AD组策略管理
系統內置的兩個組策略
- Default Domain Policy:此GPO已經被連接到域,因此這個GPO內的設置值會被應用到域內的所有用戶與計算機。
- Default Domain Controllers Policy:此GPO已經被連接到組織單位Domain Controllers,因此這個GPO的設置值會被應用到Domain Controlers內的所有用戶與計算機。Domain Controllers 內默認只有扮演域控制器角色的計算機。
策略設置和首選項設置
首選項
只有域的組策略才有首選項設置功能,本地計算機策略無此功能
首選項設置是非強制性的,客戶端可以更改設置值
策略設置
策略設置是強制性設置,客戶端應用后就不可更改(有些設置值雖然客戶端可更改,但是下一次組策略更新時,仍然會被更改為組策略設置的值)
策略設置優先級比首選項高
GPO內的計算機配置和用戶配置應用時間時機不相同
計算機應用的時機
開機會自動應用
若計算機已經開機:
域控制器默認5分鐘自動應用
非域控制器默認90~120分鐘自動應用
不論策略設置值是否發生變化,每隔16小時都會自動應用一次安全設置策略
手動:gpupdate?/target:computer /force
用戶配置的應用時機
用戶登錄時自動應用
若用戶已經登錄,默認90~120分鐘自動應用一次
不論策略設置值是否發生變化,每隔16小時都會自動應用一次安全設置策略
手動應用:gpupdate /target:user /force
手動同時應用計算機和用戶組策略配置:gpupdate /force
組策略的處理規則
一般的處理規則
組織單位GPO>域GPO>站點GPO>計算機本地策略
若將多個GPO鏈接到一處,則有效設置是這些GPO的設置總和;但若GPO間有沖突,則鏈接順序排在前面的GPO設置優先
?阻止繼承和強制繼承策略
強制繼承策略優先級大于阻止繼承策略
過濾組策略設置
當針對組織單位創建組策略后,該組策略設置會應用到該OU下的所有計算機和用戶;若想設置“不應用到該OU下的特定用戶或計算機”,可通過設置GPO委派權限達到該目的
選擇GPO“委派”,點擊“高級”
選擇“添加”
?
?添加對應的用戶名
勾選拒接應用組策略,確定
?拒絕權限優先于允許權限
?更改組策略應用時間
設置計算機配置應用時間
編輯組策略—計算機—管理模板—系統—組策略—?計算機組策略刷新時間
若應用時間間隔設置為0的話,則7秒鐘應用一次
若要更改域控制器之間的GPO應用時間,則需要在Domain Controllers內的GPO進行設置
設置用戶配置應用時間
編輯組策略—用戶—管理模板—系統—組策略— 用戶組策略刷新時間
默認90~120分鐘應用一次,若應用時間間隔設置為0的話,則7秒鐘應用一次
賬戶策略
計算機配置—策略—Windows設置—安全設置—賬戶策略
1.針對域用戶所設置的賬戶策略需要域級別的GPO設置才有效,通過站點或組織單位的GPO設置的賬戶策略對域賬戶無效(只會應用到此組織單位下的計算機的本地賬戶)
2.域級別GPO賬戶策略作用范圍是:所有域賬戶和所有計算機本地賬戶
3.組織單位GPO和域GPO賬戶策略有沖突,則計算機本地賬戶會采用域的設置
4.計算機本地賬戶策略和域/組織單位賬戶策略有沖突,則采用域/組織單位賬戶策略設置
打開屬性編輯器查看對象屬性
打開AD用戶和計算機——點擊高級功能——點擊對象,右鍵屬性——點擊屬性編輯器
?組策略委派管理
GPO鏈接委派
將GPO鏈接到站點、域或組織單位的權限
選擇組織單位——點擊委派——添加或刪除
?編輯GPO委派
編輯GPO 的權限
選擇GPO——點擊委派——添加或刪除
新建GPO的委派
新建GPO的權限?
系統默認的Group Policy Creator Owners 組只有對自己創建的GPO有編輯權限?
組策略對象——點擊委派——添加或刪除
操作實例
設置指定組織單位的用戶無法更改代理設置
1.設置代理服務器
打開IE瀏覽器,點擊連接,選擇局域網設置
2.創建組策略?
?
?編輯組策略:右鍵選中的組策略,選擇編輯;選擇用戶配置,點擊管理模板
展開Windows組件,選中IE,開啟“阻止更改代理設置”,設置
?
?3.更新組策略
運行命令:gpupdate /force
?開放“允許本地登錄的權限”
未設置該策略的情況:普通域賬號不能登錄
?
?右鍵編輯Default Domain Controllers Policy
?展開Windows設置,展開安全設置
?選擇本地策略,選擇用戶權限分配,點擊“允許本地登錄”,
?選擇添加用戶或組
?添加Domain Users組
?更新組策略:gpupdate /force
使用組策略限制訪問可移動存儲設備
以組織單位來說,若是針對計算機配置來設置策略,則任何域用戶登錄這個組織單位的計算機都會受到限制;若針對用戶配置來設置策略,則此組織單位下的所有用戶登錄任何一臺服務器都會受到限制
選擇計算機策略——管理模板——系統——?可移動存儲訪問,開啟“所有可移動存儲類:拒絕所有權限”
?
使用組策略的首選項管理用戶環境
?1.自動為用戶映射網絡驅動器
域管理員登錄域控,編輯組策略,新建映射驅動器
?輸入共享文件夾路徑,選擇驅動器號
選擇常用,勾選項目級別目標,點擊目標
新建項目,點擊組織單位?
選中sales組織單位,確認應用
?2.將在成員計算機登錄的域用戶添加到本地Administrators組
域管理員登錄域控
編輯組策略——用戶配置——首選項——控制面板設置——本地用戶和組——新建本地組
操作選擇更新,選擇Administrators組,勾選添加當前用戶,然后應用
3.檢查?
以普通域用戶登錄成員計算機
計算機分配軟件部署
?
?1.創建sofaware共享目錄
?
?2.將需要安裝的軟件包拷貝至共享目錄
3.編輯Defalult Domain Policy策略
選擇計算機配置——策略——軟件設置——軟件安裝
輸入共享目錄路徑后選擇安裝包?
?選擇已分配
等待軟件分配
4.檢查
使用域賬號登錄成員服務器,更新組策略后,發現軟件已被安裝
使用命令:gpresult -h c:\result.html,檢查組策略更新狀態
?
總結
- 上一篇: bindingResult
- 下一篇: [云原生专题-59]:Kubespher