组策略
组策略基本概念
组策略配置
组策略的组策略配置和安全设置
组策略其他应用
组策略排错
组策略的基本概念
组策略组成
域的GPO组成
管理工具:GPMC.msc
配置文件:GPT+GPC
组策略模板配置文件(GPT):每个组策略的配置文件的模板&模板文件
组策略信息(GPC):
每个组策略在域中会有唯一的一个ID(GUID),在SYSVOL文件夹中,使用GPO的GUID为每个组策略的配置信息
每个GOP的GUID文件夹,在SYSVOL文件夹中,默认复制到当前域的所有域控制器,通过DFS服务实现域控制器的SYSVOL文件同步
组策略模板(ADMX)
默认所有的windows系统共有的一个文件夹(PolicyDefinitions),可能因为系统版本不同,导致文件夹中的模板不同
中央存储:当前域的域控制器中,所有的SYSVOL文件中会自动同步名称为PolicyDefinitions的文件夹,自动使用该文件夹中的ADMX模板文件来代替本地的策略模板文件
扩展管理模板(admx)
使用现有的其他应用的管理模板:office 2013 admx templates
将官方的admx模板文件夹,直接拷贝到域控制器中的SYSVOL-Policy中央存储策略定义(PolicyDefinitions)文件夹中,即可完成扩展
自行创建和修改admx模板
admx template editor
组策略管理(GPMC.msc):在部署组策略之前,必须针对AD域数据库的组织单位(OU)进行规划
组策略的应用顺序:L(本地)S(站点)D(域)OU(组织单位)
当客户端接收到域控制器发给的组策略的配置文件的应用顺序
客户端本地-配置文件(L)
客户端接收站点-配置文件(S)
客户端接收域-配置文件(D)
客户端接收组织单位-配置文件(OU)
由上至下的覆盖,默认OU&子OU的组策略优先
OU中可以定义不继承来自上级OU&域的策略
指定的GPO对象可以强制下级OU&子OU必须应用该策略(即使在OU中设置阻止,被定义强制的GPO也会应用)
组策略对象(GPO)管理
创建,链接,禁用和备份还原和导入导出
创建:创建组策略时,会在SYSVOL文件夹中,自动生成和该GPO同名(GUID)的组策略文件夹
链接:将配置好的策略应用到指定的OU&域范围中
删除
删除链接:在域&OU中删除指定GPO时为删除挂载到当前位置的链接,不会影响该GPO链接到其他位置
删除GPO
在GPO容器中删除GPO时,会导致,该GPO的同名文件夹会被删除,该GPO的所有链接会被删除
禁用GPO设置
在每个GPO的设置中,可以定义该GPO的设置生效范围(用户、计算机、全部)
备份还原:
可以备份当前域的指定&所有组策略,还原-只能还原当前域备份过的组策略
导入GPO设置
新建的GPO可以导入本地域&其他域的指定GPO备份的设置
查看和配置指定的GPO
应用范围
链接:当前组策略对象(GPO)挂载的所有位置
安全筛选:定义在链接范围内的应用该GPO的用户、计算机、组等等
WMI筛选
根据当前域的数据库中的对象的相关属性进行自动筛选,需要使用标准的T-SQL语句在指定的数据库位置进行查询
http://www.nogeekleftbehind.com/2016/01/19/os-version-queries-for-wmi-filters/
GPO的摘要信息
GPO的设置
显示当前GPO已经被配置了哪些设置
GPO的委派
指定下级管理用户对该策略的相关权限
GPO的状态
当前GPO的复制和挂载状态(只有在GPO容器中可以查看)
StarterGPOs
组策略的组策略模板:可以将大部分组策略的通用设置(防火墙,IE代理等)配置为StarterGPO模板,在创建组策略对象时,直接应用该StarterGPO模板,避免重复配置
站点的GPO配置:无法创建只能链接GPO,不推荐在该级别配置GPO
组策略建模
