组策略对象

已于 2022-02-01 15:29:30 修改
阅读量578 收藏
点赞数
文章标签: windows
于 2022-02-01 12:23:21 首次发布
原文链接:https://blog.51cto.com/seawind/1921384
版权

入门官方文章:Group Policy for Beginners | Microsoft Docs

管理

gpedit.msc

gpmc.msc

组策略保存位置

\\%systemroot%\SysVol\[DomianName]\Policy\[GUID Floder Name]

SysVol目录结构

介绍:

1.  Domain 文件夹:存储策略实体,策略和脚本存储位置

2. Staging:交换区域,临时存放多台DC之间需要同步的数据,DC中的数据首先复制该文件夹,然后在DC之间相互复制

3. Staging areas与sysvol:是两个挂载点,链接到对应的实体文件夹。

系统会将        %systemroot%\sysvol建立为                                “sysvol”共享,

将                   %systemroot%\domainname\Scripts建立为        “Netlogon”共享
---------------------------------------------------------------------------------------------------------------------------------

 验证共享链接

net share

组策略对象移动、删除恢复

windows server 2012 sysvol目录修复、移动、重建【图文】_烟台山下_51CTO博客

组策略对象文件: Registry.pol

---------------------------------------------------------------------------------------------------------------------------

DFSR: 分布式复制机制,域控制器之间组策略对象同步机制(后续补充)

GPT:版本控制,当相同组策略对象在不同域控制器之间修改时,每次修改后的版本号会不同,DFSR根据版本号来判断是否同步

 

 

客户端服务

Group Policy Client: 将server端下发的组策略对象转化成应用程序(系统设置、用户设置、软件设置)的设置

组策略作用域:用来精准匹配生效的客户端或者用户

WMI筛选 

 

其中WMI筛选器可以根据WMI提供的属性精细划分一组计算机对象,例如特点操作系统,系统属性,计算机名字,硬件属性等。

下面摘录一些写好的筛选器

* 筛选操作系统语言,codest参数,简体中文版936,繁体中文版950

root\CIMv2

SELECT * FROM Win32_OperatingSystem where codest = "936"

* 筛选计算机名,name参数为计算机名

root\CIMv2

SELECT * FROM Win32_ComputerSystem where name = "PCNAME"

* 筛选操作系统版本号,verion参数,windows server 2008 和 windows vista 实际版本为6.0开头,%为通配符

root\CIMv2

SELECT * FROM Win32_OperatingSystem where Verion like "6.0%"

* 筛选操作系统,caption参数

Root\CimV2

SELECT * FROM Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"

* 筛选安装有指定软件产品的计算机

ROOT\CIMv2

SELECT * FROM Win32_Product where name = "仙剑奇侠传" OR name = "仙剑奇侠传II"

* 筛选逻辑磁盘空间大于600M的计算机

ROOT\CIMv2

SELECT * FROM Win32_LogicalDisk where FreeSpace > 629145600

* 筛选x64 x86不同类型的操作系统

ROOT\CIMv2

select * from Win32_OperatingSystem where OSArchitecture = "64-bit"

select * from Win32_OperatingSystem where OSArchitecture = "32-bit"

组策略执行顺序:Understanding Group Policy order | 4sysops

LSD OU, OU is the lastest one.

L = Local

S = Site

D = Domain

OU = Organizational Unit

组策略应用原则:

如果策略有冲突,则后应用的生效。

强制策略

强制策略不管其是属于那个层级都是最后执行,如果有2个强制才会参考层级。

 

高频使用率安全策略:

