企业Windows域环境中的组策略应用案例二

简介:

前言:

组策略的影响范围非常广泛,域内所有的用户和计算机都可能会受到约束,因此,应用组策略之前应明确组策略的各种应用规则,如组策略的继承与阻止、累加与冲突和强制生效等,以方便利用这些规则顺利的实现用户的需求。

上一篇博文:企业Windows域环境中的组策略应用案例一 :http://minitoo.blog.51cto.com/4201040/839500

在上一篇博文中我通过一个案例“创建组策略”详细介绍了什么是组策略、组策略的作用、如何创建组策略等。本篇博文是上篇博文的延续,通过案例二,来介绍组策略的应用顺序、配置组策略的继承、阻止继承、强制生效和筛选等功能,最后介绍通过组策略完成软件的分发。

-----------------------------------------------------------------

本案例紧接着“企业部署Windows域实验案例”“企业域控DC管理案例”进行实施。

-----------------------------------------------------------------

组策略的继承与阻止:

在默认情况下,下层容器会继承来自上层容器的GPO。如下图所示,OU“销售部”会继承域“yye1.com”的组策略;子OU“销售部_北京”和“销售部_上海”会继承其上级OU“销售部”的组策略。 
image 
子容器也可以阻止继承上层容器的组策略。在上图中,若OU“销售部_北京”不需要应用来自上级OU的组策略,可以右击“销售部_北京”,在其弹出菜单中选择“阻止继承”,如下图所示,这样OU“销售部_北京”就不会应用任何组策略。 
image 
image

组策略的累加与冲突:

如果容器的多个组策略设置不冲突,则最终的有效策略是所有组策略设置的累加。

如果容器的多个组策略设置冲突(对相同项目进行了不同设置),组策略则按以下顺序被应用:LSDOU。它表示 本地(Local)、站点(Site)、域(Domain)、组织单位(Organizational Unit)。默认情况下,当策略设置发生冲突时,后应用的策略将覆盖前面的策略

每台运行Windows版本系统的计算机都只有一个本地组策略对象。如果计算机在工作组环境下,将会应用本地组策略对象。如果计算机加入域,则除了受到本地组策略的影响,还可能受到站点、域和OU组策略对象的影响。如果策略之间发生冲突。则后应用的策略其作用。

总之:组策略按如下顺序应用。

1)首先应用本地组策略对象。 
2)如果有站点组策略对象,则应用。 
3)然后应用域组策略对象。 
4)如果计算机或用户属于某个OU,则应用OU上的组策略对象。 
5)如果计算机或用户属于某个OU的子OU,则应用子OU上组策略对象。 
6)如果同一个容器下链接了多个组策略对象,则链接顺序最低的组策略对象最后处理,因此它具有最高的优先级

组策略的强制生效:

根据上面的介绍,下级容器可以对上级容器的GPO采用阻止继承的操作,或者下级容器设置一个与上级容器相对冲突的GPO,从而使上级容器的GPO不能生效。如何使上级容器的GPO强制生效呢?

如下图步骤所示:可以实现强制下级生效上级的某个GPO 
image 
image

“强制生效”会覆盖“阻止继承”设置,这也成为网络管理员对网络进行统一管理的一种方法。

筛选:

上面介绍的GPO都应用于容器下的所有用户和计算机。但实际环境中会有这样的需求:例如销售部的所有普通用户都受GPO约束,而销售部经理的账户不受此约束,这个功能要依靠筛选来实现。筛选可以实现阻止一个GPO应用于容器内部特定用户和计算机。

容器中的用户和计算机之所以受GPO的影响,是因为他们对GPO拥有读取和应用组策略的权限。如果用户或计算机账户没有读取和应用组策略的权限,组策略将拒绝执行。

软件分发:

网络管理员在布置域中软件时,常常需要在很多太计算机上对同一软件进行安装或卸载。如果在每台计算机上重复这些操作,工作量大而且容易出错,有没有一种能减少工作量的方法呢?利用GPO设置软件分发策略,可以实现对容器下所有用户和计算机的软件管理。有效提升软件部署效率。 
利用GPO给容器下的计算机或者用户分发软件,需要经过以下几个步骤:

1)获取Windows安装程序包文件;该程序包含一个 .msi 文件已经必要的相关的安装文件。 
2)将安装程序包文件存放到一个软件分发点。软件分发点是服务器上的一个共享文件夹,用户都有访问权限。 
3)创建或修改GPO,该GPO包含软件分发的内容。

------------------------------------------------------------------

案例环境二:  组策略的应用规则

某公司网络采用Windows Server 2008 域环境进行管理,各部门员工用户账户都位于各自部门的OU中,OU“销售部”中包含普通员工用户帐户UserA、UserB和部门经理用户账户ManagerA,OU“财务部”中包含用户账户“UserC, OU“人事部”中包含用户UserD,默认OU“computer”中包含客户机Windows7。现在公司要求全体员工都不能运行命令提示符,除销售部员工要使用统一的桌面背景,销售部员工使用销售部统一的桌面背景,销售部经理可以自定义桌面背景。

案例描述:

