学习笔记-组策略

最新推荐文章于 2024-04-28 16:03:45 发布
最新推荐文章于 2024-04-28 16:03:45 发布
阅读量1.4k 收藏 10
点赞数
文章标签: 学习 windows microsoft 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35360663/article/details/127704089
版权

组策略

组策略的概念

组策略(英语:Group Policy)是微软 Windows NT 家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非域的计算机上管理组策略对象。

通过使用组策略,你可以设置策略设置一次,然后将该设置复制到多台计算机上。 例如,你可以在链接到域的 GPO 中设置多个 Internet Explorer11 安全设置,然后将所有这些设置应用到域中的每台计算机。

根据作用范围不同组策略可划分为多种,并且拥有自己的执行顺序和继承原则。

组策略应用顺序:

  • 首先应用本地组策略
  • 如果有站点组策略,则应用
  • 接着应用域策略
  • 最后应用 OU 上的策略
  • 如果同一个 OU 上链接了多个 GPO,则按照链接顺序从高到低逐个应用

本地组策略

LGP

Local Group Policy,缩写 LGP 或 LocalGPO 是组策略的基础版本,它面向独立且非域的计算机。至少 Windows XP 家庭版中它就已经存在,并且可以应用到域计算机。在 Windows Vista 以前,LGP 可以强制施行组策略对象到单台本地计算机,但不能将策略应用到用户或组。从 Windows Vista 开始,LGP 允许本地组策略管理单个用户和组,并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。

域策略

当机器安装了域环境的时候,系统管理工具会多出一个功能(组策略管理),通过它,域管理员能够很方便统一地对域内的机器和用户进行统一管理。

域管理员经常会面对一个这样的问题,域成员机子的默认本地管理员密码过于简单,想进行批量修改的时候,这个时候就可以利用组策略来进行任务的批量下发。

1.通过在域中下发脚本来执行
2.在组策略首选项 GPP 中进行设置
3.本地管理员密码解决方案:LAPS(不细说这个内容,这是解决这个问题很好的方案)

首先我们需要了解下 AD 域中两个默认的共享文件夹: SYSVOL NETLOGON

可以用 net share 查看共享文件夹

NETLOGON

NETLOGON 共享是 SYSVOL 目录中一个文件夹 Scripts 的共享名,顾名思义就是用来保存脚本信息的,是 AD 活动目录安装时候自动创建的。

挂载点: SYSVOL\domain\SCRIPTS

SYSVOL

每台 Windows 主机有一个内置的 Administrator 账户以及相关联的密码。大多数组织机构为了安全,可能都会要求更改密码,虽然这种方法的效果并不尽如人意。标准的做法是利用组策略去批量设置工作站的本地 Administrator 密码。但是这样又会出现另一个问题,那就是所有的电脑都会有相同的本地 Administrator 密码。也就是说,如果获取了一个系统的 Administrator 认证凭据,黑客就可以获取他们所有机器的管理权限。

解决办法之一是为认证数据采取 SYSVOL,SYSVOL 是 AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。SYSVOL 包括登录脚本,组策略数据,以及其他域控所需要的域数据,这是因为 SYSVOL 能在所有域控里进行自动同步和共享。

SYSVOL 在域中所有的域控制器之间复制。 Sysvol 文件夹是安装 AD 时创建的,它用来存放 GPO、Script 等信息。同时,存放在 Sysvol 文件夹中的信息,会复制到域中所有 DC 上。

所有的域组策略存储在: \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\

在域中,用户登录(计算机)时,会首先在 SYSVOL 文件查找 GPO 和启动脚本。同时,为了保证系统的正常运行,必须为 SYSVOL 保留足够的空间缓存,而且不能随意删除、改动该文件夹,要不然会出现一些组策略无法启用等报错信息。

该目录由于针对的是域内所有机器和用户,所以域内中的合法用户均可以访问和执行该目录的文件。(普通的域用户也可以)

