开发者社区> 技术小大人> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

[精讲17] 组策略

简介:
+关注继续查看

组策略

1-本地策略

每一个Windows系统中,都存在一个本地策略,而从Windows Server 2008开始,本地组策略就支持针对于不同的用户设置不同的策略。

mmc—组策略对象的编辑器—用户—选择不同的用户

clip_image002

clip_image004

2-GPMC

GPMC是Windows中,主要的组策略管理工具,管理员使用GPMC便可以轻松管理组策略,同时,管理员还可以在Windows 7系统上安装GPMC。

如果要在win7客户端上安装GPMC的话,需要下载补丁KB958830,安装好补丁后,需要在功能当中启用’组策略管理工具’

clip_image006

3-默认的两个策略

活动目录中,有两个默认策略,一个是默认的域策略,一个是默认的域控制器策略,它们定义了域和域控制器的安全基线。

建议:对着两个默认策略不去做任何更改

默认域策略:定义了密码策略和kerberos策略

默认域控策略:定义了安全设置---本次策略---用户权限分配

clip_image008

4-客户端策略应用

组策略对象是存储在活动目录服务器的sysvol共享文件中,客户端的计算机或是用户帐号经过身份验证之后,就可以读取这个共享的组策略设置,并最终应用策略设置.

5-客户端工具

一般来说client用策略相关的命令

Gpupdate /force /target: computer or user

Gpresult /r /h

Rsop.msc 基于管理界面的显示策略结果集

6-组策略优先级

管理员创建完成组策略对象后,可以将它们链接到不同的容器中,在不同级别的容器中,应用的优先级是不一样的,管理员可以使用GPMC直观的查看策略应用的优先级

clip_image010

组策略应用顺序: 本地---站点策略---域策略---OU策略

优先级数值: 从左到右越来越低

clip_image012

点sales容器就可以看到策略的优先级

7-阻止继承和强制

在活动目录中,多个容间之间形成了一种层次结构,默认情况下,链接到上一层容器的组策略对象因为继承的机制,会应用到下一层容器中,管理员可以使用阻止继承或是强制来改变这种默认的应用规则。

clip_image014

同时看到 OU上出现蓝***标

clip_image016

强制:

clip_image018

8-安全筛选

默认情况下,无论是计算机还是用户,只要经过身份验证就能够应用组策略,管理员可以使用安全筛选的机制,指定特定的帐户才能够应用组策略。

clip_image020

clip_image022

9-WMI筛选

在GPMC中,管理员可以使用WMI筛选器功能,依据WMI匹配用户或是计算机的特定属性,来过滤满足条件的用户或是计算机应用组策略。

Step1:可以到微软网站下载wmi tools

Step2:新建wmi筛选器:

clip_image024

clip_image026

Step3:在GPO上调用wmi筛选器

clip_image028

10-Starter GPO

从Windows Server 2008开始,组策略中新增加了Starter GPO功能,管理员可以创建Starter GPO并在其中编辑多数GPO要使用到的通用设置。

一句话解释:通过这个方式可以去简化新GPO的创建

clip_image030

11-组策略建模

使用组策略建模功能,管理员就可以依据建模向导,模拟特定的用户在特定的计算机上登录时,应用的组策略设置。

clip_image032

clip_image034

组策略建模 是不需要computer online的

12-组策略结果集

使用组策略结果集工具,管理员就可以确定特定的用户登录到特定的计算机上应用哪些策略。

利用组策略结果向导:可以察看远程电脑 (但远程电脑必须online)

