首页 > 代码库 > windows_learn 004 ADDS基础知识和组策略

windows_learn 004 ADDS基础知识和组策略

windows_learn 004  ADDS基础知识和组策略




内容总览

AD DS (Active Directory Domain Service)

检查AD DS 安装是否正确

创建安装媒体  (离线导入域数据)

组的使用规则(p129)

第四章 使用组策略管理用户工作环境(p132)

组策略的功能

组策略分计算机配置和用户配置两部分

组策略内的设置可再区分为策略设置与首选设置两种

组策略的应用时限(p138)

组策略的处理规则

使用组策略管理用户环境(p167)

安全选项策略(p176)

WMI 筛选器(p192)









AD DS (Active Directory Domain Service)

Container and Organization Units, OU



Domain tree


Trust Relationship


Forest


Schema


Domain Controller DC


Member Server


LDAP (Lightweight Directory Access Protocol)

DN (Distinguish Name)

RDN (Relative Distinguish Name)

GUID (Global Unique IDentifier)

UDN (User Pricipal Name) Principal n.本人,主角

SPN (Service Principal Name)


Global Catalog GC


Site


Directory partition

Schema Directory Partition

Configuration Directory Partition

Domain Directory Partition

Application Directory Partition


RODC (read only domain controller)


AD LDS (Active Directory Lightweight Directory Services)


Active Directory数据库

Active Directory数据库:用来存放Active Directory 对象

日志文件: 用来存储Active Directory数据库的变动日志,

  此日志可用于恢复活动目录数据库

SYSVOL文件夹:用来存储共享文件夹(例如与组策略有关的文件)



检查AD DS 安装是否正确

nslookup

set type=srv

_gc._tcp.mysky.com





创建安装媒体  (离线导入域数据)

ntdsutil

activate instance ntds

ifm 

create full PATH

create full c:\installationMedia



一次同时添加多个用户账户P119

csvde.exe  可添加但不可修改

ldifde.exe  可添加也可修改

dsadd.exe  dsmod.exe dsrm.exe 你懂得



组group (p125)

Domain Local Group

Global Group

Universal Group


windows 内置的本地域组p127

Account Operators

Administrators

Backup Operators

Guests

Network Configuration Operators

Performance Monitor Users

Pre-Windows 2000 Compatible Access

Print Operators

Remote Desktop Users

Server Operators

Users


Windows 内置的全局组

Domain Adminis

Domain Computers

Domain Controllers

Domain Users

Domain Guests


Windows 内置的通用组

Enterprise Admins

Schema Admins


Windows 特殊组账户

Everyone

Authenticated Users

Interactive

Network

Anonymous Logon

Dialup



组的使用规则(p129)

A、G、DL、P

A、G、G、DL、P

A、G、U、DL、P

A、G、G、U、DL、P


A: user Account 

G: Global group

DL: Domain Local group

U: Universal group

P: Permission




第四章 使用组策略管理用户工作环境(p132)

组策略的功能

账户策略的设置:如设置用户的密码长度、使用期限、锁定账户等

本地策略的设置:如用户权限的分配、安全性设置等

脚本(Scripts)的设置:如登录与注销、启动与关机脚本的设置

用户工作环境的设置: 如隐藏用户的桌面图标、删除开始菜单的运行关机等

软件的安装与删除: 用户登录或计算机启动时,自动为其安装、删除、修复软件等

限制软件的运行:设置用户只能运行指定的软件、或不可以运行指定的软件

文件夹的重定向:如改变文件、开始菜单等文件夹的存储位置

限制访问可移动存储设备: 用来防止企业内的机密文件轻易地被带离公司

其它众多的系统设置:如让所有的计算机都自动信息指定的CA,限制安装设备驱动等


组策略分计算机配置和用户配置两部分


组策略应用范围

站点 site

域 domain

组织单位 Organization Unite


组策略对象 (Group Policy Object, GPO)

内置的GPO

Default Domain Policy

Default Domain Controller Policy


GPO 

GPC (Group Policy Container) 存储在AD的数据库中,记录GPO属性与版本

GPT (Group Policy Template) 存储GPO设置值与相关文件

路径在\SYSVOL\sysvol\域名\Polities



组策略内的设置可再区分为策略设置与首选设置两种

只有域的组策略才有首选设置功能,本地计算机策略无此功能


策略设置是强制性设置 客户端应用这些策略后无法更改

首选设置是默认设置 客户端可以自行更改

如两种设置都配置相同的项目则以策略设置优先


要应用首选设置的客户端需求下载安装

(CSE, client-side extension)KB943729 wind7已包含

(XMLLite) wind7已包含




组策略的应用时限(p138)

计算机配置的应用时限

计算机开机时会自动应用

计算机已经开机则系统每隔一段时间自动应用

域控制器:默认5分钟自动应用一次

非域控制器:默认每隔90-120分钟应用一次

不论策略设置值是否有变动,系统仍然会每隔16个小时自动应用一次


用户配置的应用时限

用户登录时会自动应用

用户已经登录,则默认每隔别90-120分钟自动应用一次,

并不论策略是否变动,每隔别16小时自动应用一次安全性配置策略


手动应用: 到域成员计算机上打开命令提示符窗口运行 

gpupdate /target:user /force




组策略的处理规则

一般的继承与处理规则

父容器和子容器规则不冲突时,子容器继承夫容器的规则如冲突就近优先

计算机配置和用户配置冲突时优先应用计算机配置

应用规则次序 站点GPO --> 域GPO --> 组织单位GPO


例外的继承设置

阻止继承策略

强制继承策略(Enforcing Inheritance)




使用组策略管理用户环境(p167)

用户权限分配策略(p174)

计算机配置-->windows设置-->安全设置-->本地策略-->用户权限分配

常用权限策略说明

Allow Log on locally 允许用户 Ctrl+Alt+Delete 登录

Deny Log on Locally 拒绝

Add Workstations To Domain 允许用户将计算机加入域

Shutdown The System 允许用户关机

Access This Computer From the network

Deny this computer From the network

Force Shutdown From A Remote System

Backup Files And Directories

Restore File And Directories 还原

Change The System Time

Load And Unload Device Drivers

Take Ownership Of Files Or Other Objects


安全选项策略(p176)

计算机配置-->windows设置-->安全设置-->本地策略-->安全选项

常用权限策略说明

Interactive logon: Do not require CTRL+ALT+DEL

Interactive logon: Number of previous logons to cache 本地缓存

Interactive logon: Do not display last user name

Shutdown: Allow system to be shut down without having to log on


登录、注销、启动、关机脚本(p177)


文件夹重定向(p181)

即可以实现将某用户的桌面文件或者某些路径放到其它服务器里




WMI 筛选器(p192)








本文出自 “Winthcloud” 博客,请务必保留此出处http://winthcloud.blog.51cto.com/2180779/1915846

windows_learn 004 ADDS基础知识和组策略