域中的组策略(Group Policy)

         目录

1.组策略

1.1 组策略容器GPC

1.2 组策略模板GPT

2.组策略管理

2.1.新建组策略对象GPO

2.2.编辑组策略对象

2.3.应用组策略对象



1.组策略

      组策略是Windows环境下用户管理对象的一种手段。组策略分为本地组策略组策略。本地组策略适合于管理独立的未加入域的工作组的机器。而组策略则是用于管理域环境中的对象;本文主要讲解域环境中的组策略。关于本地组策略,传送门:

      域环境中通过配置组策略可以对域中的用户、用户组、计算机进行不同维度的管理;如安全配置、注册表配置、软件安装配置、开关机与登入登出管理等。配置的组策略通过关联到站点、域、组织单位上来在不同层级上应用不同的策略配置。组策略配置分为两部分,分别是计算机配置和用户配置。当域控建立时,默认会创建两个组策略,分别是 Default Domain Policy 和 Default Domain Contoller Policy。

组策略的配置存储于组策略对象中,组策略对象(Group Policy Object,简称GPO)由两部分组成,分别是组策略容器(Group Policy ContainersGPC)组策略模板(Group Policy Templet,GPT)。组策略模板GPT是具体的配置模板,包含实际的配置文件;组策略容器GPC是组策略模板GPT的一种容器,可以将其视作组织管理具体配置的容器。此外,客户端扩展程序(CSEs)是存在于客户端上用于执行下发的组策略的代理程序。

    1.1 组策略容器GPC

     活动目录以容器的概念来组织和管理策略,组策略容器存储了每一个组策略详细的基本信息;如策略名称、标识组策略的GUID、组策略链接到的层级(即作用的对象)、策略模板的具体路径、策略应用的筛选过滤等,客户端可以从组策略容器中获取到关于该策略的所有元信息以及具体配置路径。

组策略容器位于LDAP数据库中的 “CN=Policies, CN=System, DC=xie, DC=com” ,该节点下是以GUID命名的各个组策略对象,如下是默认的两个组策略对象。

组策略容器中,有几个重要的属性配置:

  • displayname:组策略的名称;
  • gPCFileSysPath:组策略模板(GPT)所在的具体路径,即客户端查找具体的配置信息的物理路径,位于域控的SYSVOL共享中;
  • gPCMachineExtensionNames:客户端执行该组策略所需的客户端扩展程序;

当某个对象应用了某个指定的组策略时,该对象的gPLink属性将包含指向该组策略容器的完整DN,gPLink属性值形式如下:

 
  1. # 分号后的0或者1表示该条策略应用时是否强制,0表示非强制,1表示强制

  2. [LDAP://CN={GPO_GUID}, CN=Policies, CN=System, DC=xie, DC=com;0/1]

如下,Domain Controllers组织单元应用了Default Domain Contoller Policy组策略,所以该组织单元的gPLink属性指向了该组策略对象的DN。

     1.2 组策略模板GPT

组策略模板是组策略具体的策略配置信息,其位于域控的C:\Windows\SYSVOL\sysvol\DomainName\Policies共享目录下的各个GUID文件夹内。(通过net share可以看到该共享)。

我们在域内任意一台主机上,以普通域用户身份可以查看该默认sysvol共享

GPT在SYSVOL共享中以容器的形式组织目录结构,以GUID标识为目录名的各个组策略配置目录包含以下内容:

  • Macheine目录:包含针对计算机的策略配置;
  • User目录:包含针对用户的策略配置;
  • GPT.ini文件:该组策略对象的一些配置信息(如版本信息、策略名称);

Machine目录和User目录存放着具体的策略配置信息文件。

根据设置的不同组策略配置拥有不同的目录结构,如Scripts目录包含开关机和登入登出的执行脚本、Applications目录包含关于软件的配置、Preferences目录包含首选项配置。

2.组策略管理

管理工具——>组策略管理 即可打开组策略管理面板。或者在cmd命令行中输入gpmc.msc也可打开组策略管理面板,

     2.1 新建组策略对象GPO

右键组策略对象——>新建

然后填写组策略的名字,确定即可。

      2.2 编辑组策略对象

通过组策略管理控制台,选中对应的组策略对象,右键编辑打开组策略管理编辑器,然后配置相应的计算机配置和用户配置。

     2.3 应用组策略对象

启用组策略实际上是将配置好的组策略对象链接到指定的作用层级范围上,组策略对象可被链接到的作用范围按层级关系分为:站点(site)、域(domain)、组织单位(OU)。注意组策略被应用的最小单元是OU,即不能直接将一个组策略应用到某个用户或某个计算机上,而应该将这些计算机或用户加入一个OU中,然后将组策略链接到该OU上,OU可以具有层级关系的嵌套(即OU中又包含子OU)。

当我们在用户和计算机中新建了组织单位OU后,过一会,在组策略管理中会有该组织单元。

然后右键该组织单元——>链接现有GPO(L),然后选择我们刚刚创建的组策略对象,点击确定即可。

组策略被应用到某个层级上时,会有继承关系存在,除非显式的“阻止继承”,否则默认情况下链接到高层级的组策略配置同样会应用到该层级以下的OU(和多级子OU中)。因此,某个OU下的对象所应用的组策略配置除了链接到自身OU的组策略对象外还包括从上层继承而来的组策略配置。

组策略配置完成后,需要通过强制刷新来使得更改的组策略立即生效,通过gpupdate命令完成。

gpupdate /force

因为组策略的继承和OU的层级组织关系,组策略的应用具有优先级和可能存在配置覆盖,其基本的应用顺序是:由远及近,继承关系越远的组策略越先被应用,越靠近自身层级链接的组策略对象越后被应用(实际上还有本地策略,本地策略最先被应用),因此先被应用的组策略可能会被后应用的组策略配置覆盖。通过组策略管理控制台可以看到组策略被应用的顺序。

链接的组策略对象看到的是显式链接到该OU上的组策略(不包含本地策略和继承自上层的组策略),策略的应用顺序在列表中由下至上,可以通过移动拖拽来改变策略的应用顺序。

 组策略继承看到的是所有应用到该OU上的组策略,包括显式链接到本OU的组策略和继承自上层的组策略。

内容来源:https://blog.csdn.net/qq_36119192/article/details/109044654

  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值