入门官方文章:Group Policy for Beginners | Microsoft Docs
管理
gpedit.msc
gpmc.msc
组策略保存位置
\\%systemroot%\SysVol\[DomianName]\Policy\[GUID Floder Name]
SysVol目录结构
介绍:
1. Domain 文件夹:存储策略实体,策略和脚本存储位置
2. Staging:交换区域,临时存放多台DC之间需要同步的数据,DC中的数据首先复制该文件夹,然后在DC之间相互复制
3. Staging areas与sysvol:是两个挂载点,链接到对应的实体文件夹。
系统会将 %systemroot%\sysvol建立为 “sysvol”共享,
将 %systemroot%\domainname\Scripts建立为 “Netlogon”共享
---------------------------------------------------------------------------------------------------------------------------------
验证共享链接
net share
组策略对象移动、删除恢复
windows server 2012 sysvol目录修复、移动、重建【图文】_烟台山下_51CTO博客
组策略对象文件: Registry.pol
---------------------------------------------------------------------------------------------------------------------------
DFSR: 分布式复制机制,域控制器之间组策略对象同步机制(后续补充)
GPT:版本控制,当相同组策略对象在不同域控制器之间修改时,每次修改后的版本号会不同,DFSR根据版本号来判断是否同步
客户端服务
Group Policy Client: 将server端下发的组策略对象转化成应用程序(系统设置、用户设置、软件设置)的设置
组策略作用域:用来精准匹配生效的客户端或者用户
WMI筛选
其中WMI筛选器可以根据WMI提供的属性精细划分一组计算机对象,例如特点操作系统,系统属性,计算机名字,硬件属性等。
下面摘录一些写好的筛选器
* 筛选操作系统语言,codest参数,简体中文版936,繁体中文版950
root\CIMv2
SELECT * FROM Win32_OperatingSystem where codest = "936"
* 筛选计算机名,name参数为计算机名
root\CIMv2
SELECT * FROM Win32_ComputerSystem where name = "PCNAME"
* 筛选操作系统版本号,verion参数,windows server 2008 和 windows vista 实际版本为6.0开头,%为通配符
root\CIMv2
SELECT * FROM Win32_OperatingSystem where Verion like "6.0%"
* 筛选操作系统,caption参数
Root\CimV2
SELECT * FROM Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"
* 筛选安装有指定软件产品的计算机
ROOT\CIMv2
SELECT * FROM Win32_Product where name = "仙剑奇侠传" OR name = "仙剑奇侠传II"
* 筛选逻辑磁盘空间大于600M的计算机
ROOT\CIMv2
SELECT * FROM Win32_LogicalDisk where FreeSpace > 629145600
* 筛选x64 x86不同类型的操作系统
ROOT\CIMv2
select * from Win32_OperatingSystem where OSArchitecture = "64-bit"
select * from Win32_OperatingSystem where OSArchitecture = "32-bit"
组策略执行顺序:Understanding Group Policy order | 4sysops
LSD OU, OU is the lastest one.
L = Local
S = Site
D = Domain
OU = Organizational Unit
组策略应用原则:
如果策略有冲突,则后应用的生效。
强制策略
强制策略不管其是属于那个层级都是最后执行,如果有2个强制才会参考层级。
高频使用率安全策略:
- Account policies
- Password policy
- Enforce password history
- Maximum and minimum password age
- Minimum password length
- Passwords must meet complexity requirements
- Store passwords using reversible encryption for all users in the domain (Noooooooooo!)
- Account lockout policy settings
- Account lockout duration
- Account lockout threshold
- Reset account lockout counter after
- Kerberos policy settings
- Enforce user logon restrictions
- Maximum lifetime for service ticket
- Maximum lifetime for user ticket
- Maximum lifetime for user ticket renewal
- Maximum tolerance for computer clock synchronization
- Network access: Allow anonymous SID/NAME translation
- Network security: Force logoff when logon hours expire