GPO

gpmc.msc

组策略对象,GPO(Group Policy Object),实际上就是组策略设置的集合。你可以用 GPO 来存储不同的组策略信息,然后作用在指定 OU 或者指定作用范围发挥作用。

默认安装完 AD 之后,系统默认会存在两个组策略对象

Default Domain Policy

默认域策略

Windows Server 2008 为林中的每个域创建一个默认域策略 GPO。这个域是用于设置一些安全相关策略的主要方法,如密码过期和账户锁定等。

存放的路径: C:\Windows\SYSVOL\sysvol\test1.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}

唯一ID(GUID):{31B2F340-016D-11D2-945F-00C04FB984F9} (都是相同的)

Default Domain Controllers Policy

默认域控制器策略

管理目标“Domain Controllers”容器,影响“Domain Controllers”容器中的域控制器,域控制器账户单独保存在该容器中。

唯一ID(GUID):{6AC1786C-016F-11D2-945F-00C04FB984F9} (都是相同的)

GPP

在2006年,微软收购了桌面标准的“PolicyMaker”,并重新借此与 win2008 发布了 GPP(组策略首选项)用来完成很多组策略无法进行的系统及用用配置。其中 GPP 最有用的特性,是在某些场景存储和使用凭据,其中包括:

映射驱动(Drives.xml)
创建本地用户
数据源(DataSources.xml)
打印机配置(Printers.xml)
创建/更新服务(Services.xml)
计划任务(ScheduledTasks.xml)
更改本地 Administrator 密码

这对管理员非常有用,因为 GPP 提供了一个自动化机制,可以作为急需的解决方案(比如脚本)给他们。它提供了有效的方法,利用显式凭据结合组策略部署了计划任务,一次性批量更改了电脑的本地管理的密码。

