活动目录组策略.pptVIP

第５章 组策略的应用与管理 本章重点 组策略的类型和相应打开方式； 组策略的执行顺序； 用户帐户策略、本地策略、受限的组策略配置方法； 各安全选项的用途和应用； 文件夹重定向的意义和重定向策略配置方法。 5.1 组策略基础 组策略是Active Directory目录服务中的结构，可用于定义将自动应用到Active Directory中的用户和计算机帐户的默认设置。策略设置可用于管理桌面显示、指派脚本、将文件夹从本地计算机重新定向到网络位置、确定安全选项，以及控制特定计算机上可安装的软件和特定用户组可用的软件。 可用组策略定义用户和计算机组的配置，如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及 Internet Explorer的维护指定策略设置。 5.1.1  组策略概述 1. 组策略的主要任务 1)设置最小密码长度和密码保持有效的最大时间长度。该设置可以为整个域配置 2)自动安装应用程序 3)通过“管理模板”管理基于注册表的策略 4)指派脚本 5)重定向文件夹 6)管理应用程序 7)指定安全选项 2. 默认情况下存在的组策略对象 默认情况下，安装Active Directory时，会创建两个非本地组策略对象。 Default Domain Policy：默认域组策略，它与域链接，通过策略继承影响域中的所有用户和计算机(包括作为域控制器的计算机)。 Default Domain Controllers Policy：默认域控制器组策略，它与Domain Controllers (域控制器)组织单位链接，通常只影响域控制器，因为域控制器的计算机帐户单独保存在Domain Controllers组织单位中。 5.1.2 组策略对象及其存储 组策略对象(GPO)是组策略设置的集合，实质上是由组策略对象编辑器创建的文档。GPO存储在域级别，它们可以影响包含在站点、域及组织单位中的用户和计算机。 1. 本地组策略 本地组策略对象包含的设置要少于非本地组策略对象的设置，尤其是在“安全设置”下。本地组策略对象不支持“文件夹重定向”和“组策略软件安装”。 2. 组策略对象 有两种组策略对象：本地和非本地。本地组策略对象存储在各个本地计算机上。 3. 组策略对象的存储 1)组策略容器 组策略容器是一个目录服务对象。它包括计算机和用户组策略信息的子容器。组策略容器包含以下数据。 版本信息：用于检验信息与组策略模板信息是否同步。 状态信息：指明对于该站点、域或组织单位是启用还是禁用组策略。 组件列表：指定组策略的哪些扩展在组策略对象中有相应的设置。 2)组策略模板 组策略模板是组策略对象存储域的域控制器文件夹。 3)组策略模板的子文件夹 5.1.3 组策略的基本组成 组策略包括影响用户的“用户配置”策略设置和影响计算机的“计算机配置”策略设置两大部分，如图5-1所示。 1. “管理模板”文件夹 2. “软件设置”文件夹 3. “Windows设置”文件夹 4. “安全设置”文件夹 5.1.4 组策略的打开方式 1. 本地打开本地策略编辑器 每台机器都有自己的本地策略，包括域控制器。本地策略只作用于本地计算机或者本地计算机上的帐户。 2. 远程打开本地策略编辑器 3. 打开站点组策略编辑器 4. 打开域组策略编辑器 5.1.5 组策略对象的最佳操作 1．不要处理未被配置的策略设置 2．尽量少用“阻止策略继承”和“禁止替代”功能 3．对于不同的组策略对象，不要使用相同的名称 4．将组策略对象使用的WMI筛选器数量减到最少 5．根据安全组成员身份筛选策略 6．仅在必要时才用基于计算机的组策略替代基于用户的组策略 7．使用组策略而不是系统策略 8．避免跨域指派组策略对象 9．不要将一个组策略对象多次链接到同一组织单位 5.2 组策略优先级 通过前面的介绍，我们已经知道。组策略有很多种，域有域组策略，本地计算机有本地策略，而Active Directory中的组织单位还可以有自己的组策略。 5.2.1 组策略优先级概述 组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何其他Windows?2000/Server 2003计算机。 通过将组策略对象链接到Active Directory对象(站点、域或组织单位)，可以应用基于Active Directory的组策略。 通常系统是按如下顺序应用策略。 (1)惟一的本地组策略对象。 (2)站点组策略对象，按照由管理工作所指定的顺序。 (3)域组策略对象，按照由管理工作所指定的顺序。 (4)组织单位组策略对象，按照从大组织单位到小组织单位顺序(从父组织单位到子组织单位)，而在每个组