3. 组策略应用规则
组策略的影响范围非常广泛,域内所有的用户和计算机都可能受到约束,因此,应用组策略之前应明确组策略的各种应用规则,如组策略的继承与阻止,累加与冲突和强制生效等,以方便利用这些规则顺利地实现用户的需求。
3.1 组策略的继承与阻止
在默认情况下,下层容器会继承来自上层容器的GPO。如图4.15所示,OU“销售部”会继承域
“benet.com”的组策略;子OU“销售部_北京”和“销售部_上海”会继承其上级OU销售部”的组策略。
子容器也可以阻止继承上层容器的组策略。在图4.15中,若OU销售部_北京”不需要应用来自上级OU的组策略,可以右击“销售部_北京”,在弹出的快捷菜单中选择“阻止继承”命令,这样OU“销售部_北京”就不会应用任何组策略,如图所示。
3.2 组策略的累加与冲突
如果容器的多个组策略设置不冲突,则最终的有效策略是所有组策略设置的累加。
如图所示,域“benetcom”链接到组策略对象“Default Domain PolicyOU销售部”链接到组策略对象“wallpaper_sales”,则OU“销售部”会同时应用“Default Domain Policy”和“wallpaper_sales”这两个组策略对象。
例如,域“benet.com”的GPO规定用户禁止访问命令提示符,OU“销售部”的GPO规定用户必须使用统一桌面背景,则OU”销售部”下的用户既不能访问命令提示符,也无法更改桌面背景。
如果容器的多个组策略设置冲突(对相同项目进行了不同设置),组策略则按以下顺序被应用:LSDOU,它表示本地(Local)站点(Site)、域(Domain)组织单位(OrganizationalUnit)。默认情况下,当策略设置发生冲突时,后应用的策略将覆盖前面的策略。
每台运行Windows版本系统的计算机都只有一个本地组策略对象,如果计算机在工作组环境下,将会应用本地组策略对象。如果计算机加入域,则除受到本地组策略的影响外,还可能受到站点,域和OU组策略对象的影响。如果策略之间发生冲突,则后应用的策略起作用。
案例某公司网络采用Windows Server 2016 域环境进行管理,销售部员工的用户账户都位于OU“销售部”,其他部门员工的用户账户分别位于各自部门的OU中。现在公司要求全体员工都不能访问命令提示符,除销售部员工使用销售部指定的桌面背景wallpaper_sales外,统一使用公司指
定的桌面背景wallpaper_company,个人不能随意更改成其他桌面背景。
按照以下步骤操作来实现上述要求。
(1)打开“组策略管理”控制台,编辑GPO“Default Domain Policy选择菜单“用户配置”→“策略”→“管理模板”→“桌面”→“ActiveDesktop”,启用ActiveDesktop,设置墙纸为wallpaper_company,
且不允许更改墙纸。
(2)继续编辑GPO“Default DomainPolicy”,选择菜单“用户配置”→“策略”→“管理模板”→“系
统”,设置“阻止访问命令提示符”为“已启用”。
(3)打开“组策略管理”控制台,右击OU“销售部”,在弹出的快捷菜单中选择“在这个域中创建GPO并在此处链接”命令,新建GPO“wallpaper_sales。
(4)编辑GPO“wallpaper_sales”,选择菜单“用户配置”→“策略”→“管理模板”→“桌面→“Active Desktop”,启用Active Desktop,设置墙纸为wallpaper_sales,且不允许更改墙纸。
(5)验证结果,使用OU“销售部”下的用户账户UserA或UserB登录域,都会应用公司统一的桌面背景wallpaper_sales,并且不能访问命令提示符;使用其他OU下的用户账户UserC或UserD登录域,都会应用销售部统一的桌面背景wallpaper_company,并且不能访问命令提示符。
总之,组策略按如下顺序应用。
(1)首先应用本地组策略对象。
(2)如果有站点组策略对象,则应用。
(3)然后应用域组策略对象。
(4)如果计算机或用户属于某个OU,则应用OU上的组策略对象。
(5)如果计算机或用户属于某个OU的子OU,则应用子OU上的组策略对象。
(6)如果同一个容器下链接了多个组策略对象,则链接顺序最低的组策略对象最后处理,因此它具有最高的优先级。
在图中,OU“销售部”下应用了GPO“wallpaper_sales”和“DefaultDomain Policy”,链接顺序分别为1和2,如果两条策略中某个设置有冲突,请问哪个GPO下的设置生效?
