组策略应用
一、组策略
1.组策略概述
-
一组策略的集合
-
用来统一修改系统,设置程序
①组策略的优点
-
减小管理成本
-
减小用户单独配置错误的可能性
-
可以针对特定对象设置特定的策略
②组策略对象(GPO)
-
存储组策略的所有配置信息
-
AD中一种特殊对象
(1)默认GPO
{1}.默认域策略
-
本地安全策略与默认域策略有冲突,以默认域策略优先,本地设置无效。
-
本地计算机何时才会应用在域策略内有变动的设置呢?
-
本地安全策略有变动时
-
本地计算机重启时
-
DC每5分钟自动应用
-
不是DC每隔90-120分钟会自动应用
-
所有计算机每隔16小时强制应用,即使无更改
-
手动应用域策略:gpupdate或gpupdata /force
-
{2}默认域控制器策略
-
只影响到位于Domain Controllers内的域控制器,不影响其他组织单元或容器内的计算机和用户
-
所有位于Domain Controllers内的DC都会受域控制器安全策略的影响。
-
默认域策略与域控制器安全策略冲突时,对于DC来说默认域控制器策略优先,域安全策略无效。
(2)GPO链接
-
只能链接到站点、域、OU
{1}站点的概念 :
-
活动目录中的站点是从物理上抽象的概念
-
由一个或几个通过高速链路连接在一起的IP子网组成
{2}站点和域的关系:
-
一个站点中可以有多个域
-
一个域中可以有多个站点
{3}站点的主要作用:
-
优化复制
-
使用户能够使用可靠、高速的连接登录到域控制器上
(3)域内的策略:
-
在域内可以针对站点、域或组织单元来设置组策略,其中的域组策略内的设置会被应用到域内所有计算机与用户,而组织单元的组策略会被应用到该组织单元内的所有计算机与用户。
-
对于加入到域的计算机来说,如果两者有冲突,以域或组织单元组策略的设置优先,本地策略无效。
-
打开方式:运行gpedit.msc命令
2.创建组策略
-
组策略内的设置分为:
-
策略、首选项
-
-
只有域内的组策略才有首选项功能,本地计算机策略无此功能。
-
首选项非强制性,客户端可更改设置,策略设置是强制性,客户端无法更改。
-
策略设置若要在客户端发生作用,客户计算机的操作系统或应用程序必须支持组策略,首选项不需要。
-
若要筛选策略设置,必须针对整个GPO来筛选,而首选项可以针对单一设置项目来设置。
3.软件分发
①软件分发步骤:
-
准备.msi格式程序
-
将.msi格式文件放置到软件分发点
-
创建并链接GPO
②分配与发布的区别
-
分配:将程序分配到用户或计算机
-
发布:将程序发布给用户,用户可选择是否安装
-
分配比发布更具有强制性
二、组策略应用规则
-
组策略应用顺序LSDOU:本地组策略->站点->域->OU
-
如果在一个对象上存在多个GPO策略,那么按照GPO策略编号从高往低执行,最后执行的策略生效。
所有的策略应用都需要遵循以下几种规则:
1.继承与阻止
-
下级容器默认会继承来自上级容器的GPO
-
子容器可以阻止继承上级容器的GPO
2.累加与冲突
3.强制生效
-
上级容器强制下级容器执行其GPO设置
-
“强制生效”会覆盖“阻止继承”设置
4.筛选
可阻止一个GPO应用于容器内的特定计算机或用户,让特定的对象应用组策略
筛选的配置方法:
-
选中OU下的GPO
-
点击GPO中的"委派"
-
点击右下角"高级"
-
点击"添加"
-
添加要排除的用户并在权限栏中,选择"应用组策略"--->"拒绝"