clip_image036

13-权限委派

通过权限委派,管理员就可以指定特定的用户和组能够去创建和编辑GPO,还可以指定特定的用户和组在容器之上有链接GPO的权限。

clip_image038

clip_image040

14-备份和还原组策略对象

使用GPMC管理工具,备份和还原GPO将变得非常简单,同时针对于默认的域策略和域控制器策略,管理员还可以使用dcgpofix工具执行重置操作。

clip_image042

clip_image044

clip_image046

输入dcgopfix /target:both 后会有个提示,输入y就好

15-软件分发策略

利用组策略提供的软件安装功能,管理员就可以批量地将软件部署给应用策略的所有的计算机之上,提高软件部署的效率。

先要准备好软件,并且共享出来

clip_image048

clip_image050

16-启动/关机脚本

组策略中包括几千项的设置,可以满足大部分的应用管理场景,如果管理员遇到的场景无法利用现有的选项完成,那么管理员可以在组策略中设置脚本,来满足特殊的管理需求。

clip_image052

clip_image054

17-审核策略

使用审核策略,系统就可以跟踪对象访问和变更的操作,记录操作用户,以用于企业内的安全审计。

clip_image056

clip_image058

clip_image060

18-用户权限分配

利用组策略中的用户权限分配策略,管理员就可以为特定的用户或是安全组,精细地分配特定的权限。

clip_image062

里面条目里都有默认的组,可以具体查看

19-安全选项

利用组策略提供的安全选项,管理员就可以建立起统一的安全规范,比如将域中所有用户的管理员帐户进行重命名,降低安全风险。

clip_image064

20-事件日志

Windows的安全日志,记录着重要的安全事件,管理员可以依据安全日志诊断系统的安全状态,管理员可以利用组策略对于安全日志进行统一的设置,规范安全日志的管理。

利用eventvwr.exe 可以查看本地事件日志

clip_image066

21-受限制的组

Windows内置的安全组,具有对系统不同的操作权限,通过组策略设置受限制的组,就能够限制安全组中的成员,保证只有授权的用户才能成为安全组的成员。

比如说可以在administrtors组中定义user group name

clip_image068

22-系统服务

通过组策略中的系统服务,管理员可以统一设置计算机中的某些服务的运行状态,自动启动或是禁用

clip_image070

23-注册表

通过组策略中的注册表设置,管理员可以统一设置系统中特定的注册表项的安全选项,强制注册表项的安全

clip_image072

clip_image074

24-文件系统

通过组策略中的文件系统设置,管理员可以统一设置系统中特定的文件或文件夹的安全选项,强制文件或文件夹的安全 (其实就是针对某个文件夹做NTFS权限)

25-高级防火墙

通过组策略中的高级防火墙设置,管理员可以统一设置系统中防火墙的规则,保证特定的应用程序或是端口能否通过防火墙

clip_image076

clip_image078

26-网络列表管理策略

通过组策略的网络列表管理策略,管理员就可以指定计算机中网络连接的类型,从而此网络开启不同类型的服务。

clip_image080

27-公钥策略

通过组策略的公钥策略设置,管理员可以统一的对于证书进行管理,比如添加受信任的根证书颁发机构,简化管理

28-软件限制策略

通过组策略中的软件限制策略,管理员就可以以不同的方式,限制特定的软件运行,让用户专注于业务软件

clip_image082

clip_image084

用路径来限制某个应用程序不能使用.

29-APP Locker

AppLocker是Windows Server 2008 R2中新增加的一个特性,通过AppLocker,管理员可以非常灵活的限制应用程序,Windows安装程序,脚本的运行

但客户端一定要启动服务application identity

clip_image086

clip_image088

clip_image090

30-ipsec策略

使用IPSec技术,管理员可以更加好的保障网络通信的安全,加密网络通信,验证通信主机身份

31-集中存储策略模板ADMX

从Windows Server 2008开始,组策略中的管理模板新增了ADMX类型的模板文件,同时,管理员可以设置集中存储ADMX文件,而不必复制到每一个GPT文件夹中

读取 C:\windows\PolicyDefinitions 下所有的ADMX文件

Admx其实就是对应了注册表的操作

32-导入应用程序ADMX文件

为了充分利用组策略的统一管理的特性,第三方程序可以开发相应的ADMX管理模板文件,管理员通过导入这些模板文件,便可以轻松地实现统一设置,提高管理效率

大家可以到微软上下载到adminTemplates,可以解压到

clip_image092

同时可以手动添加admx文件

clip_image094

33-组策略首选项

组策略首选项是Windows Server 2008开始新增加的功能,它能够简化管理员实施组策略,并且相对于策略来说,应用首选项的设置并不是强制的

Group policy preferences用来设置用户或者计算机的工作环境

从下图可以看出,组策略内置策略首选项两个部分。

区别如下:

1-只有域内的组策路才有首选项功能,本地计算机策略并无此功能

2-首选项非强制性,客户端可自行更改,故首选项适合用来做默认值,然后策略设置是强制性的,客户端应用后,就无法更改

3-策略设置优先于首选项设置

PS:如果客户端是win xp,则需要安装client-side extension CSE

首选项又分为: windows设置:(替代script),比如驱动器映射,环境变量等

控制面板设置:用来设置客户端控制面板内的项目,如区域选项,电源选项,打印机等

clip_image096


本文转自 bilinyee博客,原文链接:    http://blog.51cto.com/ericfu/1642451    如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
1558
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载