组策略应用(二)

最新推荐文章于 2024-10-01 22:54:40 发布
最新推荐文章于 2024-10-01 22:54:40 发布
阅读量6k 收藏 2
点赞数
分类专栏: 活动目录 文章标签: 网络 运维 计算机网络 安全 活动目录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79294878/article/details/132466065
版权
本文深入探讨了Windows域环境中的组策略应用规则,包括继承与阻止、累加与冲突、强制生效、筛选、软件分发和精细化密码策略。通过案例详细解析了如何设置和管理组策略,以满足不同部门的特定需求,实现网络资源的有效管控。
摘要由CSDN通过智能技术生成

 

目录

3. 组策略应用规则

3.1 组策略的继承与阻止

3.2 组策略的累加与冲突

3.3 组策略的强制生效

3.4 筛选

3.5 软件分发

3.6 精细化密码策略

3. 组策略应用规则


        组策略的影响范围非常广泛,域内所有的用户和计算机都可能受到约束,因此,应用组策略之前应明确组策略的各种应用规则,如组策略的继承与阻止,累加与冲突和强制生效等,以方便利用这些规则顺利地实现用户的需求。



3.1 组策略的继承与阻止


        在默认情况下,下层容器会继承来自上层容器的GPO。如图4.15所示,OU“销售部”会继承域
“benet.com”的组策略;子OU“销售部_北京”和“销售部_上海”会继承其上级OU销售部”的组策略。

        子容器也可以阻止继承上层容器的组策略。在图4.15中,若OU销售部_北京”不需要应用来自上级OU的组策略,可以右击“销售部_北京”,在弹出的快捷菜单中选择“阻止继承”命令,这样OU“销售部_北京”就不会应用任何组策略,如图所示。

3.2 组策略的累加与冲突


        如果容器的多个组策略设置不冲突,则最终的有效策略是所有组策略设置的累加。
        如图所示,域“benetcom”链接到组策略对象“Default Domain PolicyOU销售部”链接到组策略对象“wallpaper_sales”,则OU“销售部”会同时应用“Default Domain Policy”和“wallpaper_sales”这两个组策略对象。
        例如,域“benet.com”的GPO规定用户禁止访问命令提示符,OU“销售部”的GPO规定用户必须使用统一桌面背景,则OU”销售部”下的用户既不能访问命令提示符,也无法更改桌面背景。
        如果容器的多个组策略设置冲突(对相同项目进行了不同设置),组策略则按以下顺序被应用:LSDOU,它表示本地(Local)站点(Site)、域(Domain)组织单位(OrganizationalUnit)。默认情况下,当策略设置发生冲突时,后应用的策略将覆盖前面的策略。
        每台运行Windows版本系统的计算机都只有一个本地组策略对象,如果计算机在工作组环境下,将会应用本地组策略对象。如果计算机加入域,则除受到本地组策略的影响外,还可能受到站点,域和OU组策略对象的影响。如果策略之间发生冲突,则后应用的策略起作用。
        案例某公司网络采用Windows Server 2016 域环境进行管理,销售部员工的用户账户都位于OU“销售部”,其他部门员工的用户账户分别位于各自部门的OU中。现在公司要求全体员工都不能访问命令提示符,除销售部员工使用销售部指定的桌面背景wallpaper_sales外,统一使用公司指
定的桌面背景wallpaper_company,个人不能随意更改成其他桌面背景。
        按照以下步骤操作来实现上述要求。
        (1)打开“组策略管理”控制台,编辑GPO“Default

