一.组策略
1.组策略的概念
组策略是一组策略的集合,它加强了管理员通过活动目录数据库在站点,域或组织单位中管理控制用户和计算机的能力
2.组策略的作用
在Windows Server2008中,通过应用组策略,管理员可以很方便的管理Active Directory中的用户和计算机的工作环境,通过使用组策略,可以实现如下功能:
对域设置组策略影响整个域的工作环境,对OU设置组策略影响相应的OU的工作环境;降低布置用户和计算机环境的总费用;减少用户错误配置环境的可能性;推行公司计算机使用规范。
3.组策略的结构
1)组策略是通过组策略对象来进行管理的,即GPO(Group Policy Object,粗策略对象),被称为Active Directory中一种特殊的对象。组策略的具体设置数据保存在GPO中。
2)当Windows Server2008域创建完成时,默认有两个GPO。一个是Default Domain Policy(默认域策略),另一个是Default Domain Controller Policy(默认域控制器策略)。打开组策略控制台,单击“域”,在右侧窗口中可以看到链接的组策略对象“Default Domain Policy”。单击“Domain Contrellers”,在右侧窗口中可以看到链接的组策略对象“Default Domain Controller Policy”。
注意:默认域中策略影响域中所有的用户和计算机。默认域控制器策略影响组织单位“Domain Controllers”中所有的用户和计算机
3)SDOU(Site Domain Organizational United)
GPO用来保存组策略,必须进一步指定GPO所链接的对象,才能将组策略应用到指定的对象。GPO只能链接至Active Directory的站点,域或组织单位。站点,域和组织单位统称为SDOU(Site Domain Organizational United),即为活动目录的容器,容器中包含的用户和计算机者两种活动目录对象受到组策略的控制。站点打开的方法如下:(1)单击“开始”-“程序”-“管理工具”-“Active Directory站点和服务”-“Site”,既可以看到一个默认站点为“
Default-First-Site-Name”(2)在“组策略管理”控制台中,也可以看到“站点”节点,单击“Default-First-Site-Name”,在右侧窗口中显示“链接的组策略对象”选项卡
注意:
活动目录中的站点时从物理上抽象出来的概念,站点由一个或几个通过高速链路连接在一起的IP子网组成。站点和域的关系如下:一个站点可以有多个域。例如,一个局域网办公网络可以看成一个站点,在这个站点中可以创建多个域;一个域中也可以有多个站点。例如,一个公司在北京和上海都有办公网络,北京和上海的局域网可以看成两个站点,而这两个站点的计算机可以在一个域中;优化复制;使用户能够使用可靠,高速的连接登录到域控制器上。
4)GPC(组策略容器)与GPT(组策略模板)
GPO的组件存储在两个位置:GPC(组策略容器)与GPT(组策略模板)。
GPC:GPC是包含GPO属性和版本的活动目录对象。在“组策略管理”控制台中,单击“Default Domain Policy”,在右侧窗口中选择“详细信息”,可以看到GPC的相关信息
GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构。当创建一个GPO时,就会相应地创建GPT文件夹层次结构。GPT包含所有的组策略设置信息。GPT文件夹得名称是GPO的全局唯一标识(GUID)
二.计算机与用户配置
1.组策略中包含计算机配置和用户配置。计算机配置对容器中的计算机起作用,用户配置对容器中的用户起作用
2.计算机配置
1)计算机配置包括策略和首选两个部分。配置这些策略后,容器中所有的计算机都会受到影响。也就是说,如果计算机配置应用到某个容器上,那么任何域用户使用此容器中的计算机都会受到影响。
2)计算机配置包括策略和首选两个部分,而策略中主要包括:软件设置,Windows设置和管理模板三部分
3.用户配置
1)用户配置包括策略和首选两个部分。配置这些策略后,容器中所有的用户都会受其影响。也就是说,如果用户配置应用到某个容器上,那么,此容器中的用户在任何一台计算机上登录都会受到此策略的影响。
2)用户配置包括策略和首选两个部分,而策略中主要包括如见设置,Windows设置和管理模板三个部分
三.组策略的应用规则
1.继承与组织继承
默认情况下,下层容器会继承来自上层容器的GPO。组织单位会继承域的组策略;组织单位会继承上级组织单位的组策略。
2.累加
如果容器中多个组策略设置不冲突,则最终的;有效策略是所有组策略设置的累加。
3.应用顺序
组策略按照以下顺序被应用,LSDOU,它表示本地Local,站点Site,域Domain,组织单位Organization Unit。在默认情况下,当策略设置冲突时,后应用的策略将覆盖前面的策略。
注意:组策略的应用顺序如下:(1)首先应用本地组策略对象(2)如果有站点粗策略,则应用之(3)然后应用域组策略对象(4)如果计算机或者用户属于某个OU,则应用OU上的组策略对象(5)如果计算机或用户属于某个OU的子OU,则应用子OU上的组策略对象(6)如果同一个容器下链接了多个组策略对象,则按照链接顺序从到小逐个应用
4.强制生效
强制生效的优先级最高
5.筛选
