AD 组策略应用与排错（1应用）

 

          最近在工作中在做了一个域环境的网络迁移升级 ，部署了一些服务 ，应用了一些策略，认识和应用比较肤浅 ，发出来和大家交流以一下。

           提起组策略，在桌面环境都已有很多使用，它的设置定义了软硬件环境。与注册表对应，操作相对简单。

            组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件，例如，用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项。要为特定用户组创建特定的桌面配置，请使用组策略对象编辑器。您指定的组策略设置包含在组策略对象中，而组策略对象又与选定的 AD对象（即站点、域或组织单位）相关联。组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器。默认情况下，应用于域（即在域级别应用，刚好在 A D用户和计算机的根目录之上）的组策略会影响域中的所有计算机和用户。“Active Directory 用户和计算机”还提供内置的“Domain Controllers”组织单位。如果将域控制器帐户保存在那里，则可以使用组策略对象“Default Domain Controllers Policy”将域控制器与其他计算机分开管理。

使用组策略可执行以下任务：

•	通过“管理模板”管理基于注册表的策略。组策略创建了一个包含注册表设置的文件，这些注册表设置写入注册表数据库的“User”或“Local Machine”部分。登录到给定工作站或服务器的用户的特定用户配置文件写在注册表的 HKEY_CURRENT_USER (HKCU) 下，而计算机特定设置写在 HKEY_LOCAL_MACHINE (HKLM) 下。
•	指派脚本。包括计算机的启动、关闭、登录和注销等脚本。
•	重定向文件夹。可以将文件夹（如 My Documents 和 My Pictures）从本地计算机上的 Documents and Settings 文件夹中重定向到网络位置上。
•	管理应用程序。使用组策略，可以通过“组策略软件安装”来指派、发布、更新或修复应用程序。
•	指定安全选项。

 

默认情况下存在的组策略对象

运行 Windows 操作系统的每台计算机都只有一个本地存储的组策略对象。这个本地组策略对象包含在非本地组策略对象中可用设置的一个子集。默认情况下，安装 Active Directory 时，会创建两个非本地组策略对象：

•	“Default Domain Policy”与域链接，它通过策略继承影响域中的所有用户和计算机（包括作为域控制器的计算机）。
•	“Default Domain Controllers Policy”与“Domain Controllers”组织单位链接，它通常只影响域控制器，因为域控制器的计算机帐户单独保存在“Domain Controllers”组织单位中。

警告

•	如果将域控制器移动到“Domain Controllers”组织单位之外，那么“Default Domain Controllers Policy”将不可用。如果必须在不同的组织单位里保留一个域控制器，请将“Default Domain Controllers Policy”链接到该组织单位。

用户及计算机策略

用户策略设置位于“组策略”中的“用户配置”之下，在用户登录时获得。计算机策略设置位于“计算机配置”之下，在计算机启动时获得。“用户”和“计算机”是接受策略的唯一 Active Directory 对象类型。特别是，策略不应用于安全组。由于性能方面的原因，安全组用于筛选策略，筛选方法是使用“应用组策略”的访问控制项 (ACE)（可将该访问控制项设为“允许”或“拒绝”，或者保留为不配置）。

应用顺序

按如下顺序应用策略：

1.	唯一的本地组策略对象。
2.	站点组策略对象，以强制指定的顺序排列。
3.	域组策略对象，以强制指定的顺序排列。
4.	组织单位组策略对象，按照从大组织单位到小组织单位顺序（从父组织单位到子组织单位），而在每个组织单位级别中，则按照由管理工作所指定的顺序。

 

默认情况下，在策略彼此不一致时，后应用的策略将覆盖以前应用的策略。但如果策略彼此一致，前后的策略都将作为有效策略。

按照安全组成员身份筛选策略

组策略对象的安全组 ACE 可以设置为“未配置”（没有优先级）、“允许”或“拒绝”。“拒绝”的优先级高于“允许”。

阻止策略继承

可在站点、域或组织单位级别阻止某些策略，否则会从更高级站点、域或组织单位继承这些策略。

强制从更高级别执行策略

可在组策略对象级别将某些策略设为“禁止替代”，否则这些策略将被子组织单位中的策略覆盖。

•

不能阻止已设置为“禁止替代”的策略。

•

“禁止替代”和“阻止”选项应尽量少用。随便使用这些高级功能会增大故障诊断和排除的难度。 应用GPMC   组策略管理控制台（GPMC）是一种能够在企业范围内提供“一站式”组策略管理方式的新型工具。 • 基于客户使用并管理组策略方式（而非技术建立方式）的用户界面。 • 组策略对象（GPO）的导入/导出与复制/粘贴。 • 得以简化的组策略相关安全性管理方式。 • 针对 GPO 和策略 (RSoP) 数据结果装置的报告（打印、保存 GPO、及对 GPO 的只读访问)。 • 组策略对象（GPO）的备份与恢复。 • 由这种工具所提供的 GPO 操作脚本编程方式（但不支持针对 GPO 设置的脚本编程方式）。 所有 Windows Server 2003 客户均可从 [url]http://www.microsoft.com/downloads[/url] 免费下载 GPMC。   使用GPMC的建模功能 ，和策略结果分析 ，可以很方便的分析组策略个应用情况和故障的分析 。

        

转载于:https://blog.51cto.com/johnemoney/61535