網路目錄服務:實現組策略

zgeyzq發表於2008-04-19

11   組策略介紹

組策略是管理員為網路中的使用者和計算機等進行定義並控制程式、網路資源及操作行為的主要的、有效的技術手段。它能同活動目錄中的容器連線起來,並由Windows連續的執行使用。它提供了管理網路的巨大能力。

1.1.1 管理和設定組策略的工具

可以使用幾種管理工具來管理組策略設定,其中包括:
  • MMC管理單元:可以採用組策略物件編輯器 Microsoft 管理控制檯 (MMC)管理單元來進行本地和域中的組策略設定。
  • 帶有 Service Pack 1 的組策略管理控制檯 (GPMC)。GPMC 通過簡化組策略的管理擴充套件了預設組策略物件編輯器,從而更容易瞭解、部署、管理組策略的實施和對組策略的實施進行故障排除。GPMC 還允許通過指令碼自動完成組策略操作。
  • 提供其他策略設定的第三方擴充套件。可用第三方的應用程式來進行組策略的設定。
1.1.2 組策略可以執行的操作
組策略包括影響使用者的“使用者配置”策略設定,以及影響計算機的“計算機配置”策略設定。通過使用組策略,您可以執行以下操作:
  • 使用“管理模板”管理基於登錄檔的策略。組策略建立一個包含登錄檔設定的檔案,這些設定將寫到登錄檔資料庫的“User”或“Local Machine”部分。
  • 分配指令碼。這包括諸如計算機啟動、關機、登入和登出之類的指令碼。
  • 重定向資料夾。您可以將“My Documents”和“My Pictures”等資料夾從本地計算機上的“Documents and Settings”資料夾重定向到網路位置。
  • 管理應用程式。您可以通過使用“組策略軟體安裝”來分配、釋出、更新或修復應用程式。
  • 指定安全選項。即配置本地計算機以及網路中計算機的安全性。
  • IE介面。管理和定製微軟Internet瀏覽器的設定。
  • 遠端安裝服務。執行遠端安裝服務(RIS)的安裝嚮導時控制使用者可能的選項。
1.1.3 組策略物件
可以通過使用組策略物件(GPO)來執行組策略。GPO是執行組策略的機構,它的元件儲存在以下兩個場所中:
  • 組策略容器(GPC):GPC是包含GPO屬性和版本資訊的活動目錄物件。一個域控制器使用版本資訊來識別它是否有最新版的GPO。如果域控制器沒有最新版本,就會從擁有最新版本GPO的域控制器上進行復制。
  • 組策略模板(GPT):GPT在域控制器的共享系統卷標資料夾裡是資料夾的層次結構,包含了組策略的設定資訊。計算機和SYSVOL資料夾連線以獲得這些設定。
GPT資料夾的名稱是建立的GPO的全域性唯一標識(GUID:是一個當物件建立時由DC分配給它的獨立一無二的128位數,唯一的標識一個物件)。它和GPC中用來識別GPOGUID是一樣的。域控制器上到GPT的路徑是:%systemroot%/SYSVOL/sysvol

12   建立組策略

GPO和站點、域或組織單位連結後,GPO的設定將應用在站點、域或組織單位的使用者和計算機上。管理員不能將GPO和預設的活動目錄容器——計算機、使用者和Builtin相連,因為它們不是OU(組織單元)
當實現組策略設定時,連結已存在的GPO的能力提供了靈活性。可以在網路中將一個GPO和多個站點、域以及組織單元連結,也可以將多個GPO和單個站點、域及組織單元進行連結。

1.2.1 建立組策略

可以建立一個已連線的組策略物件,也可建立一個未連線的組策略物件。當組策略物件已經存在時,可以直接將其與一個組織單元進行連線。
通過使用活動目錄使用者和計算機來為域和OU建立GPO,執行下面步驟:
1、開啟【Active Directory 使用者和計算機】,.右擊想建立GPO的域或OU,然後單擊【屬性】選單。
2、在出現的屬性對話方塊對話方塊中,選擇【組策略】標籤。單擊【新建】按鈕,然後為新的GPO輸入名稱。如圖所示。
 

