企业中通过组策略实施管理策略,组策略通过组策略管理控制台(Group Policy Managment Console,简称GPMC)进行管理,可以把GPMC看作是企业管理中枢,而每一个策略可以看作是一项已经落实的管理制度,通过管理制度约束、强制企 业中的计算机和用户统一执行企业规则,完成管理任务。本章将介绍组策略方面的基础知识,后续章节将结合组策略通过几个案例介绍组策略在企业中的应用。
必须了解的知识
域 管理员通过组策略管理企业中的计算机,当计算机或者用户应用组策略后,大部分更改结果保存在当前计算机的注册表中,客户端计算机或者域控制器通过读取注册 表中的设置完成管理任务。换而言之,每一个组策略都和注册表中的键值相对应。组策略基于域、组织单位策略,对域、组织单位中的计算机和用户都有效。
组策略对象
1.默认组策略对象
部署AD DS域服务后,将创建两个默认域组策略对象,分别为Default Domain Policy(默认域策略)和Default Domain Conrollers Policy(默认域控制器策略)。
·Default Domain Policy影响域中的所有用户和计算机(包括作为域控制器的计算机)。该策略的GUID为“{31B2F340-016D-11D2-945F-00C04FB984F9}”,默认该策略已经启用,通过GPMC查看该策略
·Default Domain Controllers Policy,管理目标“Domain Controllers”容器,影响“Domain Controllers”容器中的域控制器,域控制器账户单独保存在该容器中。该策略的GUID为“{6AC1786C-016F-11D2-945F- 00C04FB984F9}”,默认该策略已经启用,通过GPMC查看该策略。
建议:
任何情况下,不建议在Default Domain Policy和Default Domain Controllers Policy策略中做更改设置。推荐做法为首先创建组策略对象,然后关联到目标组织单位,最后更改新建的组策略对象。
2.组策略对象包含的内容
组策略对象的内容分为两部分:组策略容器(Gourp Policy Container,简称GPC)和组策略模板(Group Policy Template,简称GPT)
GPC内容存储在Acitve Directory数据库中,记录组策略对象的属性和版本等信息。通过“Acitve Directory管理中心”查看策略的GPC。
GPT 存储组策略对象的设置值和相关文件,是一个文件夹,默认位置“%systemroot%\sysvol\sysvol\域名\Policy(默认域策略) 和Default Domain Controllers Policy(默认域控制器策略)的GPT文件夹”
本地组策略和域组策略
组策略分为2种类型,即本地组策略和域组策略。
·域组策略基于森林、站点、域、组织单位的组策略都属于非本地组策略。存储在域控制器中,非本地组策略对象只能在Acitive Directory环境下使用。适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。
·本地组策略。本地组策略是只能在本机上使用的策略,对其他域用户(用户账户和计算机账户)无效。在工作组或单机环境下,本地组策略仅能管理当前环境下正在使用的计算机。如果当前的计算机已经加入域,但是没有登录到域中,本地组策略有效。
域组策略分类
域的策略分为2类:计算机配置策略和用户配置策略。
·计算机配置策略:位于“组策略管理编辑器”中的“计算机配置”下,客户端计算机启动后在操作系统初始化以及系统检测周期内,没有登录到域之前生效。无论哪个用户登录到计算机,客户端计算机都将首先应用计算机配置策略。
·用户配置策略:位于“组策略管理编辑器”中的“用户配置”下,用户登录到域中时生效。无论用户登录哪一台计算机,都将应用同样的用户配置策略。
组策略的应用时间
域对象更改后,新的配置不会立即对计算机和账户生效,必须等待域对象设置值应用到计算机和用户后才生效,计算机配置和用户配置的生效时间不同。Windows Server 2012的组策略管理支持强制推送组策略到客户端计算机。
1.计算机配置