用于检查当前网络、域控制器、等等环境在部署组策略对象时是否会有问题
组策略结果
用于检查指定的计算机&用户在应用组策略对象时的状态
要求检查的计算机必须在防火墙入站规则中运行WMI远程管理
组策略的典型配置
组策略的组策略设置和安全配置
组策略的组策略设置:每个组策略GPO中,默认都会有该GPO的设置
组策略的默认更新时间:90-120分钟
强制更新:客户端执行:gpupdate /force
组策略的慢速连接:检查客户端到域控制器之间的网络默认低于500kbps值,导致一些策略&脚本无法推送
组策略的组策略设置
安全和应用相关
账户策略
密码策略:定义指定范围(OU)的客户端的密码使用规范
组策略定义的密码策略:OU中唯一
域功能级别2008R2以上:颗粒化密码策略:可以将密码策略指定到用户&组,优先级高于组策略中的密码策略配置
账户锁定策略
基于组策略设置
基于域安全机制:普通域用户在后端尝试更改域管理员密码,当超过一定次数后,会被AD基于安全机制自动锁定
一般由于病毒引起
Kerberos策略:
AD默认身份验证协议:NTLM和Kerberos ,对时间非常敏感,默认不能超过5分钟
https://baike.baidu.com/item/Kerberos/5561682
本地策略
审核:小规模使用组策略配置,大规模考虑第三方解决方案
用于简单对象&操作的记录
普通审核:指定对象的操作
高级审核:AD对象的操作
用户权限管理
基于用户的合规
安全选项:
访问AD资源时,基于合规考虑的内容和配置
系统日志:定义指定服务器本地日志-时间查看器
系统服务:定义指定计算机&客户端本地服务器的状态(系统服务的配置)
高级防火墙策略:
指定计算机的默认防火墙规则:入站规则
公钥策略:和AD集成的证书服务器相关的配置(AD CS):自动申请计算机证书
软件限制和应用程序控制器
用于管理客户端软件的使用、安装等操作
基于策略的Qos
用于定义指定计算机的网络状态和信息:限制网络速度、为指定的数据包标识
其他典型设置:
组策略:以单个功能的设置定义每个GPO,不建议多个设置在同一个GPO对象中
组策略首选项:
非强制,如果配置和GPO冲突,GPO生效
代替原脚本的部分功能
文件夹重定向:
用户文件夹重定向到指定的文件服务器中(重要&敏感),适用于固定的计算机设备
脚本:
脚本类型:传统VS脚本文件:*.vs结尾
Powershell脚本:*.ps1结尾
脚本应用:计算机脚本:启动&关闭计算机时生效
用户脚本:登陆&注销时生效
脚本位置:不可以更改默认脚本在GPO对象文件夹的位置
推荐操作:将脚本文件放置于桌面,添加脚本将桌面的脚本文件直接拖拽到默认脚本位置,禁止在脚本位置中选择脚本位置
软件部署
默认只支持微软的文件部署类型(MSI)
其他的软件部署方式:依赖脚本自动部署
System Center Configuration Manage(SCCM)软件管理
第三方
部署类型:
强制安装:静默安装,重启系统生效(分配)
可选安装:用户在“程序和功能”中可以手动选择,安装后生效(发布安装)
组策略排错
基本:域控制器之间的组策略文件夹的状态
管理:组策略的应用顺序
配置:组策略设置:共享位置,配置
客户端应用:
应用了哪些策略:gpresult.exe /R
应用该策略的设置:RSOP.msc
服务账户:
默认环境当部署指定服务时,一些服务需要通过AD域访问域中资源,需要该服务使用指定的AD账户运行,该账户只能时普通域用户、密码状态为“永不过期”、一般还具有本地管理员账户权限,不能单独使用该用户访问域中的资源
服务托管账户:使用AD集成的Powershell创建,可以应用到指定的服务中
转载于:https://blog.51cto.com/zanghaitao/2105635
扫一扫
6841
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
