概述:
组策略是Win2003操作系统提供的一种重要的更新和配置管理技术,用来批量控制计算机和用户的环境,包括控制应用程序、系统设置和管理模板的一种机制。在AD域环境中,通过组策略可以对计算机和用户组进行高效集中化的管理。组策略是AD域环境最有吸引力的基础架构应用之一,正确高效组策略应用可以最大化提高工作效率,节约大量时间和精力。但如果部署了不正确的组策略,排错过程往往会使人抓狂。本文不涉及具体组策略部署方法以及如何排错案例,仅就AD域环境中客户机处理组策略的流程做一详细分析。相信正确理解和掌握组策略内部处理流程,会对组策略部署以及组策略排错有相当大的帮助和参考。
组策略是Win2003操作系统提供的一种重要的更新和配置管理技术,用来批量控制计算机和用户的环境,包括控制应用程序、系统设置和管理模板的一种机制。在AD域环境中,通过组策略可以对计算机和用户组进行高效集中化的管理。组策略是AD域环境最有吸引力的基础架构应用之一,正确高效组策略应用可以最大化提高工作效率,节约大量时间和精力。但如果部署了不正确的组策略,排错过程往往会使人抓狂。本文不涉及具体组策略部署方法以及如何排错案例,仅就AD域环境中客户机处理组策略的流程做一详细分析。相信正确理解和掌握组策略内部处理流程,会对组策略部署以及组策略排错有相当大的帮助和参考。
一:简述客户端计算机处理组策略流程
简单的说,客户机应用组策略的流程有以下几个步骤:
1:客户机启动,执行本地安全策略。
2:客户机连接到网络,查询DC获取要应用的GPO列表。
3:客户机根据GPO列表连接到Sysvol文件夹定位对应的组策略模板。
4:客户机根据组策略模板中信息执行相应的操作。
5:计算机策略执行完成后,出现登录界面,用户登录。
6:用户验证通过后,用户查询DC获取要应用的GPO列表。下面执行步骤与计算机执行步骤类似。
简单的说,客户机应用组策略的流程有以下几个步骤:
1:客户机启动,执行本地安全策略。
2:客户机连接到网络,查询DC获取要应用的GPO列表。
3:客户机根据GPO列表连接到Sysvol文件夹定位对应的组策略模板。
4:客户机根据组策略模板中信息执行相应的操作。
5:计算机策略执行完成后,出现登录界面,用户登录。
6:用户验证通过后,用户查询DC获取要应用的GPO列表。下面执行步骤与计算机执行步骤类似。
客户机组策略处理基本流程如上所述,其中忽略了某些可能性如:环回设置,同步/异步处理,安全组筛选,WMI筛选等,因对基本流程影响不大,此处略过。有兴趣请见后续文章。
上述流程并不复杂,但其中存在一些细节需要深入了解,也是自己当初学习组策略时一直存在的疑问。比如:
1:客户机如何从DC上获取要应用的GPO列表
2:客户机如何可以根据GPO列表,定位到Sysvol文件夹定位对应的组策略模板。
上述流程并不复杂,但其中存在一些细节需要深入了解,也是自己当初学习组策略时一直存在的疑问。比如:
1:客户机如何从DC上获取要应用的GPO列表
2:客户机如何可以根据GPO列表,定位到Sysvol文件夹定位对应的组策略模板。
3:客户机如何可以正确的处理每个组策略设置
4:按MS说法,客户机与DC失去联系,客户机会使用本机缓存的组策略,那么组策略本地缓存保存在客户机什么位置?
下面就上述疑问做尽可能的分析,希望能给其他朋友带来参考,因有些结论是实验测试结果,可能会存在某些不当之处,如有异议,欢迎讨论!
4:按MS说法,客户机与DC失去联系,客户机会使用本机缓存的组策略,那么组策略本地缓存保存在客户机什么位置?
下面就上述疑问做尽可能的分析,希望能给其他朋友带来参考,因有些结论是实验测试结果,可能会存在某些不当之处,如有异议,欢迎讨论!
二:客户机如何获取应用的GPO列表
我们知道,DC启动时,会向DNS宣告自己的角色,DNS服务器接受宣告后,更新DNS数据库中DC对应的资源记录。客户机登录时会联系DNS服务器,寻找适当的DC进行身份验证。验证通过后,DC告诉客户机所属的站点信息,域信息,以及OU信息。客户机获取到这些信息后,就可以查询到正确的GPO列表。之所以拥有站点,
我们知道,DC启动时,会向DNS宣告自己的角色,DNS服务器接受宣告后,更新DNS数据库中DC对应的资源记录。客户机登录时会联系DNS服务器,寻找适当的DC进行身份验证。验证通过后,DC告诉客户机所属的站点信息,域信息,以及OU信息。客户机获取到这些信息后,就可以查询到正确的GPO列表。之所以拥有站点,
最低0.47元/天 解锁文章
1307
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