目标是计算机的应用时间。
·计算机开机时自动应用。
·计算机如果已经启动,每隔一段时间后会自动应用。
-域控制器:默认每隔5分钟应用一次
-非域控制器:默认每隔90-120分钟应用一次
-不论策略是否更改,安全性配置策略默认每个16小时应用一次。
·手动强制刷新:使用“gpupdate /force”命令强制应用组策略,注意某些策略必须重新启动计算机后生效。
2.用户配置
目标是用户的应用时间。
·用户登录时自动应用。
·用户如果已经登录:
-默认每隔90-120分钟应用一次。
-不论策略是否更改,安全性配置策略默认每隔16小时应用一次。
·手动强制刷新:使用“gpupdate /force”命令强制应用组策略,注意某些策略用户重新登录后生效。
组策略处理规则
1.默认处理规则
组策略不是对组(安全组、通信组)设置,而是对站点、域、组织单位的设置、组策略处理规则如下。
·组策略具备继承规则。组织单位继承域的组策略,域集成站点的组策略。为父域部署的组策略,不能继承到子域上,域和域之间不能继承组策略。
·组策略具备累加性。如果同是给站点、域、组织单位部署组策略,在组策略不冲突的前提下组织单位的用户同时继承所有的组策略。如果组策略之间冲突,站点和域的组策略冲突,域组策略优先级高。域和组织单位的组策略冲突,组织单位的组恶略优先级高。
·操作系统首先处理计算机配置策略,然后处理用户配置策略,计算机配置策略优先级高。如果二者之间有冲突,优先处理计算机配置策略。
·组策略按序执行。如果同一个组织单位中,部署多条组策略,按照策略顺序自上而下顺序执行策略。
·策略优先级。Active Directory架构中,下层结构的组策略优先级高于上层组策略的优先级。
2.阻止继承
组策略默认设置为自动继承父容器的策略,域管理员可以拒绝子容器继承来自父容器的策略。
强制继承
组策略默认设置为自动继承父容器的策略,但在某些应用如果策略之间出现冲突,需要强制应用父容器的策略,需要域管理员使用强制手段部署策略,即使已经部署“组织继承”功能,子容器也会继承父容器的策略。
组策略更新
Windows Server 2012提供“组策略更新”功能。当域管理员更新组策略后,以前版本中需要通过手动或者时间方式应用的组策略,通过“组策略更新”功能,域管理员可以立即 将新策略推送到目标计算机中,并且在10分钟内强制更新目标计算机或者用户中的策略。
例如,组织单位“demo”中部署新策略,执行以下操作将强制更新目标计算机或者用户。
第1步,选择组织单位“demo”,右击“demo”,在弹出的快捷菜单中选择“组策略更新”命令
第2步,命令执行后,打开“强制组策略更新”对话框,显示当前组织单位中即将强制应用的计算机和用户
第3步,单击“是”按钮,输出组策略应用结果。本例中一台计算机应用成功,其余两台计算机应用失败(关机)
第4步,客户端计算机根据策略部署,当计算机重新启动或者用户注销后,执行策略完成管理任务。对于域管理员来说,不需要通过执行“gpupdate /force”命令完成策略刷新操作,简化操作难度。
第5步,客户端计算机得到策略应用通知后,键入“Y”注销当前登录的用户,重新登录后应用新的策略。
更改管理用的域控制器
组策略默认首先保存在具有“PDC主机角色”的域控制器中,然后通过复制同步其他域控制器。如果部署站点或者多域控制器环境,域管理员可以手动设置域控制器作为组策略的首选域控制器。
单击菜单栏的“操作”菜单,在显示的下拉菜单列表中选择“更改域控制器”命令,命令执行后,打开“更改域控制器”对话框。
其中:
·具有PDC模拟器操作主机令牌的域控制器。即PDC操作主机所在的域控制器,建议使用该值。
·任何可用的域控制器。自动选择域中可用的域控制器。
·任何可用的运行Windows Server 2003或更新版本的域控制器。通过组策略控制台使用手动模式选择一台域控制器。
此域控制器。域管理员使用组策略控制台正在连接的域控制器就是要选择的域控制器。
更改组策略的应用时间
1.更改计算机配置的应用时间
选择“计算机配置”-“策略”-“管理模板”-“系统”-“组策略”选项,选择“设置计算机组策略刷新间隔”。默认该策略没有配置,但是仍然存在默认设置并生效。
默认情况下,计算机组策略会爱后台每隔90分钟更新一次,并将时间0到30分钟的随机调整。
