码迷,mamicode.com
首页 > 其他好文 > 详细

[精讲17] 组策略

时间:2015-05-06 15:24:15      阅读:234      评论:0      收藏:0      [点我收藏+]

标签:组策略   windows   编辑器   target   blank   

组策略

1-本地策略

每一个Windows系统中,都存在一个本地策略,而从Windows Server 2008开始,本地组策略就支持针对于不同的用户设置不同的策略。

mmc—组策略对象的编辑器—用户—选择不同的用户

技术分享

技术分享

2-GPMC

GPMC是Windows中,主要的组策略管理工具,管理员使用GPMC便可以轻松管理组策略,同时,管理员还可以在Windows 7系统上安装GPMC。

如果要在win7客户端上安装GPMC的话,需要下载补丁KB958830,安装好补丁后,需要在功能当中启用’组策略管理工具’

技术分享

3-默认的两个策略

活动目录中,有两个默认策略,一个是默认的域策略,一个是默认的域控制器策略,它们定义了域和域控制器的安全基线。

建议:对着两个默认策略不去做任何更改

默认域策略:定义了密码策略和kerberos策略

默认域控策略:定义了安全设置---本次策略---用户权限分配

技术分享

4-客户端策略应用

组策略对象是存储在活动目录服务器的sysvol共享文件中,客户端的计算机或是用户帐号经过身份验证之后,就可以读取这个共享的组策略设置,并最终应用策略设置.

5-客户端工具

一般来说client用策略相关的命令

Gpupdate /force /target: computer or user

Gpresult /r /h

Rsop.msc 基于管理界面的显示策略结果集

6-组策略优先级

管理员创建完成组策略对象后,可以将它们链接到不同的容器中,在不同级别的容器中,应用的优先级是不一样的,管理员可以使用GPMC直观的查看策略应用的优先级

技术分享

组策略应用顺序: 本地---站点策略---域策略---OU策略

优先级数值: 从左到右越来越低

技术分享

点sales容器就可以看到策略的优先级

7-阻止继承和强制

在活动目录中,多个容间之间形成了一种层次结构,默认情况下,链接到上一层容器的组策略对象因为继承的机制,会应用到下一层容器中,管理员可以使用阻止继承或是强制来改变这种默认的应用规则。

技术分享

同时看到 OU上出现蓝***标

技术分享

强制:

技术分享

8-安全筛选

默认情况下,无论是计算机还是用户,只要经过身份验证就能够应用组策略,管理员可以使用安全筛选的机制,指定特定的帐户才能够应用组策略。

技术分享

技术分享

9-WMI筛选

在GPMC中,管理员可以使用WMI筛选器功能,依据WMI匹配用户或是计算机的特定属性,来过滤满足条件的用户或是计算机应用组策略。

Step1:可以到微软网站下载wmi tools

Step2:新建wmi筛选器:

技术分享

技术分享

Step3:在GPO上调用wmi筛选器

技术分享

10-Starter GPO

从Windows Server 2008开始,组策略中新增加了Starter GPO功能,管理员可以创建Starter GPO并在其中编辑多数GPO要使用到的通用设置。

一句话解释:通过这个方式可以去简化新GPO的创建

技术分享

11-组策略建模

使用组策略建模功能,管理员就可以依据建模向导,模拟特定的用户在特定的计算机上登录时,应用的组策略设置。

技术分享

技术分享

组策略建模 是不需要computer online的

12-组策略结果集

使用组策略结果集工具,管理员就可以确定特定的用户登录到特定的计算机上应用哪些策略。

利用组策略结果向导:可以察看远程电脑 (但远程电脑必须online)