最低0.47元/天 解锁文章
bug处理器
关注
专栏目录
域控器的组策略应用设置大全
11-03
Windows域控组策略设置
windows server 2016 组策略修改域账户密码强度、使用空密码 (使用组策略后仍无法修改密码长度、设置空密码的解决办法)
weixin_43850283的博客
09-12 1万+
windows server 2016 域控下,域账户使用空密码、降低密码强度、复杂性的实施(主要在修改了域服务器的组策略后,域用户仍然无法配置空密码的情况) 首先:正常情况下,域账户要设置空密码,或者低复杂的密码,按照百度或其他博文上的步骤操作即可,这里不详细说。 一般是在域控制器的组策略上面修改。(windows server 2016服务器的管理界面) 【下图↓】 按照:组策略——计算机配置——策略——window设置——安全设置——账户策略——密码策略,通过这个路径看到下图右边的设置,将密
组策略的强制生效和发配和发布
kaminao的博客
09-10 1986
前知:1.组策略应用顺序是什么? LSDOU:本地(Loca) 站点(Site) 域(Domain) 组织单位(Organizational Unit) 2.筛选的作用?如何实现筛选? 筛选可以实现阻止一个GPO应用与容器内部特定用户和计算机 如果用户或计算机账户没有读取和应用组策略的权限,组策略将不对其生效 3.软件的分发方式有哪些?它们的区别是什么? 分配和发布 分配:强制执行;发布:选择安装 4.精细化密码策略的作用? 如果在不同需求的工作场合和域环境下,要求针对不同安全级别为用户
组策略应用:强制执行及筛选
qq_58606689的博客
08-22 1183
前言:当下级容器不需要来自上级容器的组策略时,且上级容器设置为强制继承,上级容器可以通过筛选将下级容器排除组策略应用。 强制组策略执行继承组策略 (1)右击通信部已建好的GPO,选择强制 (2)此时策略已为强制执行 通过筛选,设置liming用户不受组策略影响。 (1)此时点击委派,并将用户liming添加进去并拒绝应用组策略 (2)由于我们的组策略为删除注销,由此我们登录各用户验证效果,先登录迪迦用户,可以看到由于没有进行筛选所以组策略生效,注销键消失 (3)登录li..
第15节 域
Fighting_hawk的博客
12-13 5199
1. 了解域相关基本概念。 2. 掌握从还原快照开始配置域环境、客户机接入、设置账户、设置OU、下发组策略(强制更换背景、上级强制、下级阻止继承、自动运行脚本、无需按ctrl+alt+del、命令及安全相关策略)。 3. 重点理解组策略的下发机制及执行原理。...
windows 2012 精细化密码策略管理域用户(组)
weixin_34310127的博客
05-28 571
windows2012精细化密码策略管理域用户(组)WindowsServer2008平台中的ActiveDirectory域结构就已经存在“密码策略”和“帐户锁定策略”。但是这还不够,我们需要精确到group的密码策略,那么就需要运用到如下的技术。针对不同的用户组别设定不同安全级别的密码策略被称为细粒度密码策略细粒度的密码策略在ActiveDirectory管理控...
Windows组策略修改工具LGPO
06-29
Windows系统中,组策略是一个强大的管理功能,它允许管理员控制用户和计算机的配置,包括桌面环境、安全设置、应用程序管理等多个方面。通过设置组策略,管理员可以统一规范用户的操作环境,提升系统的安全性,并...
组策略应用全攻略
09-24
本教程《组策略应用全攻略》可能涵盖了以下关键知识点: 1. **组策略基础概念**:理解组策略对象(GPO)、组策略链接、站点、域和组织单位(OU)的关系,以及如何在活动目录(Active Directory)环境中组织和应用组...
组策略设置屏保.docx
06-30
- 在“组策略管理”控制台中,右键点击“域”(或想要应用组策略的组织单位),选择“新建”->“组策略对象”。 - 输入一个新的名称,例如“ScreenSaverPolicy”。 3. **编辑组策略**:双击新创建的组策略对象,...