打开该策略后,默认设置90分钟加0-30分钟的随机值,即每隔90-120分钟应用一次。如果禁用或者使用没有配置策略,使用默认时间,如果应用间隔设置为0,则每隔7秒钟应用一次。如果要启用该策略,设置每15分钟刷新一次,参数设置为:
·“使用此设置可自定义组策略应用到计算机的频率”选项设置为15分钟。
·“这是一个添加到刷新间隔的随机时间,可用来防止”选项设置为0,不设置随机时间。
单击“确定”,完成策略设置。
2.更改用户的应用时间
选择“用户配置”-“策略”-“管理模板”-“系统”-“组策略”选项,选择“用户的组策略刷新间隔”
打开该策略后,默认设置90分钟加0-30分钟的随机值,即每隔90-120分钟应用一次。如果禁用或者使用没有配置策略,使用默认时间,如果应用间隔设置为0,则每隔7秒钟应用一次。策略设置方法和计算机策略相同。
首选项
组策略设置分为策略和首选项。简述两者之间的区别
·策略设置是强制性的,客户端应用后将无法更改。首选项是选择性的,用户可以更改客户端的设置,因此首选项可以作为默认值。
·策略和首选项部署相同的设置,策略设置优先级高。
·首先设置的客户端必须安装“Client-side extension(CSE)组件”,WIndows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 7/8默认包含组件。其他版本的WIndows操作系统必须到微软站点下载CSE组件并安装到目标计算机中,更新编号为“KB943729”。
组策略日常管理
Windows Server 2012中通过GPMC管理组策略,通过控制台完成组策略对象的创建、连接、设置以及发布管理,在同一个管理控制台中完成组策略对象全部管理。
打开GPMC控制台
以域管理员身份登录域控制器,默认启动“服务器管理器”——菜单栏“工具”菜单——选择“组策略管理”,命令执行后,打开GPMC控制台。
查看组策略对象属性信息
域管理员可以通过GPMC查看组策略对象的属性信息,查看组策略对象的设置信息,明确了解组策略对象和默认策略相比做了哪些改动。
1.作用域
打开GPMC控制台,选择目标组策略对象后,窗口右侧切换到“作用域”选项卡,其中:
·“链接”区域,显示选择的组策略对象已经链接的目标组织单位、域。
·“安全筛选”区域,显示“Authenticated Users”组,只要经过身份验证的用户都可以应用组策略。
·“WMI筛选”区域,设置组策略对象的过滤条件。
2.详细信息
选择目标组策略对象后,窗口右侧切换到“详细信息”选项卡,显示组策略对象的属性信息。建议组策略对象的GUID,以及GPO的状态。
3.设置
选择目标组策略对象后,窗口右侧切换到“设置”选项卡,显示组策略对象的配置信息。本例中,策略目标创建名称为“Z”的网络映射驱动器,映射目标 “\\dc\software”,在“用户配置”区域完成的映射。“设置”信息,可以帮助域管理员排错,显示组策略对象的设置。
4.状态
选择目标组策略对象后,窗口右侧切换到“状态”选项卡,显示域控制器相关信息。显示域控制器之间的复制状态,以及当前域中的PDC角色所在的域控制器。
5.委派
选择目标组策略对象后,窗口右侧切换到“委派”选项卡,显示安全方面的设置相关信息。“允许的权限”列表中显示对目标域组或者域用户设置的权限。
需要删除已经授权的目标域组或者域用户。选择目标后,单击“删除”按钮,删除目标域用户或域组。
需要添加新的目标域组或者域用户。单击“添加”按钮,打开“选择用户、计算机或组”对话框,设置目标域组、计算机或域用户
单击“确定”按钮,打开权限设置对话框,设置目标用户具备的权限,允许域管理员设置以下权限。
·读取。
·编辑设置。
·编辑设置、删除、修改安全性。
设置完成后,单击“确定”按钮,完成目标域对象权限设置。
创建组策略对象
组策略对象只能部署在域、组织单位而不是组中,域中默认创建两条策略:Default Domain Policy和Default Domain Controllers Policy,建议不要修改两条默认策略,应该创建新的组策略对象,然后配置新的组策略对象。
1.新建组策略对象
本例中,在组织单位中创建名称为“组策略测试”对象。
