下载文档原格式
组策略与OU中的组没有关系,不要混淆了。
系统管理员可利用组策略来管理AD数据库中的计算机与用户。
例如:用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的脚本文件、文件重定向、软件安装等。
一、组策略的基本概念1、组策略的设置数据保存在AD数据库中,因此必须在域控制器上设置组策略。
2、组策略只能够管理计算机与用户。
也就是说组策略是无法管理打印机、共享文件夹等其它对象。
3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU)4、组策略不适用于WINDOWS9X/NT的计算机,所以应用到这些计算机上无效。
5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略来管理。
注意一下:本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置与用户设置。
GPO的特性:组策略的设置数据都是保存在“组策略对象“(GPO)中,GP O具有以下特性:1、GPO利用ACL记录权限设置,可以修改个别GPO的A CL,指定哪些人对该GPO拥有何种权限。
2、用户只要有足够的权限,便能够添加或删除GPO,但无法复制GPO。
当AD域刚建好时,默认仅有一个GPO--DEFA OLT DOMAIN POLICY。
这个GPO可用来管理域中所有的计算机与用户。
若要设置应用于组织单位的组策略,通常会再另行建立GPO,以方便管理。
GPO的内容:GPO有两大类策略:1、计算机设置:包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。
2、用户设置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。
下面来看下打开属性可以看到这里只有一个,而且是默认的。
点编辑来到这个默认GPO编辑器。
在这个域树结构中,计算机设置和用户设置称为节点(NODE)而这两个节点又都包含了软件设置、WINDOWS设置和系统管理模块三个子节点。
介绍如下:软件设置:此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。
四川省烟草专卖局(公司) 效能协同平台管理员操作手册AD域控及组策略管理版本号1.0日期:2011年6月山东浪潮齐鲁软件产业股份有限公司文档修订记录ﻬ目录一、ActiveDirectory(AD)活动目录简介4ﻬ1、工作组与域的区别 (4)2、公司采用域管理的好处 (4)3、ActiveDirectory(AD)活动目录的功能ﻬ6二、AD域控(DC)基本操作 (6)1、登陆AD域控.................................................................................................................. 62、新建组织单位(OU)8ﻬ3、新建用户10ﻬ4、调整用户11ﻬ5、调整计算机14ﻬ三、AD域控常用命令15ﻬ1、创建组织单位:(dsadd)15ﻬ2、创建域用户帐户(dsadd)............................................................................................ 153、创建计算机帐户(dsadd)ﻬ154、创建联系人(dsadd)16ﻬ5、修改活动目录对象(dsmod)16ﻬ6、其他命令(dsquery、dsmove、dsrm)17ﻬ四、组策略管理................................................................................................................... 191、打开组策略管理器19ﻬ2、受信任的根证书办法机构组策略设置ﻬ203、IE安全及隐私组策略设置ﻬ254、注册表项推送30ﻬ五、ﻬ设置DNS转发33ﻬ一、Active Directory(AD)活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于:1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。
Windows XP 安全指南第 2 章:配置Active Directory 域基础结构更新日期:2006年07月17日本页内容概述支持安全管理的OU 设计支持安全管理的GPO 设计域级别组策略密码策略设置帐户锁定策略设置用户权限分配设置安全选项设置Kerberos 策略OU 级别组策略组策略工具总结概述组策略是Active Directory® 目录服务的一个功能,它便于管理Microsoft® Windows Server™ 2003 和Microsoft Windows® 2000 Server 域中的更改和配置。
