组策略的概念:
组策略是一个能够让管理员充分管理用户工作环境的技术。通过它可以让用户拥有与权限相符的工作环境。通过它可以减轻系统管理员的工作负担
组策略的功能:
· 账户策略的设置
· 本地策略的设置
· 脚本的设置
· 用户的工作环境的设置
· 软件的安装与删除
· 限制软件运行
· 文件夹的重定向
· 限制访问可移动设备
· 安全设置(如密码策略、管理模板下相关设置等)4)基于注册表的设置(管理模板)
· IE维护
· 文件夹重定向
· 计算机和用户脚本
简述客户端计算机处理组策略流程:
简单的说,客户机应用组策略的流程有以下几个步骤:
1:客户机启动,执行本地安全策略。
2:客户机连接到网络,查询DC获取要应用的GPO列表。
3:客户机根据GPO列表连接到Sysvol文件夹定位对应的组策略模板。
4:客户机根据组策略模板中信息执行相应的操作(默认client具有读取和应用的权限)。
5:计算机策略执行完成后,出现登录界面,用户登录。
6:用户验证通过后,用户查询DC获取要应用的GPO列表。
客户机如何获取应用的GPO列表
DC启动时,会向DNS宣告自己的角色,DNS服务器接受宣告后,更新DNS数据库中DC对应的资源记录。客户机登录时会联系DNS服务器,寻找适当的DC进行身份验证。验证通过后,DC告诉客户机所属的站点信息,域信息,以及OU信息。客户机获取到这些信息后,就可以查询到正确的GPO列表。之所以拥有站点,域,OU信息后就可以获取GPO列表信息,主要是因为站点,域和OU对象的gPlink属性中保存有GPO链接信息。获取GPO列表的顺序是从所属OU往上查找每一层存在的GPO对象,直至域级。然后再查找站点所链接的GPO对象,生成完整的GPO列表。
客户机如何正确处理每个组策略设置
客户机根据GPO列表,查找到对应的组策略模板信息,通过比较缓存的GPO版本号与GPT中版本号,确定该组策略是否已经更新,如果组策略已经更新,下载GPT文件,并执行相应的操作和设置。客户机之所以可以正确执行组策略指令集,是由于在客户机系统中有客户端扩展的存在。在Windows系统共有11种功能可以由组策略来管理,每个功能都有一个相应的服务在客户端运行,服务负责处理相应的组策略。
这些服务称之为CSE(客户端扩展),每个CSE都作为动态链接库dll的方式存在,在客户机启动时,由winlogon服务动态加载。
思考:如果用户联系不上DC其组策略该如何应用?
猜想:应该是通过缓存继续生效。缓存应该在什么地方?
组策略对象(GPO):
GPO是域中一个虚拟对象,在AD数据库中并不存在真实的GPO对象。实际上,GPO对象由两部分组成,分别是保存在AD数据库中组策略容器GPC和保存在Sysvol共享文件夹中的对象组策略模板GPT。
本地组策略
域组策略
GPO=GPT+GPC
GPC与GPT之间由GPO的GUID保持关联,由GPC的gPCFileSysPath记载对应组策略模板具体位置,指示客户机下载组策略模板文件!
组策略的生效时间:
a. 计算机策略设置:计算机启动、手动刷新(gpupdate /force)、90-120分钟后台周期刷新。
b. 用户策略设置:用户登录、手动刷新(gpupdate /force)、90-120分钟后台刷新。
c. DC的策略设置:5分钟后台周期刷新。
当然这只是默认的设置情况,根据应用场景的不同用户可以根据实际情况更改策略的应用时间。
手动刷新组策略:
针对计算机配置:
· 重启计算机
· 通过命令刷新
针对用户配置:
· 注销用户
· 通过命令
组策略的生效原则:
a.用户和计算机必须在其对应的容器下面。
用户会应用其GPO中的用户配置,而不管用户在哪台计算机上登录。
计算机会应用其GPO中的计算机配置,而不管哪个用户登录。
b.默认状态下,GPO会应用在authenticated users组(即所有域用户和域计算机,默认下此组用户可以读取和应用组策略)
组策略的应用规则:
继承:
默认OU会继承域域的组策略设置
阻止继承和强制:
组策略基础篇