第1步,右击组织单位“demo”,在弹出的快捷菜单中选择“在这个域中穿件GPO并在此处链接”命令。
第2步,命令执行后,打开“新建GPO”对话框,“名称”文本框中设置新组策略对象的名称。
第3步,单击“确定”按钮,创建新的组策略对象。注意,如果该组织单位中已有组策略对象,按照创建对象的先后顺序排列,最后创建的组策略对象链接顺序值最大,优先级最低。组策略按照链接顺序执行策略,最后创建的最后执行。新建的组策略对象自动连接到当前组织单位,并继承到所有子容器中。
2.链接已有的组策略对象链接到不同组织单位中,组织单位可以共用同一个组策略对象,相互之间不会产生冲突。
第1步,右击组织单位“demo”,在弹出的快捷菜单中选择“链接现有GPO”命令
第2步,命令执行后,打开“选择GPO”对话框,从“组策略对象”列表中选择需要链接的组策略对象
第3步,单击“确定”按钮,选择的组策略对象链接到组织单位“demo”
3.删除组织单位中链接组策略对象
窗口右侧的“链接的组策略对象”选项卡中显示组织单位中部署的组策略对象。右击需要删除的组策略对象,在弹出的快捷菜单中选择“删除命令”,命令执行后,根据提示删除组策略对象即可。注意,该操作并没有真正地删除组策略对象,只是删除组织单位中的链接。
删除组策略对象
删除组策略对象,执行该操作后删除目标组策略对象。如果该组策略对象链接到多个组织单位,也会同时删除在组织单位中的链接。
“组策略对象”节点中,右击需要删除的组策略对象,在弹出的快捷菜单中选择“删除”命令,命令执行后打开删除信息对话框。单击“是”按钮,删除目标组策略对象。
更改组策略对象的状态
组策略对象的状态指的是启用、禁用、禁用用户配置设置、禁用计算机配置设置等。右击选择需要更改状态的组策略对象,在弹出的快捷菜单中选择“GPO”状态,在弹出的级联菜单中选择相应的命令。命令执行后,完成相应的管理功能。
其中:
·已启用。启用组策略对象,包括计算机配置和用户配置的所有功能。
·已禁用用户配置设置。禁止使用用户配置相关的设置,只能使用计算机配置相关的设置。
·已禁用计算机配置设置。禁止使用计算机配置相关的设置,只能使用计算机配置相关的设置。
·已禁止所有设置。禁止使用该组策略对象。
编辑组策略对象
编辑组策略对象,设置组策略对象的设置。Windows Server 2012中可用的配置多大数千条,管理员根据需要设置即可。注意,建议每个组策略对象设置详细的“描述”信息,最好能描述清楚更改的配置。
右击需要设置的组策略对象,在弹出的快捷菜单中选择“编辑”命令,打开“组策略管理编辑器”,通过控制台设置需要的功能。
组策略对象备份
组策略对象备份,备份已经部署的所有组策略对象,可以将备份部署其他域环境或者当域出现故障后,通过备份恢复组策略对象。
第1步,打开GPMC控制台,右击“组策略对象”,在弹出快捷菜单中选择“全部备份”命令。
第2步,命令执行后,打开“备份组策略对象”对话框,其中:
·“位置”文本框中设置存储组策略对象的目标文件夹。
·“描述”文本框设置备份相关信息。
第3步,单击“备份”按钮,开始备份组策略对象。单击“确定”按钮,关闭备份对话框。完成组策略对象备份。
管理备份
通过“管理备份”功能查看已经补发的组策略对象,以及相关设置。
第1步,打开GPMC控制台,右击“组策略对象”,在弹出的快捷菜单中选择“管理备份”命令。
第2步,命令执行后,打开“管理备份”对话框,“已备份的GPO”列表中显示已经备份的组策略对象。
第3步,选择列表中的任一个组策略对象后,单击“查看设置”按钮,使用“Internet Explorer”浏览器打开组策略对象配置,显示和默认组策略对象不同设置。
复制GPO
使用复制操作,将已有GPO设置直接传送到新GPO中,并为复制操作期间创建的新GPO指定一个新GUID,并且将其解除链接。
第1步,右击需要复制的组策略对象,在弹出的快捷菜单中选择“复制”命令。
第2步,命令执行后,右击“组策略复制”节点,在弹出的快捷菜单中选择“粘贴”命令
第3步,命令执行后,打开“复制GPO”对话框。其中:
·“新GPO使用默认权限选项”,为新创建的GPO分配和“Default Domain Policy”策略相同权限。
·“保留现有权限”,对现有权限不做任何修改
第4步,单击“确定”按钮,打开“复制”对话框创建新的组策略对象。