组策略首选项借助了组策略对象(Group Policy Oject, GPO) 实现了对域中所有资源的管理。

GPP 里面自定义了很多操作,比如本地用户和组的密码控制、计划任务等

Source & Reference

点击关注,共同学习!安全狗的自我修养

github haidragon

https://github.com/haidragon

C-haidragon
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
GroupPolicy C:\WINDOWS\system32\GroupPolicy
09-29
WIN XP SP3修改组策略拒绝访问 拷贝该文件夹覆盖C:\WINDOWS\system32\GroupPolicy即可解决
组策略(gpedit.msc)学习
weixin_33937913的博客
03-31 413
学习背景:组策略就是修改注册表中的配置。当然,组策略使自己更完善计算机的管理组织方法,可以对 各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大. 学习目的: 熟悉组策略的使用,完善计算机的管理与设置 学习步骤: 组策略的启动,组策略的实际例子操作讲解,安全防范,组策略的保护! 大家好!我是静水. 今天想...
Windows Server 2019】组策略的配置与管理——理论基础
热门推荐
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
09-02 1万+
博文介绍了组策略的定义,作用和分类。组策略包括计算机配置和用户配置;组策略又分为为基于本地的组策略和基于AD(活动目录)的域组策略。并说明了不同组策略发生冲突时默认的规则。
组策略应用全攻略
weixin_34418883的博客
05-25 363
组策略应用全攻略一、什么是组策略(一)组策略有什么用?说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows 功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模...
常用的组策略
weixin_34270606的博客
07-04 737
企业中常用的组策略1:组策略的强大这里就不多说了,企业现在基本上都在域环境中办公。这里就学习一下作为一个企业里面常用到的组策略。首先打开组策略管理器,默认有两台策略,一条是默认的域策略一条是默认的域控制器策略。这个默认策略定义的都是一些安全方面的策略,一般我们都不去改变,如果需要新的策略就去新建一个GPO然后下发给对应的OU即可。微软的组策略都是四步走第一步:创建一条组策略;...
组策略的基本应用
柒烨~的博客
05-23 2212
一,组策略的基本概念 定义基本概念 组策略(Group Policy)是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略 简单理解就是 组策略是把系统的一些重要配置功能汇集成一个个模块 组策略是修改注册表中的配置 组策略是一组策略的集合 1. 打开方式 Gpedit.msc 2. 刷新组策略 Gpupdate /force 3. 组策略两大模块 计算机配置 针对本地计算机生效 用户.
AD域服务器映射共享文件夹的设置
荣合技术外包服务
09-08 1241
1.打开AD域服务器上的,”管理工具”“组策略管理器”在域下面,右击创建GPO并在此处链接,然后“编辑”,3.“位置”:一般是“网络IP地址路径,例如\\192.168.0.10\share”在用户机那里CMD命令里刷新策略管理器“gpupdate /force”然后就成功了!2.“用户配置”“Windows设置”“驱动器映射”“在空白处右击,创建”“”5.“隐藏/显示此驱动器”:这里左边选显示,右边无更改.4."驱动器号":记得选择,右边随便选个字符。“操作”:这里选择更新。
Windows基本命令操作、网络相关操作、windows用户管理、NTFS权限、更新策略的方法
weixin_73823537的博客
12-10 1453
windows相关操作、组策略、本地安全策略
域中的组策略(Group Policy)
谢公子的博客
10-13 5056
组策略 组策略Windows环境下用户管理对象的一种手段。组策略分为本地组策略组策略。本地组策略适合于管理独立的未加入域的工作组的机器。而组策略则是用于管理域环境中的对象;本文主要讲解域环境中的组策略。关于本地组策略,传送门: 域环境中通过配置组策略可以对域中的用户、用户组、计算机进行不同维度的管理;如安全配置、注册表配置、软件安装配置、开关机与登入登出管理等。配置的组策略通过关联到站点、域、组织单位上来在不同层级上应用不同的策略配置。组策略配置分为两部分,分别是计算机配置和...
组策略应用
qq1099264125的博客
09-23 491
组策略的集合 减少管理成本 减少用户单独配置错误成本 可以针对用户设置特定的策略 组策略中包含的配置 默认gpo和gpo链接 默认gpo默认域策略和默认域控制器策略gpo链接 只能链接域 站点 ou 当子ou需要来自上级ou的组策略是使用;阻止:当下级ou不需要来自上级ou的组策略是可以将其阻止 若多个组策略间没有冲突时,效果如何?若多个组策略间有发生冲突时,效果如何? 没有冲突时效果为所有组策略设置的累加;有冲突是效果为当发生冲突时,后应用的策略将覆盖前面的策略 .组策略的应用顺序