  • Account policies
    • Password policy
    • Enforce password history
    • Maximum and minimum password age
    • Minimum password length
    • Passwords must meet complexity requirements
    • Store passwords using reversible encryption for all users in the domain (Noooooooooo!)
  • Account lockout policy settings
    • Account lockout duration
    • Account lockout threshold
    • Reset account lockout counter after
  • Kerberos policy settings
    • Enforce user logon restrictions
    • Maximum lifetime for service ticket
    • Maximum lifetime for user ticket
    • Maximum lifetime for user ticket renewal
    • Maximum tolerance for computer clock synchronization
    • Network access: Allow anonymous SID/NAME translation
    • Network security: Force logoff when logon hours expire
qq_13633927
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
gpo 软件限制策略_什么是GPO(组策略对象)? 如何在Microsoft Windows使用,更改GPO?...
cunjiu9486的博客
10-11 3451
gpo 软件限制策略Group Policy is a feature provided by Windows operating systems in order to manage the different operating systems, user, account, and similar settings. Group policy mainly used for centrali...
组策略之(1)-------组策略对象建立管理与命名
weixin_33913332的博客
06-10 130
从接触到使用组策略,已经有几年时间了,现特地记录下自己的心得,不为哗众取宠,只为温习. 要灵活使用组策略,首先要学会使用组策略管理工具GPMC.工具(文件不大,下载很快) 下载地址:http://download.microsoft.com/download/3/1/3/31358ca0-98a7-42be-8bdd-1ec673f18668/gpmc.msi ...
组策略命令行工具使用之组策略对象检查工具GPOTOOL
weixin_34150830的博客
10-14 251
组策略命令行工具使用之GPOTOOL 域组策略对象检查工具――GPO TOOL Windows Resource Kit Tools工具软件。Gpotool号称组策略的“医生”,用于检查域控制器上的组策略对象的健康状况。主要完成一下功能: ●检查组策略对象的一致性。读取必须的和可选的目录服务属性(版本、友好名称、扩展 GUID和Windows 2000系统卷(SY...
设计模式——策略对象
runhwguo的专栏
04-23 481
策略模式定义了算法家族,分别封装起来,让他们之间可以互相替代,此模式让算法的变法,不会影响到使用算法的客户当不同的行为堆砌在一个类时,就很难避免使用条件语句来选择合适的行为。将这些行为封装在一个个独立的Strategy类,可以在使用这些行为的类消除条件语句简单工厂模式只是解决对象的创建问题,面对算法的时常变动,应该用策略模式面向对象的编程,并不是类越多越好,类的划分是为了封装,但分类的基础是抽
Windows组策略修改工具LGPO
06-29
2. **导入导出**:LGPO工具支持将组策略对象导出为文件,方便备份和在不同环境复用。同时,也可以从文件导入组策略设置,实现策略模板的快速应用。 3. **安全增强**:通过调整组策略,管理员可以加强系统的安全...
谷歌Chrome组策略模板
04-29
Chrome组策略模板主要应用于Windows操作系统,它通过微软的组策略对象(Group Policy Object, GPO)来管理用户和计算机的设置。GPO是活动目录(Active Directory)环境的一个重要组成部分,它允许管理员集控制...
组策略加载过程分析,域控
最新发布
07-06
