AD域组策略


组策略和安全设置

组策略应用范围分类

一、本地组策略:只应用在本地计算机及用户,可以看做是一个本地的策略

二、组策略(域内的GPO):影响域内的计算机及用户。

组策略属性分类:

无论是本地组策略还是域内的组策略,他们都有计算机配置用户配置两种属性。计算机配置影响的是计算机环境,而用户配置影响的是用户环境。

计算机配置是系统设置,而用户配置是个性化使用习惯的配置。

域内组策略有效设置

   域组策略有类似组织架构的层级,域组策略的应用安装域的层级结构来应用实现。

   域内的组策略按组织单位层级来应用,计算机和用户最终的策略为范围内策略的继承,若有冲突最后有效设置取最接近用户层的GPO。本地计算机策略优先级最低。

   组策略内有对应的继承,里面的优先级显示为1.2.3...依次递减,以1为最优选项执行。策略内未设置的项将会自动继承

例,创建组织单位TEST,组织单位内设置策略gpo01与Default Domain Policy冲突,最后TEST应用的策略为gpo01加上Default Domain Policy,冲突部分为gpo01。

冲突取靠近用户层的策略


组策略权限:用户和计算机对GPO默认有读取权限,所以默认所有的计算机和用户都会应用GPO,当想让某用户或计算机不应用某个组策略,可以将此计算机或用户在委派中设置对GPO读取权限和应用组策略为拒绝。



默认组策略GPO

域中有两个默认的GPO

1.Default Domain Policy

此GPO将应用于域内所有的计算机和用户(谨慎更改)

2.Default Domain Controllers Policy

此GPO主要应用于域控制器组内的计算机和用户

安全策略

最主要掌握设置:安全设置中的1.账户策略2.本地策略(用户权限分配、安全选项)

本地安全策略设置与域安全策略设置冲突时,执行域安全策略。

安全策略更改后何时应用到域内计算机:

1.本地安全策略有变动

2.本地计算机重启

3.域控制器每15分钟自动应用,普通域内计算机每90-120分钟更新一遍,所有计算机每16小时强制更新即使安全策略没有更改。手动强制更新:gpupdate /force

举例一个组策略的应用,

在域控制器中创建一个共享文件夹,并且在组策略中创建一个映射驱动

可以使得有权限的用户每次登录计算机,自动添加一个共享盘符,此盘符实际是域控制器中的共享文件夹


1.创建组织单位统一管理域用户


创建名为技术部的组织单位


2.创建用户、组等等

可以在组织单位中创建用户



登录的名要加上域名


3.域组策略管理器



4.创建GPO

可以将组策略连接到组织结构,统一为组织结构中的各种单位设置组策略




5.编辑组策略


创建映射驱动

下面详细设置


设置共享文件夹的路径,勾选每次开机重新连接,设置显示的盘符


登录域用户查看效果





声明:MINI-HAVEN|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - AD域组策略


MINI-HAVEN