 2008
学习目标: 列举和描述 2008 域服务( )的新特征和功能 规划和配置域功能级别 规划林功能级别 规划林信任 使用目录服务器
2
3.1.1介绍 2008目录服务器角色
3.1.1介绍 2008 目录服务器角色
1.只读域控制器 如果分公司使用的()业务应用程序只有安装到一
个域控制器上才能运行,也要选择部署。 从一个可写接收它的配置。 敏感的安全信息不被复制到。 用户在分公司第一次登录时通过进行身份确认,然
后可以把凭证缓存,以后就可以在本地验证。 因此,在用户相对较少,物理安全性差,网络带宽