1.2.2 連結組策略

為了連線GPO到站點、域和組織單元,必須擁有GPO所連線容器的gPLinkgPOptions屬性的讀寫許可權。預設情況下,只有域管理員組和企業管理員組的成員才有權連線GPO到域和組織單元。
為了將一個GPO連線到一個組織單元,可以採用以下步驟:
1、開啟【Active Directory 使用者和計算機】,.右擊想建立GPO的域或OU,然後單擊【屬性】選單。
2、在出現的屬性對話方塊對話方塊中,選擇【組策略】標籤。單擊【新增】按鈕,然後在已儲存GPO中選擇一個要進行連線的GPO。如圖所示。
 

13   組策略如何應用於活動目錄

組策略如何應用在活動目錄上決定了連結應用的組策略設定結果。組策略的設定結果是當存在影響使用者和計算機的多GPO和多設定時生效設定。為了想得到想要的結果,必須知道如何確定組策略的設定結果,否則可能配置從未使用的設定。

1.3.1 如何處理組策略

Windows 2000按特定順序和確定時間間隔處理組策略設定。當計算機啟動和使用者登入時,Windows 2000首先處理計算機設定,然後處理使用者設定。當在處理計算機設定時,執行開始選單的命令。當在處理使用者設定時,執行登入命令。
組策略的處理髮生在客戶端。組策略通過許多作為客戶端擴充套件的不同動態連線庫(DLLs)來處理。每個客戶端擴充套件負責處理不同型別的組策略設定。下表列出了儲存在winnt/system32中的客戶端擴充套件和對應組策略設定型別:

1.3.2 控制組策略處理

Windows2000按特定的順序處理組策略設定,該順序將影響應用策略的結果。
 同步和非同步處理
Windows啟動,系統預設就開始從每個GPO“計算機配置”這部分開始同步地按下列順序處理策略設定:本地、站點、域、OU。當處理完了所有基於計算機的策略,系統提示使用者登入到域。接著,系統以處理基於計算機策略時的同樣順序,同步處理基於使用者的策略。
為了加速GPO處理過程進而加快使用者登入時間,你可以指令Windows非同步的而不是同步的應用策略。非同步處理策略意味著系統可以不按順序地下載和處理策略。事實上,使用者在系統應用完所有的策略設定之前可以登入到域並且使用計算機——當然,這樣做有一定的危險。因為系統最後處理OU策略,許多管理員認為任何“真正”的策略(比如那些覆蓋了整個域的策略)都是放在計算機的OU上的。但是如果你非同步處理策略,你就失去了這個優勢。所以為了提供最大程度的可靠性操作,建議保留同步處理。
重新整理組策略
執行Windows 2000的計算機在特定時間間隔裡重新整理或應用組策略設定。如域控制器每5分鐘刷一次組策略,而Windows 20000DC成員每90分鐘(帶隨機30分鐘時間偏離量,時間偏離保證多個計算機不會在同一時間內連線DC)重新整理。
可以通過修改組策略設定來修改預設的重新整理間隔。也可以通過手動重新整理的方法來使組策略立即生效。
Windows 2000中可以採用以下的命令手動進行組策略的重新整理:
對使用者設定進行重新整理的命令為:secedit /refreshpolicy user_policy /force
對計算機設定進行重新整理的命令為:secedit /refreshpolicy machine_policy /force
Windows Serve 2003則採用gpupdate命令重新整理本地組策略設定和儲存在 Active Directory 中的組策略設定,包括安全設定。該命令可以取代 secedit 命令中已經過時的 /refreshpolicy 選項。
對使用者設定進行重新整理的命令為:gpupdate /target:user /force
對計算機設定進行重新整理的命令為:gpupdate /target:computer /force。。
也可以直接採用gpupdate /force命令進行重新整理。
組策略和慢速連線
組策略能探測慢速連線,如果探測到一個慢速連線,將設定一個標誌給客戶端擴充套件以指明該事實。如果設定了標誌,單個客戶端擴充套件將決定處理應用的組策略設定。預設情況下,如果連線速度小於500kbps(這個值可以通過組策略設定進行修改),就認為是慢速連線。
下表指出了預設的慢帶連線處理:

1.3.3 解決組策略設定的衝突

組策略設定的衝突可能發生在不同的DC上對相同GPO作出修改,也可能發生在GPO連線的應用過程中。
² 指定管理組策略物件的域控制器
如果兩相管理員在相同複製週期裡在不同的DC上對相同的GPO作出修改,有可能發生資料丟失。為了避免這種衝突所引起的資料丟失,可以通過指定管理組策略物件的域控制器來避免。
在【組策略編輯器】中,選擇【檢視】 => DC先項】,可以指定下面三種中的任一種管理GPO的域控制器:
  • 具有PDC模擬器操作主令牌的域控制器。這是預設和推薦選項。當發生衝突時以PDC上的設定為準。
  • 具有Active Directory管理單元使用的域控制器。使用當前活動目錄管理單元使用的域控制器。當選中這個選項時,組策略管理單元將使用相同的域控制器。
  • 使用任何可用的域控制器。在絕大多數情況下,不要選擇這個選項。當使用這個選項時,就意味著選擇本站點的域控制器。
組策略應用時發生衝突的處理原則
如果發生衝突,預設的是執行最新的設定;除非使用者設定和計算機設定衝突。而在大多數場合下,計算機設定高於使用者設定。組策略是累積的,除非兩個或多個設定衝突,否則所有GPO設定都將被執行;當衝突發生時確定執行哪個組。
策略設定的原則是:
  • 來自母容器的GPO設定和來自子容器的GPO設定衝突,子容器的設定後執行併發揮作用。
  • 連線到同一容器上的不同的GPO的設定發生衝突,在容器屬性對話方塊中GPO列表中最高位置的GPO的設定後執行併發揮作用。
  • 組策略累積處理的例外是IP安全性設定和使用者許可權設定。當執行IP安全性設定和使用者許可權設定時,最新執行的GPO將改變以前GPO。
  • GPO 連結到 Active Directory 中的站點、域和 OU 容器,預設的優先順序順序遵循 Active Directory 的分層結構特性,從低到高為:先是本地計算機設定生效,然後是站點、域、最後是每個 OU。當設定發生衝突時,以優先順序更高的為準。

14   組策略的繼承性

通常,組策略將從域內的父容器向下傳遞到子容器(子域不能從父域繼承組策略)。如果為高階父容器指派特定的組策略設定,該組策略設定適用於父容器下面的所有容器,其中包括每個容器中的使用者和計算機物件。
如果為父 OU 配置的策略設定與為子 OU 配置的相同策略設定不相容(因為在一個 OU 中啟用該設定,而在另一個 OU 中禁用該設定),則子 OU 不從父 OU 繼承策略設定。子 OU 中的策略設定將被應用。

1.4.1 啟用阻止繼承和禁止替代

修改組策略設定的一條途徑就是阻止通常從父容器繼承設定。啟用阻止繼承(Block Inheritance)將不允許子容器從所有父容器處繼承所有的GPO設定。阻止策略繼承選項僅在站點、域和 OU 上設定,而不在各個 GPO 上設定。這些設定提供對預設繼承規則的完全控制。而禁止替代選項則是在GPO上進行設定。如果 GPO 啟用“禁止替代”,則它不允許子容器阻止這些 GPO
在本節中,我們將在“AccountsOU 中建立一個 GPO,預設情況下,它應用於“AccountsOU 內所有子物件中的使用者和計算機。然後,啟用“阻止繼承”功能禁止將父站點、域或 OU(此處為“AccountsOU)中設定的組策略應用於“ProductionOU。為了驗證“禁止替代”功能,我們再將其設定為“禁止替代”。這些設定將應用於所有子物件,即使設定與通過 GPO 應用的其他設定衝突也無妨。建立新的GPO
在此,我們將建立兩個GPO,請按照以下步驟操作:
1、確保實驗所需的OU已建立成功。即父OU Accounts、子OU Production以及子OU中的使用者Acctuser1Acctuser2已經建立完成。
2、在【Active Directory 使用者和計算機】管理控制檯中,右擊Accounts OU,然後單擊【屬性】選單。在出現的屬性對話方塊對話方塊中,選擇【組策略】標籤。
3、單擊【新建】按鈕,輸入“Restricted Standard Desktop”作為 GPO 名稱,然後選中新建的GPO,單擊【編輯】按鈕。
4、在【組策略編輯器】中,展開【使用者配置】 => 【管理模板】 => 【桌面】。然後在右邊的詳細窗格中雙擊【刪除桌面上的“我的文件”圖示】,在出現的屬性對話方塊中,選擇【已啟用】選項。如圖所示。
 