1)使用默认域策略禁止所有用户运行命令提示符。 
2)使用默认域策略为所有员工设置公司的统一桌面背景。 
3)利用组策略的应用顺序原则,在OU“销售部”下新建GPO“wallpaper_sales”,为销售部员工设置统一桌面。 
4)使用筛选规则使销售部经理可以自定义桌面背景。

案例实施:

1)准备域控制器和客户机。 
1.正确配置各主机的网络参数,确保从客户端能正确登录域yye1.com。 
(本案例紧接着“企业部署Windows域实验案例”“企业域控DC管理案例”进行实施,具体步骤请参考)

2.准备两张图片,“wallpaper_company.jpg”充当公司统一的桌面背景;“wallpaper_sales.jpg”充当销售部统一的桌面背景。 
image

3.将上面的两张图片放置在域控制器DC01的共享文件夹wallpaper中,域用户对该文件夹拥有读取权限。 
image(设置相应的共享可NTFS权限即可)

2)编辑默认域策略对其进行配置。 
1.编辑默认域策略,启用选项“阻止访问命令提示符”。 
image 
image 
image

2.编辑默认域策略,设置应用墙纸“wallpaper_company.jpg”。 
image 
image 
image 
image 
image

3)在OU“销售部”上新建GPO并对其编辑。 
1.在OU“销售部”上新建GPO,名为“wallpaper_sales”。 
image 
image 
image

2.编辑GPO“wallpaper_sales”,设置应用墙纸“wallpaper_sales.jpg”。 
image 
image

3.对GPO“wallpaper_sales”、委派权限,添加ManagerA的拒绝读取和拒绝应用组策略权限。 
image 
image 
image 
image

4)验证结果。 
1.使用UserA或UserB从客户机Windows7登录域,应用了销售部统一桌面背景,无法运行命令提示符。


image 
image 

2.使用UserC和UserD从客户机Windows7登录域,应用了公司统一桌面背景,无法运行命令提示符。


image 
image










本文转自 jundong 51CTO博客,原文链接:http://blog.51cto.com/minitoo/840003,如需转载请自行联系原作者
目录
相关文章
|
3月前
|
Linux C++ Windows
【Azure 应用服务】Azure App Service(Windows)环境中如何让.NET应用调用SAP NetWeaver RFC函数
【Azure 应用服务】Azure App Service(Windows)环境中如何让.NET应用调用SAP NetWeaver RFC函数
【Azure 应用服务】Azure App Service(Windows)环境中如何让.NET应用调用SAP NetWeaver RFC函数
|
8天前
|
安全 前端开发 Windows
Windows Electron 应用更新的原理是什么?揭秘 NsisUpdater
本文介绍了 Electron 应用在 Windows 中的更新原理,重点分析了 `NsisUpdater` 类的实现。该类利用 NSIS 脚本,通过初始化、检查更新、下载更新、验证签名和安装更新等步骤,确保应用的更新过程安全可靠。核心功能包括差异下载、签名验证和管理员权限处理,确保更新高效且安全。
21 4
Windows Electron 应用更新的原理是什么?揭秘 NsisUpdater
|
1月前
|
Oracle 关系型数据库 MySQL
Mysql(1)—简介及Windows环境下载安装
MySQL 是一个流行的关系型数据库管理系统(RDBMS),基于 SQL 进行操作。它由瑞典 MySQL AB 公司开发,后被 Sun Microsystems 收购,现为 Oracle 产品。MySQL 是最广泛使用的开源数据库之一,适用于 Web 应用程序、数据仓库和企业应用。
55 2
|
1月前
|
应用服务中间件 Shell PHP
windows系统配置nginx环境运行pbootcms访问首页直接404的问题
windows系统配置nginx环境运行pbootcms访问首页直接404的问题
|
30天前
|
XML 缓存 前端开发
Electron-builder 是如何打包 Windows 应用的?
本文首发于微信公众号“前端徐徐”,作者徐徐深入解析了 electron-builder 在 Windows 平台上的打包流程。文章详细介绍了 `winPackager.ts`、`AppxTarget.ts`、`MsiTarget.ts` 和 `NsisTarget.ts` 等核心文件,涵盖了目标创建、图标处理、代码签名、资源编辑、应用签名、性能优化等内容,并分别讲解了 AppX/MSIX、MSI 和 NSIS 安装程序的生成过程。通过这些内容,读者可以更好地理解和使用 electron-builder 进行 Windows 应用的打包和发布。
108 0
|
2月前
|
SQL JavaScript 数据库
sqlite在Windows环境下安装、使用、node.js连接
sqlite在Windows环境下安装、使用、node.js连接
|
3月前
|
API Docker Windows
2024 Ollama 一站式解决在Windows系统安装、使用、定制服务与实战案例
这篇文章是一份关于Ollama工具的一站式使用指南,涵盖了在Windows系统上安装、使用和定制服务,以及实战案例。
2024 Ollama 一站式解决在Windows系统安装、使用、定制服务与实战案例
|
1月前
|
数据可视化 程序员 C#
C#中windows应用窗体程序的输入输出方法实例
C#中windows应用窗体程序的输入输出方法实例
46 0
|
1月前
|
Windows
Windows系统环境编写DOS批处理文件
Windows系统环境编写DOS批处理文件
|
3月前
|
Unix Linux Ruby
在windows和linux上高效快捷地发布Dash应用
在windows和linux上高效快捷地发布Dash应用