但是,在将组策略应用于环境中带有Service Pack 2 的Microsoft Windows XP Professional 客户端计算机之前,您需要在域中执行某些基本步骤。
组策略设置存储在Active Directory 数据库的组策略对象(GPO) 中。
GPO 链接到容器,这些容器包括Active Directory 站点、域和组织单位(OU)。
由于组策略与Active Directory 紧密集成,在实现组策略之前有必要对Active Directory 结构和不同设计配置选项的安全含义进行基本的了解。
有关Active Directory 设计的详细信息,请参阅《Windows Server 2003 安全指南》的第3 章“域策略”。
组策略是确保Windows XP 安全的重要工具。
本章提供有关如何使用组策略从中心位置在整个网络中应用和维护一致安全策略的详细信息。
本指南为企业客户端(EC) 环境和专用安全- 限制功能(SSLF) 环境提供选项。
对于桌面客户端计算机和便携式客户端计算机,本章中建议的设置是相同的。
它们均是在域根级别而非OU 级别应用的特殊设置。
例如,Windows Server 2003 和Windows 2000 Server 域的密码和帐户锁定策略必须通过域根链接的GPO 进行配置。
Active Directory域用户和组管理
一、实训要求
1、创建域用户账户;
勾勾去掉
右键该用户-属性
右键该用户出来选项
禁用用户,就是不使用该用户,冻结它
重新设置密码
此勾勾要是勾上则下次登录强制修改密码
移动用户至其它OU
删除用户
重命名
4、用户配置文件(默认,本地,漫游,强制,临时);默认为本地
漫游
在服务器上C盘根目录建立共享文件夹
删除其它权限添加张三,并给张三所有权限
添加NTFS权限
添加用户主文件夹并配置路径
登录客户机XP1
强制
将此文件后缀名改为man就可以了
临时
取消共享主文件夹
客户机登录管理员账户
删除此文件夹
注销客户机登录张三
5、用户主目录;
6、组的创建;
7、组的规划:
新建用户李四
将张三加入销售部
设置销售部文件夹权限为只允许销售部的组访问
由于张三加入了销售组,所以打开了
而李四没有加入销售组,所以无法访问
1)AGDLP原则;
A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。
A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
2)AGGDLP原则;
3) AGUDLP原则;
4) AGGUDLP原则;
三、总结。
Active Directory组策略一、实训要求1、用户配置实例;2、计算机配置实例;3、组策略处理规则:1)组策略执行顺序;2)组策略继承;3)组策略累加:4)组策略冲突(上下级和同一级);5)组策略禁止替代;6)组策略阻止继承;7)策略筛选;8)GPO针对某一容器的禁用;9)禁用用户设置/计算机设置。
4、用户登录注销脚本;5、计算机开机关机脚本;6、文件夹重定向。
二、实训步骤1、用户配置实例;点击服务器管理器-功能-组策略管理-林-域针对北京用户lisi让他不能使用开始菜单的运行功能创建GPO编辑GPO注销账户重新登录已经没有运行2、计算机配置实例;先把计算机移动到Beijing的OU中3、组策略处理规则:1)组策略执行顺序;父容器到子容器在到OU比如:高层父容器的某个策略被设置启用,但是其子容器策略被设置禁用,其结果是禁用2)组策略继承;子容器会继承父容器的策略比如:高层父容器的某个策略被设置启用,但是其子容器策略未设置,其结果是启用3)组策略累加:域、站点和OU都设置了策略的时候,其结果是累加在一起,如果有冲突的时候,则以处理顺序在后的策略为优先比如:域、站点都设置了同一策略为启用,而OU设置了禁用,其结果为禁用4)组策略冲突(上下级和同一级);计算机策略和用户策略冲突时,会优先计算机策略,如果计算机有多个策略冲突时,是以在前面的策略为优先。
(策略是针对同一设置)比如:计算机策略是启用,用户是禁用的时候,其结果是启用,同时计算机有三条策略针对同一设置时,其在最前面的优先配置。
5)组策略禁止替代;父容器设置了某策略,与子容器策略有冲突,并且子容器设置了组策略禁止替代,子容器还是执行自己现有策略,不改变。
6)组策略阻止继承;父容器不让子容器继承策略比如:父容器设置了某策略,如果子容器阻止继承的话,其子容器不会受到父容器策略影响7)策略筛选;当为一个OU设置了策略之后,如果您想针对某一计算机或用户不执行此策略,可以用策略筛选来做比如:针对业务部设置了开始菜单没有运行选项策略之后,如果想让业务部的经理有运行选项,就可以用策略筛选设置不执行此策略。