GPC 是组策略容器,存储了组策略对象的基本信息,而 GPT 是组策略模板,存储了组策略对象的具体配置信息。组策略对象可以链接到 Local、Site、Domain、OU 等容器上。新建一个组策略对象后,可以在 GPMC.msc 编辑其...
win2008 R2 WEB 服务器安全设置指南之组策略与用户设置
09-30
主要介绍了win2008 R2 WEB 服务器安全设置指南之组策略与用户设置,需要的朋友可以参考下
windows不能查询组策略对象列表 解决方案.doc
07-06
windows不能查询组策略对象列表 解决方案
深信服 SANGFOR_AC_SG_v11.0_AD域如何关联组策略和用户配置指导书
02-27
SANGFOR_AC_SG_v11.0_AD域如何关联组策略和用户配置指导书
组策略 之 恢复默认组策略对象命令
weixin_34320724的博客
11-12 426
如果不小心误删除了默认的两条组策略,可以用以下命令来恢复。但所有设置都会丢失。还是建议平时多做备份。使用时注意参数!!! 本文转自 烟台小崔 51CTO博客,原文链接:http://blog.51cto.com/seawind/1852017 ...
Win10无法打开此计算机上的组策略对象怎么办
qq_39579242的博客
07-13 4767
解决之道:这是在System32文件夹下找到GroupPolicy文件夹,该文件夹是隐藏的,如果没有该文件夹,请手动建立一个,如果有的话,双击打开该文件夹在新打开的文件夹找一下是否有Machine文件夹,如果没有的话,同样需手工建立一个,如果有,把该文件夹改一下名,如修改为Machine2...
初入认识组策略
weixin_47347190的博客
07-13 565
组策略: 作用:这要是方便管理域,管理制度,强制管理企业的计算机和用户统一执行企业规划,完成管理任务。 组策略对象包含的内容:1.组策略容器(GPC),2.组策略模板(GPT) 两者的介绍 组策略容器(GPC):它主要存储在AD数据库,记录组策略对象的属性和版本等信息,通过AD管理心查看策略GPC 组策略模板(GPT):它就是一个文件夹,位置在入下图,可以在AD管理心查看,当然,也可以到驱动盘(一般在c盘)查看 组策略分2种:1.本地组策略 2.域组策略 本地组策略:个人理解是...
管理员操作组策略对象时常见错误
weixin_42434696的博客
07-02 281
虽然这和组策略对象并非直接相关,但管理员通常不会备份其组策略对象以便在遇到管理灾难时及时恢复。事实上,微软仅提供有限的组策略对象备份与恢复功能,这就是管理员常常忽略这些必备措施的原因。最佳操作:所有管理员在操作组策略对象时需要参照如下操作:备份每天的所有组策略对象。生成组策略对象操作设置报表。实施设置权限的组策略对象恢复方案。作为管理员,您可以使用微软VB语言提供的组策略管理控制台或者PowerS...
用Win2008搭建域
qq_46219965的博客
08-04 3242
域的部署;活动目录AD;组织单位OU;组策略GPO
Active Directory管理之五:组策略管理
weixin_34008805的博客
08-11 540
组策略Windows的一项功能,可以统一对用户或计算机进行配置管理。组策略最基本的组件是策略,策略顶一楼要应用的配置变动情况。策略的设置都是保存在组策略对象(GPO)。在组策略又分计算机配置和用户配置。用户配置是种的设置是针对用户,无论用户登录到那台计算机都将会应用,用户配置需要链接到用户账号所在OU才生效。计算机配置则是针对计算机,无论哪个用户登录到计算机都将会应用...
组策略筛选
weixin_34406061的博客
08-10 284
实验3:组策略筛选实验目标OU的用户继承默认域策略,默认域策略禁止修改桌面背景,OU有用户l、g,阻止用户g应用GPO设置实验环境实验步骤1、根据实验2可知,OU(cw)的用户继承默认域策略禁止修改桌面背景2、阻止OU的g用户应用默认策略在组策略管理界面—单击指定的GPO—在右侧窗口选择委派—高级—添加用户—勾选拒绝读取和应用组策略注销并登录用户g结果验证用...
正在应用计算机设置2008r2,在 2008 R2创建组策略后无法在客户端生效,gpresult结果为“下列 GPOs 没有应用因为它们被WMI 筛选器”...
weixin_35958479的博客
06-26 438
创建了两个GPOs,但是无法在客户机生效,在客户机执行gpresult后得到如下结果:Microsoft (R) Windows (R) XP Operating System Group Policy Result Tool v2.0Copyright (C) Microsoft Corp. 1981-2001于 2014-8-1,15:57:42 创建LZWCC\icd180072 的 R...
组策略对象编辑器怎么用
05-12
组策略对象编辑器是一个Windows系统自带的管理工具,用于配置本地计算机或域计算机的组策略设置。下面是使用组策略对象编辑器的步骤: 1. 打开组策略对象编辑器。在Windows搜索框输入“gpedit.msc”,然后按...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值