上面介绍的GPO都是应用于容器下的所有用户和计算机。筛选功能可以实现阻止一个GPO应用于容器内部的特定用户和计算机。
例如一:在Windows Server2008域中,Sales-OU中包含多个普通用户User1,User2……,一个经理帐户Manager,希望Manager登录后可以随意更改墙纸,而其他拥护用户登录后不能更改墙纸,具体实现方法如下:(1)打开“组策略管理”控制台,在Sales-OU下创建一个组策略Sales-OU Policy,设置“用户配置”-“策略”-“管理模板”-“桌面”-“阻止更改墙纸”,在属性设置页面中将“阻止更改墙纸”设置为“已启用”。(2)在“组策略管理”控制台中,单击“Sales-OU Policy”,在右侧窗口中单击“委派”标签,单击“高级”按钮,添加Manager的拒绝读取和拒绝应用组策略权限,即可。
例如二:我们可以利用GPO的生效顺序和筛选来达到同样的效果,实现方法如下:(1)打开“组策略管理”控制台,右击“Sales-OU”,选择“在这个域中创建GPO并在此处链接”,输入新建GPO的名称“Sales-OU Policy1”,并右击“Sales-OU Policy1”,选择“编辑”,展开“用户配置”-“策略”-“管理模板”-“控制模板”-“显示”,设置“阻止更改墙纸”策略为“已启用”。(2)和上面一样,在“Sales-OU Policy上创建第2个策略“Sales-OU Policy2”,并右击并右击“Sales-OU Policy2”,选择“编辑”,展开“用户配置”-“策略”-“管理模板”-“控制模板”-“显示”,设置“阻止更改墙纸”策略为“已禁用”。(3)单击“Sales-OU Policy2”,在右侧窗口的“安全选项”中删除默认的组“Authenticated Users”,添加用户帐户“Manager”。
(4)在“组策略管理”控制台中单击“Sales-OU”,在右侧窗口“链接的组策略对象”标签下将显示已链接到该OU的组策略对象。通过单击左侧的三角形按钮调整“Sales-OU Policy2”的链接顺序为1即可。
四.利用组策略实现软件分发
1.利用GPO给容器下的计算机或者用户分发软件,需要经过以下几个步骤(1)获取Windows安装程序包文件;该程序包包含一个.msi文件以及必要的相关安装文件。(2)将安装程序包文件存放到一个软件分发点。软件分发点是服务器上的一个共享文件夹。(3)创建或修改GPO;该GPO包含软件分发的内容。
2.通过以下步骤分发应用程序MBSA(Microsoft Baseline Security Analyzer(MBSA)工具允许用户扫描一台或多台基7于Windows的计算机,以发现安全方面的常见的配置错误,并及时通过推荐的安全更新进行修补),实现方式如下:(1)打开“组策略管理”控制台。(2)右击“Sales-OU”,创建“Sales-OU Policy”。(3)右击“Sales-OU Policy”,选择“编辑”,依次展开“用户配置”-“策略”-“软件设置”,右击“软件安装”,选择“属性”,设置“默认程序数据包位置”。(4)右击“软件安装”,选择“新建”-“数据包”。(5)选择相应的.msi文件,然后在“部署软件”页面中将选择部署方法设置为“已分配”。(6)在“MBSA2.0.1”属性的部署选项页面中选择“在登录时安装此应用程序”,单击“应用”按钮。即可。
3.分发软件应注意的事项如下所述:
1)要分发的软件安装包中有.msi文件。软件分发采用Windows Installer技术,只接受符合Windows Installer封装格式的文件,这种文件称为程序包或封装,其文件扩展名为.msi。
2)软件分发点是服务器上的共享文件夹,应采用“\\服务器名或IP地址\\共享名”方式访问.
3)分配与发布的区别
“分配”:可以将程序分配到用户或计算机。分配的程序在客户机的“开始”菜单中,如果将程序分配给一个用户,在该用户登录到计算机时就会安装此程序。在该用户第一次运行此程序时,安装过程最终完成。如果将程序分配给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它。在某一用户第一次运行此程序时,安装过程最终完成。如果用户必须用软件则采用“分配”方式分发软件。
“发布”:可以将一个程序发布给用户。当用户登录到计算机上时,发布的程序显示在“控制面板”的“添加或删除程序”中,要想使用软件需要进一步安装完成。
4.修复软件
如果原来的软件分发点的安装文件也发生丢失或损坏,则必须先到服务器上修复该软件的源文件,并打开“组策略编辑器”窗口,选择源文件已更新的程序包,执行“重新部署应用程序”即可。
5.删除软件
可以在GPO中删除软件,右击要删除的程序包,在弹出的快捷方式菜单中选择“所有任务”,“删除”,弹出“删除软件”对话框,选择删除方法:如果选择“立即从用户和计算机中卸载软件”,则下一次用户和计算机登录启动时,软件会被强制删除;如果选择“允许用户继续使用软件,但阻止新的安装”,则用户和计算机仍可以继续使用软件,但不允许重新安装。
6.升级软件
在GPO中保留原来的软件包,再在GPO中新建升级后的软件包,右击升级后的软件包,选择“属性”-“升级”,单击“添加”按钮,选择要升级的软件包后,单击“确定”按钮,升级软件分为强制升级和可选升级,如果选择“卸载现有程序数据包,然后安装升级数据包”(强制升级),会强制用户将当前软件升级到新的版本;如果选择“数据包可以升级现有数据包”(可选升级),允许用户同时使用一个应用程序的两个版本。