组策略系列之四:《精典放送:组策略管理20点》-阿里云开发者社区

开发者社区> 余二五> 正文

组策略系列之四:《精典放送:组策略管理20点》

简介:
+关注继续查看
    我们都知道,组策略能给我们对域内计算机和用户管理带来不可估量的好处,通过前面三次课,我们基本上对组策略有了大致的认识,在这里我总结了组策略的20条使用规则,相信各位应用组策略之后,读过一定会给你带来不小的收获。在后期的课程里,我会围绕着这些规则展开讲解。
 
1. GPO=GPC+GPT (理解GPO的应用过程) 见系列之二
2. 当计算机开机或用户登录时,组策略的应用顺序:Local--->site--->domain--->OU--->子OU     
3. GPO只能链接到容器上(即LSDOU),只能对容器里面的计算机或用户生效,而对组无效。 
4. 组策略的生效原则: 见系列之三
a.用户和计算机必须在其对应的容器下面。 
用户会应用其GPO中的用户配置,而不管用户在哪台计算机上登录。 
计算机会应用其GPO中的计算机配置,而不管哪个用户登录。 
b.默认状态下,GPO会应用在authenticated users组(即所有域用户和域计算机,默认下此组用户可以读取和应用组策略) 
5. 组策略的生效时间: 
a. 计算机策略设置:计算机启动、手动刷新(gpupdate /force)、90-120分钟后台周期刷新。 
b. 用户策略设置:用户登录、手动刷新(gpupdate /force)、90-120分钟后台刷新。 
c. DC的策略设置:5分钟后台周期刷新。 

6. 累加性:如果各级容器的GPO的策略设置没有冲突,则累加。(默认状态下) 
7. 如果各级容器的GPO的策略设置发生冲突,则以范围小的GPO策略为准。(默认) 
8. 若一个容器上链接多个GPO,设置不冲突,则累加;若设置冲突,则以列表中最上面的优先(即最后执行的优先)(默认) 
9. 若计算机策略和用户策略冲突,则计算机设置覆盖用户设置。 

10. 调整组策略的应用顺序
阻止继承:在子容器上启用(将阻止掉所有上级容器的策略,只应用本容器的GPO设置) 
强制(禁止替代):在父容器的某个GPO上启用(此GPO优先级最高,如果冲突,以此为准,其它不冲突的将累加) 
“阻止继承”不能阻止上级容器所做的“强制”的GPO。(即若二者同时启用,以强制的为准) 
若多个容器的GPO设为“强制”时,以先被应用的为准。 
11.查看计算机或用户应用组策略的结果:gpresult/组策略结果集(MMC、帮助中) 
12.组策略的安全过滤:如果一个用户帐号位于一个GPO相连的容器里,但不在security filtering里,则该用户不受到该GPO的影响。
 
13.WMI筛选:如果在一个GPO上连接了一个WMI过滤器,则该GPO的设置将只能作用于所连容器中符合WMI要求的计算机。 
如:要求给所有客户机满足是winxp的机器安装软件。 
思考:图书馆或教室的计算机,要求不管什么域用户登录,将都会应用本计算机的相应策略。即原有用户设置失效!--􀃆启用回环模式。 

14. LOOPBACK模式:如果对一个容器的GPO设置了Loopback模式,则无论一个用户帐号来自何处,则只要在该容器的计算机登录到域,一定会受到该容器GPO的用户策略的影响。(replace/merge两种方式) 

15.同步和异步:默认winxp是异步处理组策略。即先登录,后刷新组策略。 

16.禁用GPO。可以针对一个容器禁用GPO中的计算机配置或用户配置或二者全禁。
 
17.改变管理GPO的DC:通过GPMC.msc或传统工具完成。 

18.组策略的委派管理:(为指定的域或OU指定相应的组策略管理员) 
三种权限的管理员: 
可以为OU创建并链接,并编辑、删除(完全权限)--》domain admins 
可以为OU创建并链接、编辑、删除(自己创建的)--》将用户加入到Group Policy Creator Owners组 
可以为指定OU链接已有GPO,并可以删除GPO的链接,但不能编辑 

19.低速链路配置组策略:注册表策略进程、安全策略进程。仍将处理。
 
20.组策略的复制、粘贴、备份、恢复、导入等:利用GPMC.msc 
复制、粘贴:可以在同一域内操作,也可跨域、跨林操作。 
备份、恢复: 
a. 可以执行某个GPO的备份,也可以同时执行多个GPO的备份或所有GPO的备份。 
b. 备份内容:GPO设置、名称等,但不备份GPO到某个容器的链接。 
c. 还原不可跨域操作,但导入可以跨域操作。 
** 如果父子域中,子域如果要用父域的GPO,应该在父域上备份,然后导入到子域或通过复制和粘贴方式处理。不要做直接链接。 
注: 
a. 有些设置不能对低客户端生效。 
b. 有些设置不能对慢速链路用户生效。
c. 还原默认的两条组策略对象GPO:dcgpofix 









本文转自 jary3000 51CTO博客,原文链接:http://blog.51cto.com/jary3000/126742,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
7238 0
安全管理最佳实践系列:给ECS实例配置一个RAM角色身份(使用动态STS-Token访问云服务API)
如果你的应用程序部署在ECS实例中,你可能会苦恼于应用程序的AK配置安全问题及管理难的问题。为此阿里云提供了给ECS实例配置RAM角色的解决方案,使得运行ECS实例中的应用程序将不再需要配置AK,而只需要从ECS Metadata服务中获取StsToken就可以访问阿里云服务API,让你不再担心应用程序的AK配置安全问题和难管理的问题。
6688 0
利用大数据后,农夫山泉会发生管理变革吗?
这里是上海城乡结合部九亭镇新华都超市的一个角落,农夫山泉的矿泉水堆头静静地摆放在这里。来自农夫山泉的业务员每天例行公事地来到这个点,拍摄10张照片:水怎么摆放、位置有什么变化、高度如何……这样的点每个业务员一天要跑15个,按照规定,下班之前150张照片就被传回了杭州总部。
2561 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
8920 0
《SQL Server企业级平台管理实践》读书笔记——关于SQL Server数据库的备份方式
原文:《SQL Server企业级平台管理实践》读书笔记——关于SQL Server数据库的备份方式 数据备份一直被认为数据库的生命,也就是一个DBA所要掌握的主要技能之一,本篇就是介绍SQL Server备份原则,SQL Server数据库分为数据文件和日志文件。
1108 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
10522 0
SpringBoot2 整合 FastDFS 中间件,实现文件分布式管理
本文源码:GitHub·点这里 || GitEE·点这里 一、FastDFS简介 1、FastDFS作用 FastDFS是一个开源的轻量级分布式文件系统,它对文件进行管理,功能包括:文件存储、文件同步、文件上传、文件下载等,解决了大容量存储和负载均衡的问题。
979 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
5824 0
+关注
20382
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《Nacos架构&原理》
立即下载
《看见新力量:二》电子书
立即下载
云上自动化运维(CloudOps)白皮书
立即下载