信安学习-day7

组策略应用

一、组策略

1.组策略概述

• 一组策略的集合

• 用来统一修改系统，设置程序

①组策略的优点

• 减小管理成本

• 减小用户单独配置错误的可能性

• 可以针对特定对象设置特定的策略

②组策略对象（GPO）

• 存储组策略的所有配置信息

• AD中一种特殊对象

（1）默认GPO

{1}.默认域策略

• 本地安全策略与默认域策略有冲突，以默认域策略优先，本地设置无效。

• 本地计算机何时才会应用在域策略内有变动的设置呢？

  • 本地安全策略有变动时

  • 本地计算机重启时

  • DC每5分钟自动应用

  • 不是DC每隔90-120分钟会自动应用

  • 所有计算机每隔16小时强制应用，即使无更改

  • 手动应用域策略：gpupdate或gpupdata /force

{2}默认域控制器策略

• 只影响到位于Domain Controllers内的域控制器，不影响其他组织单元或容器内的计算机和用户

• 所有位于Domain Controllers内的DC都会受域控制器安全策略的影响。

• 默认域策略与域控制器安全策略冲突时，对于DC来说默认域控制器策略优先，域安全策略无效。

（2）GPO链接

• 只能链接到站点、域、OU

{1}站点的概念 ：

• 活动目录中的站点是从物理上抽象的概念

• 由一个或几个通过高速链路连接在一起的IP子网组成

{2}站点和域的关系：

• 一个站点中可以有多个域

• 一个域中可以有多个站点

{3}站点的主要作用：

• 优化复制

• 使用户能够使用可靠、高速的连接登录到域控制器上

（3）域内的策略：

• 在域内可以针对站点、域或组织单元来设置组策略，其中的域组策略内的设置会被应用到域内所有计算机与用户，而组织单元的组策略会被应用到该组织单元内的所有计算机与用户。

• 对于加入到域的计算机来说，如果两者有冲突，以域或组织单元组策略的设置优先，本地策略无效。

• 打开方式：运行gpedit.msc命令

2.创建组策略

• 组策略内的设置分为：

  • 策略、首选项

• 只有域内的组策略才有首选项功能，本地计算机策略无此功能。

• 首选项非强制性，客户端可更改设置，策略设置是强制性，客户端无法更改。

• 策略设置若要在客户端发生作用，客户计算机的操作系统或应用程序必须支持组策略，首选项不需要。

• 若要筛选策略设置，必须针对整个GPO来筛选，而首选项可以针对单一设置项目来设置。

3.软件分发

①软件分发步骤：

• 准备.msi格式程序

• 将.msi格式文件放置到软件分发点

• 创建并链接GPO

②分配与发布的区别

• 分配：将程序分配到用户或计算机

• 发布：将程序发布给用户，用户可选择是否安装

• 分配比发布更具有强制性

二、组策略应用规则

• 组策略应用顺序LSDOU：本地组策略->站点->域->OU

• 如果在一个对象上存在多个GPO策略，那么按照GPO策略编号从高往低执行，最后执行的策略生效。

所有的策略应用都需要遵循以下几种规则：

1.继承与阻止

• 下级容器默认会继承来自上级容器的GPO

• 子容器可以阻止继承上级容器的GPO

2.累加与冲突

 

3.强制生效

• 上级容器强制下级容器执行其GPO设置

• “强制生效”会覆盖“阻止继承”设置

4.筛选

可阻止一个GPO应用于容器内的特定计算机或用户，让特定的对象应用组策略

筛选的配置方法：

• 选中OU下的GPO

• 点击GPO中的"委派"

• 点击右下角"高级"

• 点击"添加"

• 添加要排除的用户并在权限栏中，选择"应用组策略"--->"拒绝"