技术分享

13-权限委派

通过权限委派,管理员就可以指定特定的用户和组能够去创建和编辑GPO,还可以指定特定的用户和组在容器之上有链接GPO的权限。

技术分享

技术分享

14-备份和还原组策略对象

使用GPMC管理工具,备份和还原GPO将变得非常简单,同时针对于默认的域策略和域控制器策略,管理员还可以使用dcgpofix工具执行重置操作。

技术分享

技术分享

技术分享

输入dcgopfix /target:both 后会有个提示,输入y就好

15-软件分发策略

利用组策略提供的软件安装功能,管理员就可以批量地将软件部署给应用策略的所有的计算机之上,提高软件部署的效率。

先要准备好软件,并且共享出来

技术分享

技术分享

16-启动/关机脚本

组策略中包括几千项的设置,可以满足大部分的应用管理场景,如果管理员遇到的场景无法利用现有的选项完成,那么管理员可以在组策略中设置脚本,来满足特殊的管理需求。

技术分享

技术分享

17-审核策略

使用审核策略,系统就可以跟踪对象访问和变更的操作,记录操作用户,以用于企业内的安全审计。

技术分享

技术分享

技术分享

18-用户权限分配

利用组策略中的用户权限分配策略,管理员就可以为特定的用户或是安全组,精细地分配特定的权限。

技术分享

里面条目里都有默认的组,可以具体查看

19-安全选项

利用组策略提供的安全选项,管理员就可以建立起统一的安全规范,比如将域中所有用户的管理员帐户进行重命名,降低安全风险。

技术分享

20-事件日志

Windows的安全日志,记录着重要的安全事件,管理员可以依据安全日志诊断系统的安全状态,管理员可以利用组策略对于安全日志进行统一的设置,规范安全日志的管理。

利用eventvwr.exe 可以查看本地事件日志

技术分享

21-受限制的组

Windows内置的安全组,具有对系统不同的操作权限,通过组策略设置受限制的组,就能够限制安全组中的成员,保证只有授权的用户才能成为安全组的成员。

比如说可以在administrtors组中定义user group name

技术分享

22-系统服务

通过组策略中的系统服务,管理员可以统一设置计算机中的某些服务的运行状态,自动启动或是禁用

技术分享

23-注册表

通过组策略中的注册表设置,管理员可以统一设置系统中特定的注册表项的安全选项,强制注册表项的安全

技术分享

技术分享

24-文件系统

通过组策略中的文件系统设置,管理员可以统一设置系统中特定的文件或文件夹的安全选项,强制文件或文件夹的安全 (其实就是针对某个文件夹做NTFS权限)

25-高级防火墙

通过组策略中的高级防火墙设置,管理员可以统一设置系统中防火墙的规则,保证特定的应用程序或是端口能否通过防火墙

技术分享

技术分享

26-网络列表管理策略

通过组策略的网络列表管理策略,管理员就可以指定计算机中网络连接的类型,从而此网络开启不同类型的服务。

技术分享

27-公钥策略

通过组策略的公钥策略设置,管理员可以统一的对于证书进行管理,比如添加受信任的根证书颁发机构,简化管理

28-软件限制策略

通过组策略中的软件限制策略,管理员就可以以不同的方式,限制特定的软件运行,让用户专注于业务软件

技术分享

技术分享

用路径来限制某个应用程序不能使用.

29-APP Locker

AppLocker是Windows Server 2008 R2中新增加的一个特性,通过AppLocker,管理员可以非常灵活的限制应用程序,Windows安装程序,脚本的运行

但客户端一定要启动服务application identity

技术分享

技术分享

技术分享

30-ipsec策略

使用IPSec技术,管理员可以更加好的保障网络通信的安全,加密网络通信,验证通信主机身份

31-集中存储策略模板ADMX

从Windows Server 2008开始,组策略中的管理模板新增了ADMX类型的模板文件,同时,管理员可以设置集中存储ADMX文件,而不必复制到每一个GPT文件夹中

读取 C:\windows\PolicyDefinitions 下所有的ADMX文件

Admx其实就是对应了注册表的操作

32-导入应用程序ADMX文件

为了充分利用组策略的统一管理的特性,第三方程序可以开发相应的ADMX管理模板文件,管理员通过导入这些模板文件,便可以轻松地实现统一设置,提高管理效率

大家可以到微软上下载到adminTemplates,可以解压到

技术分享

同时可以手动添加admx文件

技术分享

33-组策略首选项

组策略首选项是Windows Server 2008开始新增加的功能,它能够简化管理员实施组策略,并且相对于策略来说,应用首选项的设置并不是强制的

Group policy preferences用来设置用户或者计算机的工作环境

从下图可以看出,组策略内置策略首选项两个部分。

区别如下:

1-只有域内的组策路才有首选项功能,本地计算机策略并无此功能

2-首选项非强制性,客户端可自行更改,故首选项适合用来做默认值,然后策略设置是强制性的,客户端应用后,就无法更改

3-策略设置优先于首选项设置

PS:如果客户端是win xp,则需要安装client-side extension CSE

首选项又分为: windows设置:(替代script),比如驱动器映射,环境变量等

控制面板设置:用来设置客户端控制面板内的项目,如区域选项,电源选项,打印机等

技术分享

本文出自 “Erick WAY” 博客,谢绝转载!

[精讲17] 组策略

标签:组策略   windows   编辑器   target   blank   

原文地址:http://ericfu.blog.51cto.com/416760/1642451

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!