5、按相同的方法,建立另一個GPO,取名為“Enforced User Policies”,其刪除了當在使用“Ctrl+Alt+Del”時的工作管理員選項”。如圖所示。
6、關閉所有視窗。並對組策略進行手動重新整理。
7、以使用者Acctuser1Acctuser2分別在域中任一臺工作站上登入到域中,均可以看到其工作桌面上無“我的文件”,當使用“Ctrl+Alt+Del”時的沒有【工作管理員】選項。表明子OU繼承了父OUGPO設定。
啟用阻止繼承
您可以禁止繼承,以使一個 GPO 不能從分層結構中的另一個 GPO 繼承策略。要阻止“ProductionOU 繼承組策略,請按照以下步驟操作:
1、在“AccountsOU 下面,右鍵單擊“ProductionOU,在上下文選單中選擇【屬性】。在屬性對話方塊中單擊【組策略】選項卡。
2、在【Production 屬性】對話方塊中,選擇【阻止策略繼承】核取方塊,然後單擊【確定】按鈕,完成阻止繼承的設定。如圖所示。
 
3、以使用者Acctuser1Acctuser2分別在域中任一臺工作站上登入到域中,均可以看到其工作桌面出現了“我的文件”及當使用“Ctrl+Alt+Del”時的有【工作管理員】選項。。表明子OU阻止了父OU的所有GPO設定。
啟用禁止替代
1、在【Active Directory 使用者和計算機】管理控制檯中,右擊Accounts OU,然後單擊【屬性】選單。在出現的屬性對話方塊對話方塊中,選擇【組策略】標籤。
2、在【組策略物件連結】列表中,右擊“Enforced User Policies”,在出現的上下檔案選單中,單擊【禁止替代】。然後單擊【應用】按鈕,並關閉所有視窗。如圖所示。
3、以使用者Acctuser1Acctuser2分別在域中任一臺工作站上登入到域中,可以看到其工作桌面出現了“我的文件”及當使用“Ctrl+Alt+Del”時的無【工作管理員】選項。。表明子OU僅阻止了父OU的“Restricted Standard Desktop 的設定。而“Enforced User Policies”的由於啟用了禁止替代得以強制繼承。

