域控制器学习笔记组策略
Posted 超凡脫俗
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了域控制器学习笔记组策略相关的知识,希望对你有一定的参考价值。
管理配置组策略
组策略介绍
- 什么是配置管理
- 配置管理是将一个或多个更改应用于多个用户或计算机的集中方法
- 配置管理的关键要素是:1-设置(具体一对多的对象有什么设置,2-范围(应用范围) ,3-应用(如何应用下去?)
使用组策略的好处(重点功能)
- 组策略是一个非常强大的管理工具(几乎可以完成所有操作,如控制面板、注册表:所有的计算机配置都可以通过注册表来实现,但是操作很麻烦),可以使用它来对大量用户和计算机强制执行各种类型的设置,通常,可以使用GPO来:应用安全设置 管理桌面应用程序设置 部署应用软件 管理文件集重定向 配置网络设置
组策略对象
GPO是:用于一个或多个策略设置的容器使用GPMC进行管理:存储在GPO容器中使用组策略管理编辑器(GPME)编辑应用于AD DS层次结构中的特定级别。
GPO范围概述:GPO范围实在GPO应用设置的用户和计算机的集合,可以使用多种方法来确定GPO的范围:将GPO链接到对象,例如OU使用安全设置过滤使用WMI筛选器过滤。
对于组策略首选项:可以根据几个条件筛选或定位您通过GPO中的组策略选项配置的设置。
GPO继承概述
GPO在客户端计算机上按以下顺序处理:本地->站点->域->OU->子OU,本地GPO站点级GPO域级GPOOU GPO,包括任何嵌套OU
组策略客户端服务和客户端扩展,组策略应用流程:开机->用户(administrator登录),组策略客户端检索GPO客户端下载并缓存GPO客户端扩展处理设置,计算机配置 节点中的策略设置适用于系统启动时,以后每隔90-120分钟应用一次:如何理解:90+30,原则上90分钟重新应用一次,大家9点上班,10点半组策略重新开始应用一次,对于网络负荷比较大,30分钟属于浮动时间,90-120在应用一次
用户配置节点中的策略设置在登录时应用,以后每隔90-120分钟应用一次
Windows Server 2016中组策略的新功能:引入了组策略的一些更改和改进,包括:1、在Nano Server上导入以下类型的策略配置:注册表设置安全设定审核设置;2、包括win10管理模板;
什么是基于域的GPO?组策略对象挂在域上就是基于域的GPO。
GPO存储
GPO是由组策略容器(GPC)和组策略模板(GPT)组成,
GPO包含组策略设置,在两个位置存储内容;
GPC存储在AD DS中,用于提供版本信息;
GPT存储在共享SYSVOL文件集,用于提供组策略设置。
什么是Starter GPO?存储管理模板设置,新的GPO会基于此设置,可以导出到.cab文件,可以导入组织的其他区域
新建的GPO可以基于创建好的源 GPO
-
委派组策略管理
委派GPO相关任务,让管理工作分摊到整个企业中
您可以独立地委派以下组策略任务:
创建GPO编辑GPO管理站点,域或OU的组策略链接在域或OU中的组策略结果数据读取域或OU中的组策略结果数据在域中创建WMI过滤器 -
什么GPO链接?
GPO链接后,该组织中的用户或计算机在GPO范围内,包括子OU中的计算机和用户。 -
组策略处理顺序
组策略的顺序非常种重要,从本地策略到子OU组策略按顺序执行,在实际场景中,在配置组策略和排除组策略时,会不清楚层级,会不清楚能否应用下去。
优先级:子OU组策略的优先级最高,最先执行。
本地策略站点组策略域组策略OU组策略子OU组策略 -
配置GPO继承和优先级
每个组织应用的组策略的效果累计起来,成为策略继承:
默认优先级:本地->站点->域->OU->子OU 在组策略继承选项卡上可见
链接顺序(GPO链接的属性):
较低编号->在列表中更高位置->优先
阻止继承在OU下
强制是在GPO下
-
使用安全筛选修改组策略范围
应用组策略的用户可以从策略中进行筛选,也可以拒绝应用组策略 -
什么是WMI筛选器
通过SQL语言进行配置(作为了解,技术难度高) -
如何启用或禁用GPO和GPO节点
在GPO下配置(未找到,下次复习自行百度看看) -
识别设置何时生效
必须刷新组策略 用户必须退出并登录,或者计算机必须重新启动 您必须执行手动刷新
配置组策略一定要有耐心,有时候出现问题需要重启、注销和刷新。 -
GPO应用的故障排除
-
刷新GPO:当您应用GPO时,请记住:启动时应用计算机设置用户设置在登录时生效策略以定期,可以配置的间隔刷新安全设置至少每16小时刷新一次使用远程组策略刷新功能,您可以远程刷新策略策略使用以下命令手动刷新:
gpupdate 命令行实用程序
Windows Powershell cmdlet lnvke-gpupdate -
什么是RSoP?