Scrapy学习笔记-Scrapy入门之创建爬虫
12-21
Spiders是您定义的类,Scrapy用于从网站(或一组网站)中获取信息。 他们必须继承Spider的子类,并定义要发出的初始请求,可以选择如何跟随页面中的链接,以及如何解析下载的页面内容以提取数据。 这是我们第一个...
华为HCIP-RS学习笔记【共38章.rar
09-30
04-路由策略 05-策略路由 06-路由引入 07-BGP 08-组播基础 09-组播地址 10-组播协议 12-IGMP 13-IGMP Snooping 14-IGMP配置 15-组播分发 16-PIM 17-企业园区网发展 18-VLAN技术回顾 19-VLAN隔离技术 ...
华为HCIP-RS学习笔记.rar
09-30
04-路由策略 05-策略路由 06-路由引入 07-BGP 08-组播基础 09-组播地址 10-组播协议 12-IGMP 13-IGMP Snooping 14-IGMP配置 15-组播分发 16-PIM 17-企业园区网发展 18-VLAN技术回顾 19-VLAN隔离技术 ...
HCIP-RS学习笔记.zip
10-23
04-路由策略 05-策略路由 06-路由引入 07-BGP 08-组播基础 09-组播地址 10-组播协议 12-IGMP 13-IGMP Snooping 14-IGMP配置 15-组播分发 16-PIM 17-企业园区网发展 18-VLAN技术回顾 19-VLAN隔离技术 20-代理ARP 21-...
Linux 学习之路 -- 进程篇 -- 进程控制
2302_79538079的博客
04-24 1163
进程控制的简单介绍
力扣数据库题库学习(4.28日)--1587. 银行账户概要 II
最新发布
Jesse_Kyrie的博客
04-28 168
对于力扣题1587. 银行账户概要 II的解答,提供解题思路与解题方法,知识点为:1. GROUP BY 2. SUM 3. LEFT JOIN 4. HAVING
党务学习|基于SprinBoot+vue的大学生党务学习平台(源码+数据库+文档)
伟庭的博客
04-27 716
大学生党务学习平台管理系统按照操作主体分为管理员和用户。用户的功能等。该系统采用了Mysql数据库,Java语言,Spring Boot框架等技术进行编程实现。大学生党务学习平台管理系统可以提高大学生党务学习平台信息管理问题的解决效率,优化大学生党务学习平台信息处理流程,保证大学生党务学习平台信息数据的安全,它是一个非常可靠,非常安全的应用程序。大学生党务学习平台管理系统;入党申请,党课Mysql数据库;Java语言。
集成学习算法学习笔记
m0_46521579的博客
04-27 419
三个臭皮匠顶一个诸葛亮集成学习会考虑多个评估器的建模结果,汇总后得到一个综合的结果,以此来获取比单个模型更好的回归或分类表现。很多独立的机器学习算法:决策树、神经网络、支持向量机集成学习构建了一组基学习器,并将它们综合起来作为最终的模型。在很多集成学习模型中,对基学习器的要求很低。集成学习适用于机器学习的几乎所有领域:回归、分类、推荐和排序。相同的多个基学习器不会带来任何提升,不同的模型取长补短,每个基学习器都会犯不同的错误,综合起来犯错的可能性不大。
PySide6 GUI 学习笔记——使用资源文件
Humbunklung的专栏
04-27 542
在界面开发中,我们常常将一些图片、图标等资源统一存放到资源文件中供使用,从而让图形界面表达能力更好,更加丰富,譬如带图标的按钮、菜单、窗口等等。PySide6可以将多个图标、图片等资源文件编译到.py文件中,这样可以被我们的程序直接调用,使得资源的管理更加方便。
python学习笔记--皮大庆
08-14
《Python学习笔记》是由皮大庆编写的一本关于Python语言学习的教材。在这本书中,作者详细介绍了Python语言的基础知识、语法规则以及常用的编程技巧。 首先,作者简要介绍了Python语言的特点和优势。他提到,Python是一种易于学习和使用的编程语言,受到了广大程序员的喜爱。Python具有简洁、清晰的语法结构,使得代码可读性极高,同时也提供了丰富的库和模块,能够快速实现各种功能。 接着,作者详细讲解了Python的基本语法。他从变量、数据类型、运算符等基础知识开始,逐步介绍了条件语句、循环控制、函数、模块等高级概念。同时,作者通过大量的示例代码和实践案例,帮助读者加深对Python编程的理解和应用。 在书中,作者还特别强调了编写规范和良好的编程习惯。他从命名规范、注释风格、代码缩进等方面指导读者如何写出清晰、可读性强的Python代码。作者认为,良好的编程习惯对于提高代码质量和提高工作效率非常重要。 此外,作者还介绍了Python的常用库和模块。他提到了一些常用的库,如Numpy、Pandas、Matplotlib等。这些库在数据处理、科学计算、可视化等领域有广泛的应用,帮助读者更好地解决实际问题。 总的来说,《Python学习笔记》是一本非常实用和全面的Python学习教材。通过学习这本书,读者可以系统地学习和掌握Python编程的基础知识和高级应用技巧,为以后的编程学习和工作打下坚实的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C-haidragon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值