1.4.2 安全組篩選

您可以通過指定所選 GPO 應用於安全組的方式,優化任何 GPO 對使用者或計算機產生的影響。為此,請使用 GPO【屬性】頁上的【安全】選項卡來設定 DACL。主要出於效能方面的原因使用 DACL,但此功能在設計和部署 GPO 及其包含的策略方面具有非常大的靈活性。
安全組篩選具有兩個功能:第一個功能是修改受特定 GPO 影響的組;第二個功能是委派可修改 GPO 內容的管理員組,限制“完全控制”許可權,僅將其授予一組有限的管理員(按組)。第二個功能是推薦功能,因為它可以減少多個管理員同時進行更改的可能性。
預設情況下,GPO 影響連結的站點、域或 OU 中包含的所有使用者和計算機。通過使用 DACL,可以修改任何 GPO 的影響以排除或包含任何安全組的成員。
篩選組策略的方式
為了篩選組策略,可以使用以下兩種方式之一:
方式1
執行下面步驟;
1、建立一個安全組並將OU的管理員新增到這個組。
2、在安全性設定的【屬性】對話方塊中,在【安全】表裡新增不想用於OU管理員的GPO
3、拒絕應用於這個安全組的應用組策略許可權。
方式2
它是刪除驗證的使用者。通過忽略安全組的OU管理員,他們沒有GPO的明確許可權。執行以下的步驟:
1、從DACL中刪除驗證的使用者組。
2、建立一安全組並將除OU管理員外的所有計算機和使用者的說明加入該組。
3、在【安全】表裡為不想應用於OU管理員的GPO新增安全組。
4、允許安全組具有讀和應用組策略許可權。
實施組策略篩選
要基於安全組成員身份來篩選 GPO 應用,請按照以下步驟操作:
1、確保實驗所需的安全組“Management”已建立成功。並將Acctuser2加入到組中。
2、在【Active Directory 使用者和計算機】管理控制檯中,右擊Accounts OU,然後單擊【屬性】選單。在出現的屬性對話方塊對話方塊中,選擇【組策略】標籤。
3、在【組策略物件連結】列表中,選擇“Enforced User Policies”。單擊【屬性】按鈕。
4、在【安全】表新增里安全組Management。然後為“Management”組清除【應用組策略】ACE 的【允許】核取方塊,並選擇【拒絕】核取方塊。如圖6-8所示。
5、點選【確定】按鈕。關閉所有視窗。
6、以使用者Acctuser1在域中任一臺工作站上登入到域中,可以看到其工作桌面出現了“我的文件”及當使用“Ctrl+Alt+Del”時的無【工作管理員】選項。表明子OU僅阻止了父OU的“Restricted Standard Desktop 的設定。而“Enforced User Policies”的由於啟用了禁止替代得以強制繼承。
7、以使用者Acctuser2在域中任一臺工作站上登入到域中,可以看到其工作桌面出現了“我的文件”及當使用“Ctrl+Alt+Del”時的有【工作管理員】選項。表明子OU僅阻止了父OU的“Restricted Standard Desktop 的設定。而“Enforced User Policies”的由於使用者啟用了組策略篩選仍得以被阻止。

15   委派組策略的管理控制

活動目錄允許管理員委派組策略物件(GPO)的控制。組策略委派包含下列三個方面的特定需求,可結合或單獨使用:
² 管理站點、域或組織單元連線的組策略設定
為了允許使用者為站點、域或組織單元管理組策略連結,可以通過以下方式:
  • 賦予使用者站點、域或組織單元的gPLink和gPOPtions屬性的讀寫許可權。
  • 使用委派控制嚮導。
² 建立GPO
為了允許使用者或組建立GPO,可以將使用者或互助加入到“組策略建立擁有者組”。
² 編輯GPO
為了允許使用者編輯GPO,可以通過以下方式:
  • 賦予使用者該GPO的讀寫許可權。
  • 將使用者標域管理員、企業管理員或GPO建立擁有者組。
  • 通過使用GPO屬性對話方塊中的安全選項卡來准許使用者訪問GPO。

16   監控組策略

有多種監控組策略的方式。如以通過啟用診斷記錄和詳細記錄來監控制組策略。
² 啟用事件日誌的診斷記錄
啟用組策略的診斷記錄促成組策略在事件日誌中產生具體的事件。這些具體的事件能夠通過返回事件以及提供額外的資訊,在診斷組策略相關的問題時提供幫助。
可採用如下方法啟用診斷記錄:
1、以本地管理員的身份登入,單擊【開始】=> 【執行】,輸入Regedit以開啟登錄檔編輯器。
2、展開HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/Current/Version關鍵詞。選擇【編輯】 => 【新建】 => 【項】。輸入Diagnostics,然後按回車。
3、選中Diagnostics項,選擇【編輯】 => 【新建】,單擊“DWDRD Value”,輸入RunDiagnosticsLoggingGlobal,按回車。
4、雙擊RunDiagnosticsLoggingGlobal,輸入1,單擊【確定】按鈕。
² 啟用詳細記錄
詳細記錄將記錄所有變更和應用到本地計算機和登入到計算機上使用者設定。日誌檔案位於“%systemroot%/Debug/UserMode”資料夾下,命名為Userenv.log,為了允許詳細記錄,需要新增名為UserEnvDebugLevel值為30002雙位元組記錄值到登錄檔中的HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon關鍵詞下。
注意:30002允許詳細記錄;30001僅允許錯識和警告的記錄;30000不記錄任何事件。
 

相關文章