windows_learn 004 ADDS基础知识和组策略
windows_learn 004 ADDS基础知识和组策略
内容总览
AD DS (Active Directory Domain Service)
检查AD DS 安装是否正确
创建安装媒体 (离线导入域数据)
组的使用规则(p129)
第四章 使用组策略管理用户工作环境(p132)
组策略的功能
组策略分计算机配置和用户配置两部分
组策略内的设置可再区分为策略设置与首选设置两种
组策略的应用时限(p138)
组策略的处理规则
使用组策略管理用户环境(p167)
安全选项策略(p176)
WMI 筛选器(p192)
AD DS (Active Directory Domain Service)
Container and Organization Units, OU
Domain tree
Trust Relationship
Forest
Schema
Domain Controller DC
Member Server
LDAP (Lightweight Directory Access Protocol)
DN (Distinguish Name)
RDN (Relative Distinguish Name)
GUID (Global Unique IDentifier)
UDN (User Pricipal Name) Principal n.本人,主角
SPN (Service Principal Name)
Global Catalog GC
Site
Directory partition
Schema Directory Partition
Configuration Directory Partition
Domain Directory Partition
Application Directory Partition
RODC (read only domain controller)
AD LDS (Active Directory Lightweight Directory Services)
Active Directory数据库
Active Directory数据库:用来存放Active Directory 对象
日志文件: 用来存储Active Directory数据库的变动日志,
此日志可用于恢复活动目录数据库
SYSVOL文件夹:用来存储共享文件夹(例如与组策略有关的文件)
检查AD DS 安装是否正确
nslookup
set type=srv
_gc._tcp.mysky.com
创建安装媒体 (离线导入域数据)
ntdsutil
activate instance ntds
ifm
create full PATH
create full c:\installationMedia
一次同时添加多个用户账户P119
csvde.exe 可添加但不可修改
ldifde.exe 可添加也可修改
dsadd.exe dsmod.exe dsrm.exe 你懂得
组group (p125)
Domain Local Group
Global Group
Universal Group
windows 内置的本地域组p127
Account Operators
Administrators
Backup Operators
Guests
Network Configuration Operators
Performance Monitor Users
Pre-Windows 2000 Compatible Access
Print Operators
Remote Desktop Users
Server Operators
Users
Windows 内置的全局组
Domain Adminis
Domain Computers
Domain Controllers
Domain Users
Domain Guests
Windows 内置的通用组
Enterprise Admins
Schema Admins
Windows 特殊组账户
Everyone
Authenticated Users
Interactive
Network
Anonymous Logon
Dialup
组的使用规则(p129)
A、G、DL、P
A、G、G、DL、P
A、G、U、DL、P
A、G、G、U、DL、P
A: user Account
G: Global group
DL: Domain Local group
U: Universal group
P: Permission
第四章 使用组策略管理用户工作环境(p132)
组策略的功能
账户策略的设置:如设置用户的密码长度、使用期限、锁定账户等
本地策略的设置:如用户权限的分配、安全性设置等
脚本(Scripts)的设置:如登录与注销、启动与关机脚本的设置
用户工作环境的设置: 如隐藏用户的桌面图标、删除开始菜单的运行关机等
软件的安装与删除: 用户登录或计算机启动时,自动为其安装、删除、修复软件等
限制软件的运行:设置用户只能运行指定的软件、或不可以运行指定的软件
文件夹的重定向:如改变文件、开始菜单等文件夹的存储位置
限制访问可移动存储设备: 用来防止企业内的机密文件轻易地被带离公司
其它众多的系统设置:如让所有的计算机都自动信息指定的CA,限制安装设备驱动等
组策略分计算机配置和用户配置两部分
组策略应用范围
站点 site
域 domain
组织单位 Organization Unite
组策略对象 (Group Policy Object, GPO)
内置的GPO
Default Domain Policy
Default Domain Controller Policy
GPO
GPC (Group Policy Container) 存储在AD的数据库中,记录GPO属性与版本
GPT (Group Policy Template) 存储GPO设置值与相关文件
路径在\SYSVOL\sysvol\域名\Polities
组策略内的设置可再区分为策略设置与首选设置两种
只有域的组策略才有首选设置功能,本地计算机策略无此功能
策略设置是强制性设置 客户端应用这些策略后无法更改
首选设置是默认设置 客户端可以自行更改
如两种设置都配置相同的项目则以策略设置优先
要应用首选设置的客户端需求下载安装
(CSE, client-side extension)KB943729 wind7已包含
(XMLLite) wind7已包含
组策略的应用时限(p138)
计算机配置的应用时限
计算机开机时会自动应用
计算机已经开机则系统每隔一段时间自动应用
域控制器:默认5分钟自动应用一次
非域控制器:默认每隔90-120分钟应用一次
不论策略设置值是否有变动,系统仍然会每隔16个小时自动应用一次
用户配置的应用时限
用户登录时会自动应用
用户已经登录,则默认每隔别90-120分钟自动应用一次,
并不论策略是否变动,每隔别16小时自动应用一次安全性配置策略
手动应用: 到域成员计算机上打开命令提示符窗口运行
gpupdate /target:user /force
组策略的处理规则
一般的继承与处理规则
父容器和子容器规则不冲突时,子容器继承夫容器的规则如冲突就近优先
计算机配置和用户配置冲突时优先应用计算机配置
应用规则次序 站点GPO --> 域GPO --> 组织单位GPO
例外的继承设置
阻止继承策略
强制继承策略(Enforcing Inheritance)
使用组策略管理用户环境(p167)
用户权限分配策略(p174)
计算机配置-->windows设置-->安全设置-->本地策略-->用户权限分配
常用权限策略说明
Allow Log on locally 允许用户 Ctrl+Alt+Delete 登录
Deny Log on Locally 拒绝
Add Workstations To Domain 允许用户将计算机加入域
Shutdown The System 允许用户关机
Access This Computer From the network
Deny this computer From the network
Force Shutdown From A Remote System
Backup Files And Directories
Restore File And Directories 还原
Change The System Time
Load And Unload Device Drivers
Take Ownership Of Files Or Other Objects
安全选项策略(p176)
计算机配置-->windows设置-->安全设置-->本地策略-->安全选项
常用权限策略说明
Interactive logon: Do not require CTRL+ALT+DEL
Interactive logon: Number of previous logons to cache 本地缓存
Interactive logon: Do not display last user name
Shutdown: Allow system to be shut down without having to log on
登录、注销、启动、关机脚本(p177)
文件夹重定向(p181)
即可以实现将某用户的桌面文件或者某些路径放到其它服务器里
WMI 筛选器(p192)