本地策略提示不能确定应用到此机器的组策略安全性设置的解决方法
01-20
错误提示信息:不能确定应用到此机器的组策略安全性设置。在尝试从本地安全策略数据库(%windir% \security\database\secedit.sdb)中检索这些设置时返回的错误为: 参数不正确。所 有本地安全性设置都将被显示,但是...
组策略应用:阻止继承
qq_58606689的博客
08-22 1471
前言:当下级容器不需要来自上级容器的组策略时,可以将上级的组策略组织 创建OU‘通信部’,通信部的子OU‘信息部’,(1)默认‘信息部’要求继承‘通信部’组策略,效果自定义;(2)‘信息部’阻止继承‘通信部’组策略,效果与继承不一样 (1)新建通信ou并新建子ou信息部 (2)在通信部ou中建立迪迦奥特曼用户,在信息部建立特利伽奥特曼 (3)打开组策略管理。选择现有的域,在通信部新建GPO (4)编辑此组策略,并删除注销 (5)先登录上迪迦用户,发现没有注销 (6)登录特利
域账号策略设置(密码有效期,密码复杂度等)
qq_43091539的博客
09-26 1万+
域账号策略设置(密码有效期,密码复杂度等)
组策略使用以及强制刷新命令
热门推荐
leyvan的专栏
12-20 1万+
GP组策略组策略是一种管理员限制用户和限制计算机使用界面,使用功能的一种工具组策略可以应用在四个位置,并且应用顺序为:本地计算机---站点---域---组织单元在本地计算机上使用组策略可以通过gpedit.msc打开组策略编辑器,进行修改,而在AD中可以通过管理工具中的“域控制器安全策略”和“域安全策略”进行限制,但是推荐大家不要使用这种方法进行使用,最好是在AD中建立GPL(组策略链接)的
第八章 组策略
weixin_34163741的博客
06-03 260
一、组策略 1.概念:一组策略的集合,加强管理员通过活动目录数据库在站点域或组织单位中配置用户计算机的能力 2.组策略的结构:GPO和SDOU 1)GPO:组策略对象,可以讲GPO和活动目录的容器连接在一起,以影响容器(SDOU)中的计算机和用户 ①默认GPO:Default Doamin Policy(默认域策略)和Default Doamin Controller...
组策略权限的继承问题
wangxiaofei2006的专栏
04-28 5339
      在域控制器的组策略管理中,遇到的最头疼的问题就是组策略权限的继承问题。我们都知道,为了便于权限的设置,组策略的配置具有继承的特性。也就是说,默认情况下,上级的配置会传递给下级,即使下面一级没有这方面的权限,等等。  假设名为现在有如下一个简单的网络架构。  在域OU设置中,有一个销售集群的OU,其在组策略设置中,当系统登陆的时候,默认的用户名是上次登陆的用户。也就是说,在系统登
精细化密码策略
kaminao的博客
09-12 341
在不同需求的工作场合和域环境下,要求针对不同的安全级别为用及设定不同的密码策略,就需要使用到PSO(密码设置对象) 案例:创建两个组,‘工程部’、‘市场部’,成员自拟,要求完成‘工程部’员工密码长度是10,锁定阈值为3,密码历史为3,‘市场部’员工密码长度是15,锁定阈值为3,密码历史为1,必须管理员手工解锁 步骤一:首先创建两个组"工程部"和"市场部" 打开AD管理中心,快捷方式bent—system---password setting container,右键右边新建密码策略 步骤.
组策略 从入门到精通 (七) 组策略的继承
weixin_34074740的博客
12-22 453
组策略套用的过程中,有些制度性的策略需要大范围套用,只应应用于整个域中,在这些组策略的笼罩之下,有些OU中的用户又需要不套用任何上层下放的策略,当这些不想套用公共策略的用户阻止继承上层的策略,我们想让他强制生效,又怎么样设置? 在组策略管理器中,会有一条默认存在的组策略对象。而且可以看到,下层的每个OU中都包含这两个组策略。 这样就说明了,当...
Linux 再入门整理:详解 /etc/fstab 文件
最新发布
一只奋斗的猪
10-01 1237
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值