组:权限相同的用户集合

  • 组的类型:

安全组:可以用于权限分配也可以用于邮件发布

分布组:只能用于右键分布

  • 作用范围

本地域组:包含任意域内的用户,全局组,通用组,本地域内的本地域组,只能访问本域

全剧组:主要用于组织用户,包含相同域内的用户与全局组可以访问所有域

通用组:主要用于组织用户,包含所有域内的用户,全局组,通用组,可以访问所有域

  • 组与用户的管理原则

A:用户账号   G:全局组     DL:本地域组      P:权限

权限管理原则:

共享权限:限制用户通过网络访问时的权限

安全权限:限制用户通过本地以及网络访问时的权限

累加性:当一个用户同时属于多个组时,权限是累加的

继承性:子文件夹会继续继承上级文件夹的权限

拒绝权限:当一个用户同时属于多个组时,一个允许一个拒绝,则拒绝优先

 

文件服务器:


组策略:主要是用于系统管理员管理和控制用户账号以及终端的功能。其目的是提升工作效率,减少工作负载。

组策略功能:
账号策略:  密码、账号锁定等
本地策略: 用户权限、安全性的设备等
脚本策略: 开机、关机、登录、注销
软件安装与删除: 软件的安装、更新、删除
用户的工作环境:  用户的桌面、 系统设置等
其他:   移动介质、重定向等。

 

组策略可以设置到计算机,也可以设置用户上
计算机策略:  当计算机开机时生效,DC5分钟生效,非DC15生效。90-120分钟自动刷新。
用户策略:    当用户登录时生效,90-120分钟自动刷新

强制刷新:  gpupdate /force


/Target:{Computer | User}

只刷新用户:gpupdate /target:user

 

组策略对象:GPO
GPO又包含 GPT、GPC
GPT:组策略模板,实际配置信息
GPC:组策略容器,属性值(版本)


GPO可以放置在站点上、域上、OU上
应用到

组策略的规则:
1. 继承性: 子对象继承父对象的策略,子对象有权限拒绝继承,也可以强制继承。

2. 累加性: 父对象策略和子对象累加生效

3. 冲突:  站点<域<OU


实例: 针对域中所有用户允许设置简单密码。

服务器管理器——工具——组策略——default domain policy——右键——编辑

image

设置最小密码长度(值为0),密码复杂性(禁用)和密码历史(值为0)

image

image

验证:新建用户jerry,密码为1

image

新建成功

image
实例: 针对域中HR的用户,密码错误三次后,锁定15分钟

组策略管理——HR——右键——第一个

image

image

右键——编辑

image

设置锁定时间和阈值

image

更新组策略

image

使用jerry用户输入三次错误密码,之后用户既被锁定

使用管理员登陆查看用户的属性

image

注:也可更改default domain  policy的账号策略实现以上实验