组策略
1-本地策略
每一个Windows系统中,都存在一个本地策略,而从Windows Server 2008开始,本地组策略就支持针对于不同的用户设置不同的策略。
mmc—组策略对象的编辑器—用户—选择不同的用户
2-GPMC
GPMC是Windows中,主要的组策略管理工具,管理员使用GPMC便可以轻松管理组策略,同时,管理员还可以在Windows 7系统上安装GPMC。
如果要在win7客户端上安装GPMC的话,需要下载补丁KB958830,安装好补丁后,需要在功能当中启用’组策略管理工具’
3-默认的两个策略
活动目录中,有两个默认策略,一个是默认的域策略,一个是默认的域控制器策略,它们定义了域和域控制器的安全基线。
建议:对着两个默认策略不去做任何更改
默认域策略:定义了密码策略和kerberos策略
默认域控策略:定义了安全设置---本次策略---用户权限分配
4-客户端策略应用
组策略对象是存储在活动目录服务器的sysvol共享文件中,客户端的计算机或是用户帐号经过身份验证之后,就可以读取这个共享的组策略设置,并最终应用策略设置.
5-客户端工具
一般来说client用策略相关的命令
Gpupdate /force /target: computer or user
Gpresult /r /h
Rsop.msc 基于管理界面的显示策略结果集
6-组策略优先级
管理员创建完成组策略对象后,可以将它们链接到不同的容器中,在不同级别的容器中,应用的优先级是不一样的,管理员可以使用GPMC直观的查看策略应用的优先级
组策略应用顺序: 本地---站点策略---域策略---OU策略
优先级数值: 从左到右越来越低
点sales容器就可以看到策略的优先级
7-阻止继承和强制
在活动目录中,多个容间之间形成了一种层次结构,默认情况下,链接到上一层容器的组策略对象因为继承的机制,会应用到下一层容器中,管理员可以使用阻止继承或是强制来改变这种默认的应用规则。
同时看到 OU上出现蓝***标
强制:
8-安全筛选
默认情况下,无论是计算机还是用户,只要经过身份验证就能够应用组策略,管理员可以使用安全筛选的机制,指定特定的帐户才能够应用组策略。
9-WMI筛选
在GPMC中,管理员可以使用WMI筛选器功能,依据WMI匹配用户或是计算机的特定属性,来过滤满足条件的用户或是计算机应用组策略。
Step1:可以到微软网站下载wmi tools
Step2:新建wmi筛选器:
Step3:在GPO上调用wmi筛选器
10-Starter GPO
从Windows Server 2008开始,组策略中新增加了Starter GPO功能,管理员可以创建Starter GPO并在其中编辑多数GPO要使用到的通用设置。
一句话解释:通过这个方式可以去简化新GPO的创建
11-组策略建模
使用组策略建模功能,管理员就可以依据建模向导,模拟特定的用户在特定的计算机上登录时,应用的组策略设置。
组策略建模 是不需要computer online的
12-组策略结果集
使用组策略结果集工具,管理员就可以确定特定的用户登录到特定的计算机上应用哪些策略。
利用组策略结果向导:可以察看远程电脑 (但远程电脑必须online)
13-权限委派
通过权限委派,管理员就可以指定特定的用户和组能够去创建和编辑GPO,还可以指定特定的用户和组在容器之上有链接GPO的权限。
14-备份和还原组策略对象
使用GPMC管理工具,备份和还原GPO将变得非常简单,同时针对于默认的域策略和域控制器策略,管理员还可以使用dcgpofix工具执行重置操作。
输入dcgopfix /target:both 后会有个提示,输入y就好
15-软件分发策略
利用组策略提供的软件安装功能,管理员就可以批量地将软件部署给应用策略的所有的计算机之上,提高软件部署的效率。
先要准备好软件,并且共享出来
16-启动/关机脚本
组策略中包括几千项的设置,可以满足大部分的应用管理场景,如果管理员遇到的场景无法利用现有的选项完成,那么管理员可以在组策略中设置脚本,来满足特殊的管理需求。
17-审核策略
