审计-域-OU及组策略配置方法

域-组策略配置方法

**本地管理员组 administrators
**域管理员组 Domain Admins

OU:组织管理

作用:用于归类域资源
和组的不同点为:OU是下发组策略

创建OU

1)新建OU
审计-域-OU及组策略配置方法_第1张图片审计-域-OU及组策略配置方法_第2张图片一般将整个公司组织架构都建出OU方便管理;例如下图
审计-域-OU及组策略配置方法_第3张图片可以看到,图标中带符号的都是OU;在域创建成功后,会自动生成一个OU;Domain Controlls;这里保存了所有域成员。

2)将之前创建的域成员移动到相应的OU中;此处的成员包含了账号和计算机;
审计-域-OU及组策略配置方法_第4张图片审计-域-OU及组策略配置方法_第5张图片再将该用户对应的计算器也移入对应的OU中;
审计-域-OU及组策略配置方法_第6张图片完成后的样子
审计-域-OU及组策略配置方法_第7张图片

GPO:组策略

作用:可以修改计算机的各种属性,配合OU使用
审计-域-OU及组策略配置方法_第8张图片审计-域-OU及组策略配置方法_第9张图片

创建GPO

在组策略管理器中,管理策略就是一张张表。
现在在对应OU下方添加一个组策略GPO:
审计-域-OU及组策略配置方法_第10张图片

编辑一条策略

审计-域-OU及组策略配置方法_第11张图片

添加功能

现在完成这样一条功能;
将集团所有人的电脑桌面固定为特定图片
1)首先这张图片要放到一个共享文件夹中,这样所有成员都可以获取到这张图片。
功能逻辑流程为:
a. 用户登录时,会去域管理处检查是否有组策略,
b. 检测到需要设置桌面背景
c. 从指定的位置获取图片
d. 设置用户桌面背景,登录成功
审计-域-OU及组策略配置方法_第12张图片该share文件夹为共享文件夹。

2)找到需要开启的组策略
审计-域-OU及组策略配置方法_第13张图片审计-域-OU及组策略配置方法_第14张图片启动这条策略,并写清楚图片路径,让用户可以获取到。

3)用户注销或重启后就可以看到设置生效了。
审计-域-OU及组策略配置方法_第15张图片

备注

计算机的策略生效逻辑遵循以下原则:
LSDOU
L 指本地,首先会检查本地是否有策略,如果有先配置本地策略
S 指 林(很少用)
D 指域 ,计算机检查完本地策略后,访问域控制,查看是否有域策略。如果有,覆盖之前的策略,配置域策略。
OU:指今天的OU策略,OU有多级,一级一级策略查看,有就配置。

举个例子:
集团OU中配置为桌面设置为a,但是IT部配置为桌面设置为b, 则IT部员工的桌面最终配置为b.

上边是正常情况下的逻辑。
在策略中有“强制”执行功能,一般是上级策略用。
对于下层OU,可以设置“阻止继承” 来拒绝上级策略。

当两种情况同时出现时,强制优先级高。

你可能感兴趣的:(审计,安全)