3.3 组策略的强制生效
根据上面的介绍,下级容器可以对上级容器的GPO采用阻止继承的操作,或者下级容器设置一个与上级容器相冲突的GPO,从而使上级容器的GPO不能生效。如何使上级容器的GPO强制效呢?
在图中,如果OU“销售部”的GPO要强制应用到“销售部_北京”和“销售部_上海”,可以通过以下步骤来实现。
右击OU“销售部”下的GPO“wallpaper_sales,在弹出的快捷菜单中选择“强制”命令,然后单击OU“销售部_北京”和“销售部_上海”,在“组策略继承”选项卡中可以看到“wallpapersales”为“强制的”,如图所示。
若该容器中其他GPO的设置与设置为强制的GPO抵触则一律无效。
“强制生效”会覆盖“阻止继承”设置,这也成为网络管理员对网
络进行统一管理的一种方法。
3.4 筛选
上面介绍的GPO都应用于容器下的所有用户和计算机。但实际环境中会有特殊的需求。例如,销售部的所有普通用户都受GPO约束,而销售部经理的账户不受此约束,这个功能要依靠筛选来实现。
筛选可以实现阻止一个GPO应用于容器内部特定用户和计算机。
容器中的用户和计算机之所以受GPO的影响,是因为他们对GPO拥有读取和应用组策略的权限。
如果用户或计算机账户没有读取和应用组策略的权限,组策略将不对其生效。
案例某公司网络采用Windows Server 2016域环境进行管理,OU“销售部”中包含普通用户账户UserAUserB和一个经理账户ManagerA,默认OU“computer”中包含计算机账户Client01。
希望ManagerA登录后可以随意更改桌面背景,而其他用户不能更改桌面背景。
按照以下步骤操作可以实现上述要求。
(1)打开“组策略管理”控制台,在OU“销售部”下新建并链接GPO“wallpaper_sales”,启用
ActiveDesktop,设置墙纸为wallpaper_sales,且不允许更改墙纸。
(2)在“组策略管理”控制台中,选择GPO“wallpaper_sales”,在右侧窗格中打开“委派”选项卡,单击“高级”按钮,如图所示。
(3)在“wallpaper_sales安全设置”对话框添加用户账户ManagerA的拒绝“读取”和“应用组策略”的权限,如图所示。
(4)验证结果。使用用户账户 UserA,UserB从客户机Client01登录域,无法更改桌面背景。使
用用户账户ManagerA从客户机Client01登录域,可以更改桌面背景。
由以上步骤可知,设置GPO的访问权限类似于NTFS的权限设置,应用组策略时要注意容器中
的用户账户和计算机账户是否有相应权限。
3.5 软件分发
网络管理员在布置域中软件时,常常需要在很多台计算机上对同一软件进行安装或卸载。如
果在每台计算机上重复这些操作,工作量大而且容易出错,有没有一种能减少工作量的方法呢?