使用审核策略,系统就可以跟踪对象访问和变更的操作,记录操作用户,以用于企业内的安全审计。
18-用户权限分配
利用组策略中的用户权限分配策略,管理员就可以为特定的用户或是安全组,精细地分配特定的权限。
里面条目里都有默认的组,可以具体查看
19-安全选项
利用组策略提供的安全选项,管理员就可以建立起统一的安全规范,比如将域中所有用户的管理员帐户进行重命名,降低安全风险。
20-事件日志
Windows的安全日志,记录着重要的安全事件,管理员可以依据安全日志诊断系统的安全状态,管理员可以利用组策略对于安全日志进行统一的设置,规范安全日志的管理。
利用eventvwr.exe 可以查看本地事件日志
21-受限制的组
Windows内置的安全组,具有对系统不同的操作权限,通过组策略设置受限制的组,就能够限制安全组中的成员,保证只有授权的用户才能成为安全组的成员。
比如说可以在administrtors组中定义user group name
22-系统服务
通过组策略中的系统服务,管理员可以统一设置计算机中的某些服务的运行状态,自动启动或是禁用
23-注册表
通过组策略中的注册表设置,管理员可以统一设置系统中特定的注册表项的安全选项,强制注册表项的安全
24-文件系统
通过组策略中的文件系统设置,管理员可以统一设置系统中特定的文件或文件夹的安全选项,强制文件或文件夹的安全 (其实就是针对某个文件夹做NTFS权限)
25-高级防火墙
通过组策略中的高级防火墙设置,管理员可以统一设置系统中防火墙的规则,保证特定的应用程序或是端口能否通过防火墙
26-网络列表管理策略
通过组策略的网络列表管理策略,管理员就可以指定计算机中网络连接的类型,从而此网络开启不同类型的服务。
27-公钥策略
通过组策略的公钥策略设置,管理员可以统一的对于证书进行管理,比如添加受信任的根证书颁发机构,简化管理
28-软件限制策略
通过组策略中的软件限制策略,管理员就可以以不同的方式,限制特定的软件运行,让用户专注于业务软件
用路径来限制某个应用程序不能使用.
29-APP Locker
AppLocker是Windows Server 2008 R2中新增加的一个特性,通过AppLocker,管理员可以非常灵活的限制应用程序,Windows安装程序,脚本的运行
但客户端一定要启动服务application identity
30-ipsec策略
使用IPSec技术,管理员可以更加好的保障网络通信的安全,加密网络通信,验证通信主机身份
31-集中存储策略模板ADMX
从Windows Server 2008开始,组策略中的管理模板新增了ADMX类型的模板文件,同时,管理员可以设置集中存储ADMX文件,而不必复制到每一个GPT文件夹中
读取 C:\windows\PolicyDefinitions 下所有的ADMX文件
Admx其实就是对应了注册表的操作
32-导入应用程序ADMX文件
为了充分利用组策略的统一管理的特性,第三方程序可以开发相应的ADMX管理模板文件,管理员通过导入这些模板文件,便可以轻松地实现统一设置,提高管理效率
大家可以到微软上下载到adminTemplates,可以解压到
同时可以手动添加admx文件
33-组策略首选项
组策略首选项是Windows Server 2008开始新增加的功能,它能够简化管理员实施组策略,并且相对于策略来说,应用首选项的设置并不是强制的
Group policy preferences用来设置用户或者计算机的工作环境
从下图可以看出,组策略内置策略和首选项两个部分。
区别如下:
1-只有域内的组策路才有首选项功能,本地计算机策略并无此功能
2-首选项非强制性,客户端可自行更改,故首选项适合用来做默认值,然后策略设置是强制性的,客户端应用后,就无法更改
3-策略设置优先于首选项设置
PS:如果客户端是win xp,则需要安装client-side extension CSE
首选项又分为: windows设置:(替代script),比如驱动器映射,环境变量等
控制面板设置:用来设置客户端控制面板内的项目,如区域选项,电源选项,打印机等
