域环境策略应用过程理解梳理

背景

域控多用于办公桌面环境,或者采用域控进行身份验证的环境;这里就以典型的桌面应用环境来梳理,当用户使用功能桌面客户端或浏览器访问桌面时,桌面连接服务器会去访问域控,查找响应域策略,写到自己的注册表里,然后应用组策略,那么这个过程大体上可以分为两步,第一步是验证过程;验证通过后,客户端会去找DC查询需要应用哪些组策略,然后应用。

过程分析

1、 客户端查找DC并进行身份验证

  1. 客户端通过自身的netlogon服务,去向DNS服务器查找域内的PDC、GC、KDC、LADP等SRV记录;先查询站点内的前述记录,若无,则查找全局内的上述记录。

  2. 查找到相关记录之后,DNS会按照优先级和权重排序返回各项记录,客户端会按照先后顺序去连接第一个服务器的LDAP协议的389端口;若第一个不响应,则去连接第二个。

  3. 直到某一个DC响应后,客户端检查DC是否有其需要的相关信息。如果有,客户端开始登陆,哪个DC先响应请求,客户端就找其做身份验证。

  4. 客户端缓存DC的相关信息,以便在下次登录的时候直接使用。

以上是客户端查找DC验证的过程,实际上,在验证通过后,就会去DC上查找应用相应域策略;

2、 应用域策略过程

  1. DC启动时,会向DNS宣告自己的角色,DNS服务器接受宣告后,更新DNS数据库中DC对应的资源SRV记录。

  2. 客户端登录时会联系DNS服务器,寻找适当的DC进行身份验证,验证通过后,DC告诉客户端所属的站点信息,域信息,以及OU信息。

  3. 客户端获取到域和口令信息后,就会找到相应的域控,会检查它所在的OU中链接了哪些组策略,就可以查询到正确的GPO列表。并去检查每一个GPO的最新版本,这部分数据存储在AD数据库的GPC数据中。

  4. 客户端按照域策略管理界面中的配置去应用相应组策略,其获取到这些组策略的最新版本后,就会去查找GPO的GPT部分,即每一条组策略的配置信息部分。这部分数据存储在默认域共享的sysvol文件夹中。然后根据Unique ID 找到Sysvol文件夹定位对应的组策略模板。根据组策略模板中信息检查设定了哪些策略,检测到了就执行相应的操作。

  5. 当客户端拿到域策略后,其实它不是下载到本地,而是当客户端检测到该域策略后,就会将相应的配置写到相应的注册表中,即组策略生效了。如果没有权限的客户端,就不会将更改或配置写进注册表。

3、组策略的应用顺序

组策略包含两种配置对象计算机配置和用户配置,计算机配置是针对计算机所有用户的配置生效,用户配置是针对当前域用户配置生效。如果组策略针对计算机配置需要客户端重启系统才能生效,如果组策略针对用户配置需要客户端注销才能生效。

组测策略执行的顺序是本地组策略–>站点–>域–> OU。简单的说,客户机应用组策略的流程有以下几个步骤:

  1. 客户机启动,执行本地安全策略。

  2. 客户机连接到网络,查询DC获取要应用的GPO列表。同样是按照站点–>域–> OU这样的一个顺序。

  3. 客户机根据GPO列表,连接到Sysvol文件夹定位对应的组策略模板。

  4. 客户机根据组策略模板中信息执行相应的操作,即将组策略中的配置写入客户端自身的注册表中。

  5. 计算机策略执行完成后,出现登录界面,用户登录。

  6.  用户验证通过后,用户查询DC获取要应用的GPO列表。同以上步骤,最后执行应用**用户策略**。
    

4、验证:

1)在客户机cmd中输入gpresult可获取到客户机当前应用了哪些策略。

gpresult /r  //列出所有当前客户机和当前用户应用到的域策略,官方解释r参数就是显示 RSoP的统计信息的。

gpresult /z //详细显示有关组策略的所有可用信息。这包括优先级为1或更高的详细设置。

帮助链接:https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/gpresult

2)利用rsop.msc(result set of policy)工具,图形化查看:
在这里插入图片描述
在这里插入图片描述
计算机或用户配置,右键属性里查看应用的组策略:
在这里插入图片描述

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 黑客帝国 设计师:上身试试 返回首页