利用GPO 设置软件分发策略,可以实现对容器下所有用户和计算机的软件管理,有效提升软件部署效率。
利用GPO给容器下的计算机或者用户分发软件,需要经过以下3个步骤。
(1)获取Windows安装程序包文件;该程序包包含一个msi文件,以及必要的相关的安装文件。
(2)将安装程序包文件存放到一个软件分发点。软件分发点是服务器上的一个共享文件夹,用
户都有访问权限。
(3)创建或修改GPO,该GPO包含软件分发的内容。
案例某公司网络采用Windows Server 2016域环境进行管理,OU“销售部”中包含销售部员工用户账户UserAUserB,默认OU“Computer”中包含计算机账户Client01。现在公司要求销售部的所有用户都使用一个相同的应用程序MBSA,希望在销售部用户登录时能自动安装该程序。
Microsoft Baseline Security Analyzer(MBSA)工具允许用户扫描一台或多台基于Windows的计算机,以发现安全方面的常见配置错误,并及时通过推荐的安全更新进行修补。
按照以下步骤操作可以实现上述要求。
(1)打开“组策略管理”控制台,在OU“销售部”下新建并链接GPO“MBSA_sales”。
(2)编辑GPO“MBSA_sales,导航到“用户配置”→“策略”→“软件设置”,右击“软件安装”,在弹出的快捷菜单中选择“属性”命令,在其属性对话框的“常规”选项卡中设置“默认程序数据包位置",然后单击“确定”按钮,如图所示,
(3)右击“软件安装”,在弹出的快捷菜单中选择“新建”→“数据包”命令,如图所示,
(4)浏览共享文件夹找到并选中需要分发的软件“MBSASetup-x64-ENmsi”,然后在“部署软件”对话框中选择部署方法为“已分配”,然后单击“确定”按钮,如图4.22所示。
(5)在MBSASetup属性的“部署”选项卡中勾选“在登录时安装此应用程序”复选框,单击“确定”按钮,如图所示。
(6)验证结果,使用OU“销售部”中的用户账户UserA或UserB在客户机Client01上登录域.进入系统后,会发现在Client01上已经安装了软件MBSA
在工作过程中经常根据需要把第三方的应用程序制作成MSI格式的安装文件,制作MSI文件的工具有VERITAS Discover和Advanced Installer 等,具体制作方法请查阅相关资料。
分发软件应注意的事项如下所述。
要分发的软件安装包中有msi文件,软件分发采用Windows Installer 技术,只接受符合Windows Installer封装格式的文件,这种文件称为程序包或封装,其文件扩展名为msi。
软件分发点是服务器上的共享文件夹,应采用“\\服务器名或IP地址\共享名”方式访问。
在客户机上安装软件时,要注意安装软件的权限。
分配与发布的区别如下所述。
“分配”:可以将程序分配到用户或计算机。分配的程序在客户机的“开始”菜单中。
如果将程序分配给一个用户,该用户登录到计算机时就会安装此程序。在该用户第一次运行此程序时,安装过程最终完成:如果将程序分配给一台计算机,计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它。在某一用户第一次运行此程序时,安装过程最终完成。如果是所有用户必须用的软件,则采用“分配”方式分发软件。
“发布”:可以将一个程序发布给用户,当用户登录到计算机上时,发布的程序显示在“控制面板”的“添加或删除程序”中,要想使用软件需要进一步安装完成。如果用户对该软件是可选使用,则采用“发布”方式分发软件。“分配”是比“发布”更具强制性的部署方式。
如果不再需要已经分发的软件,应该如何将软件自动从客户机中删除?
3.6 精细化密码策略
在AD域结构中已经存在“密码策略”和“账户锁定策略”。但是这还不足以精确到每个用户组或者每个用户的密码策略。如果在不同需求的工作场合和域环境下,要求针对不同的安全级别为用户设定不同的密码策略,就需要使用到PSO(密码设置对象)。
案例4.6 某公司网络采用Windows Server 2016域环境进行管理,“销售部”组中包含销售部员工用户账户UserAUserB,“财务部”组中包含财务部员工用户账户UserC。现在公司要求销售部的所有员工设置密码长度为9,并且每个月都要修改一次密码。而财务部的员工设置密码的长度为20,允许登录尝试次数为3次,一旦账户被锁定,必须由管理员手动解锁该账户。
按照以下步骤操作可以实现上述要求。
(1)在Windows管理工具中打开“ActiveDirectory管理中心”窗口,选择菜单“benet(本地)”→
“System”→“Password Setting Container”如图4.24所示。
(2)在对话框的空白处右击,在弹出的快捷菜单中选择“新建”→“密码设置”命令,如图所示。
(3)在打开的窗口中进行设置,本例在“名称”文本框中处输入“销售部人员密码策略”将“强
制最短密码长度”设置为“9”,将“强制最长密码期限”设置为“30”,如图所示。
(4)单击图4.26中右下方的“添加”按钮。然后在打开的对话框中输入应用该密码策略的对象,本例输入“销售部”,单击“确定”按钮,如图所示。
(5)同以上操作步骤,再次创建一个新的PSO。设置“名称”为“财务部人员密码策略”,设置“允许失败登录尝试的次数”为“3”,账户被锁定处勾选“直至管理员手动解锁账户”复选框,添加应用对象“财务部”,如图所示,单击“确定”按钮后完成精细化密码策略设置。
密码设置窗口中的“优先”文本框中的值有什么作用?