ROSP是应用于计算机或用户的GPO的净效果
cmd中输入rsop.msc,计算机的配置策略会自动打开 -
生成RSoP报告
RSoP报告显示应用于用户和计算机的实际设置
可以显示应用组策略所需的时间
您可以使用以下方法生成RSoP报告:
组策略结果向导GPResultsGet-GPResultantSetOfPolicy
目标计算机必须在线
必须启用远程WMI -
检查组策略事件日志:事件日志用于故障排除分析
-
检测组策略运行状况问题:在组策略管理控制台中:状态选项卡显示指示组策略基础结构的运行状况的信息:域、GPO。
显示的信息包括:域控制器、组策略容器和组策略模板的权限、GPO复制、GPO版本。
无法访问或与基准域控不一致的域控制器都会加入Domain controller wiht reolication in progress列表中。
实现管理模板
-
什么是管理模板?
管理模板使您能够控制操作系统的环境和用户体验:
计算机管理模板部分:控制面板、网络、打印机、系统、基于windows的组件
用户的管理模板部分:控制面板、桌面、网络、开始菜单和任务栏、基于windows的组件 -
什么是.adm和.admx文件
.adm windows03之前使adm文件存储
admx 是08之后使用开始存储
.adm files:
被复制到SYSVOL中的每个GPO
很难定制
语言不通用
如果由许多GPO,会导致SYSVOL文件夹爆满
.admx files
语言通用
.adml文件提供本地化语言
不存储在GPO中
通过XML是可扩展
- 中央存储概述
是.admx和adml文件的中央存储库
存储在SYSVOL中
必须手动创建
管理模板是本地计算机检索(本地存储)
将C盘的PolicyDefinitions文件夹复制到DC1的共享上,本地存储就会变成中央存储
- 导入安全模板
安全模板包含以下设置:
账户策略本地策略事件日志受限组系统服务注册表文件系统 - 管理管理模板
通过以下方式扩展管理模板集:
创建新模板或下载可用模板将模板添加到中央存储,以便设置在所有GPO中可用在GPO中配置设置部署GPO
.admx文件可用于Microsoft和第三方应用程序 - 配置文件集重定向和脚本
- 什么是文件夹重定向?
文件夹重定向允许文件位于网络服务器上,会显示得像位于本地驱动器上一样。
举例:把常用文档放在桌面,桌面位于C盘,可以使用组策略实现配置文件夹重定向,把用户桌面的文件提前设定好一个共享文件件,都去映射到一个共享文件夹当中,所以文件就不是存储在本地,而是存储在其他的共享文件夹里。
当然,文件夹重定向不仅针对桌面文件,还可以应用于很多场景中。
编辑默认域策略
展开用户设置-》windows设置-》文件夹重定向
- 配置文件夹重定向的设置
文件夹重定向配置选项:
当所有用户将文件保存到同一位置时,使用基本文件夹重定向当承载文件夹位置的服务器基于组成员资格时,使用高级文件夹重定向使用“跟随文档”文件强制某些文件夹成为 文档的子文件夹
目标文件夹位置选项:
在根路径下位每个用户创建一个文件夹重定向到以下位置重定向到本地用户文件位置重定向到用户的主目录(仅限文档文件夹) - 重定向文件夹的安全设置
可以根据文件夹的NTFS权限、共享根文件夹的权限、每个用户重定向文件夹的NTFS权限(较少配置) - 使用组策略管理软件(较少使用)
在计算机配置期间分配软件软件分发份共享在用户配置期间分配软件使用扩展激活发布软件使用添加或删除程序发布软件 - 应用脚本的组策略设置
您可以使用脚本执行许多任务,例如清除页面文件,映射驱动器以及清除用户的临时文件夹
脚本语言包括VBScript、Jscript、windows powershell和命令、批处理文件
您可以将组策略脚本设置分配给:
1、对于计算机:启动、关闭脚本
2、对于用户:登录、注销脚本
配置组策略首选项
- 什么是组策略首选项?
组策略首选项扩展扩大GPO中可配置的范围:
可以使用组策略无法管理的设置
可以创建、删除、替换、更新
类别包括映射驱动器、快捷方式、注册表更改、电源选项、计划任务和Internet设置
1、条件筛选
2、人性化界面
3、非强制配置
如何理解非强制配置:在DC中配置一个组策略,地下的用户都必须应用到这些组策略,在实际中,系统管理员给新入职人员配置计算机时,计算机浏览器都有一个默认网站,一般默认网站的内容都是公司的主页,如果是组策略配置的,那么就是无法修改,强制执行,但如果是首选项,那么就是非强制配置,可以进行修改。
4、根据变化选择应用
当我们给客户端设置一个网盘,在C盘小于等于9G就会映射一个网盘,大于则不映射,根据变化来选择应用。 - 比较组策略首选项和组策略设置
最大区别:组策略强制、首选项可以修改,非强制
以上是关于域控制器学习笔记组策略的主要内容,如果未能解决你的问题,请参考以下文章