Active Directory管理和构架-第2部分(组织单位与组策略)

第第2部分部分 组织单位与组策略组织单位与组策略内容内容n组织单位n组织单位的控制委派n组策略组织单位组织单位n组织单位概述n组织单位的层次模型组织单位概述组织单位概述nOU是一些ActiveDirectory容器，可以在其中放置用户、组、计算机和其他OU。nOU是可以向其分配组策略设置或委派管理权力的最小作用域或单位。n使用OU可以在域中创建表示组织中的层次结构、逻辑结构的容器。然后可以根据组织模型管理帐户和资源的配置和使用。n可以使用OU创建能够缩放到任意大小的管理模型。组织单位的层次模型组织单位的层次模型基于功能基于功能SCMS销售C咨询M市场基于混合型的示例基于混合型的示例功能功能组织位置位置功能组织组织位置基于组织基于组织MERM制造业E工程师R研究员基于地理位置基于地理位置NFIN挪威F法国I印尼组织单位控制委派的概念组织单位控制委派的概念n把管理组织单位的责任分给另一个用户或组n委派管理：通过分发例行管理任务来减轻网络管理的整体负担使组织中用户或组对本地网络资源进行更有效的控制减少对多个拥有广泛授权的管理账户的需求，例如可管理整个域的账户域域OU1OU2OU3Admin1Admin2Admin3管理控制委派的方法管理控制委派的方法 n更改特定容器的属性n在组织单位下创建和删除特定类型的对象，如用户、组或打印机n在组织单位下更新特定类型对象的特定属性例如：可以委派在组织单位中的用户对象或所有对象上设置密码的权限控制委派向导控制委派向导n使用控制委派向导来指定：需要委派控制的用户或组需要赋予用户或组权限来控制的组织单位和对象指定用户或组需要执行的任务n控制委派向导自动分派给用户合适的权限来访问和修改特定对象组策略组策略内容内容n组策略概念n组策略的应用实例n组策略部署管理什么是组策略什么是组策略 管理用管理用管理用管理用户与计户与计算机的算机的算机的算机的环环境境境境 严严格格格格执执行行行行ITIT原原原原则则 简简化管理工作化管理工作化管理工作化管理工作 应应用安全用安全用安全用安全设设定定定定用户和计算机的配置设置用户和计算机的配置设置n组策略用户配置：桌面设置软件设置Windows设置安全设置n组策略计算机配置：桌面设置软件设置Windows设置安全设置组策略的应用实例组策略的应用实例n安全策略n管理模板n管理用户环境n软件部署n软件限制组策略中的安全策略组策略中的安全策略n帐户策略n本地安全策略n受限安全组n注册表n文件系统n服务n软件限制策略管理模板管理模板n组策略中提供大量的设定使管理员可以通过一次设定,管理多台计算机或者多个用户n组策略中很大一部分设定实际上是改的注册表n管理模板(.ADM)文件定义了组策略如何修改注册表n所有基于注册表的组策略设定存为registry.pol,放在sysvol中使用组策略管理用户环境使用组策略管理用户环境n脚本分发：组策略允许您将一个或多个脚本文件与以下四个触发事件相关联：计算机启动计算机关机用户登录用户注销n文件夹重定向：通过文件夹重定向功能，可以将用户配置文件中的特定文件夹的位置重定向到新位置，如共享网络位置。DEMOn实验2-1利用组策略实现文件夹重定向软件部署软件部署n软件部署进程n指派软件n发布软件n自动修复软件n删除软件软件的发布与指派软件的发布与指派(2-1)n将软件指派给用户软件被“通告”给用户，但是这个软件并没有真正安装，而只是安装这个软件有关的部分信息n开始运行此软件n利用“文件启动”功能n将软件发布给用户当将一个软件发布给用户后，该软件不会自动安装，需要执行以下操作n执行操作“开始”“控制面板”“添加删除程序”“添加程序”n利用“文件启动”功能软件的发布与指派软件的发布与指派(2-2)n将软件指派给计算机当一个软件指派给域内的计算机后，当这个计算机启动时，这个软件就会自动安装在这些计算机里，而且是安装到公用程序组内。部署部署”非非-MSI”的软件的软件n建立扩展名为.ZAP文件n只能发布给用户,不能指派给用户或计算机n不具备自动修复n安装过程需要用户介入n用户需要具有相应权限ApplicationFriendlyName=“Symantec Norton”SetupCommand=zhuzysoft$sva9setup.exeDisplayVersion=“0.1”Publisher=sysmantecdemon实验2-2使用组策略部署软件实例.软件限制策略软件限制策略软件限制策略软件限制策略启动应用程序启动应用程序 哈希规则哈希规则 证书证书规则规则 路径规路径规则则 区域规则区域规则哈希规划哈希规划n“哈希(hash)”是根据软件程序（文件）的内容计算得出的一连串固定数目的字节。n在为某个软件建立哈希规划，限制用户不允许运行软件时，系统就会为该软件建立一个“哈希”值。当用户要运行此软件时，用户的计算机就会对此其自行算出来的“哈希”值，判断是否与软件限制策略中的“哈希”值相同，如果相同，就拒绝让此软件运行证书规则证书规则n软件限制策略也可以通过“签署证书”辨识软件，也就说可以通建立“证书规划”允许或拒绝用户运行某软件。n证书规划只适用于windowsinstallerpackage(扩展名为.msi)与脚本（scripts),不适用于.exe或.dll的程序路径规划路径规划n软件限制策略也可以用软件所在的路径来辨识软件，例如指定用户可以运行位于某个文件夹内的软件。路径中可以使用环境变量，常用的有%userprofile%规划的优先级规划的优先级n哈希规划n证书规划n路径规划nInternet区域规划Demon实验2-3Windows组策略之软件限制策略组策略使用的最佳实践组策略使用的最佳实践n不要处理未被配置的策略设置n要防止整个组策略对象影响站点、域和组织单位及时删除不再使用的组策略对象n尽量少用“阻止策略继承”和“禁止替代”功能n仅在必要时才用基于计算机的组策略替代基于用户的组策略n避免跨域指派组策略对象不要将一个组策略对象多次链接到同一组织单位组策略部署管理组策略部署管理n组策略对象的工具n组策略对象链接n组策略的应用用顺序n组策略权限的继承n阻止策略继承n强制组策略n组策略筛选组策略对象的工具组策略对象的工具n默认组策略工具ActiveDirectory用户和计算机n域和组织单位组策略对象ActiveDirectory站点和服务n站点组策略对象本地安全策略n本地计算机安全设置n附加工具组策略管理n域、组织单位和站点组策略对象组策略对象链接组策略对象链接组织单位组织单位 GPO组织单位组织单位 GPO站点站点 GPO域域 GPO站点站点域域OUOUOU本地本地本地本地策略策略策略策略站站站站点点点点策略策略策略策略域域域域策略策略策略策略父父父父OUOU策略策略策略策略子子子子OUOU策略策略策略策略组策略的应用用顺序组策略的应用用顺序组策略权限的继承组策略权限的继承域域OUOUOUOUOU用户或计算机账户用户或计算机账户OU GPO 1OU GPO 3OU GPO 2阻止策略继承阻止策略继承 n要阻止策略在域或组织单位中继承ActiveDirectory用户和计算机管理工具n要阻止策略在站点上继承ActiveDirectory站点和服务管理工具阻止组策略对象部署阻止组策略对象部署销售生产域组策略对象组策略对象没有组策略对没有组策略对象设置应用象设置应用强制组策略强制组策略强制强制 链接冲突链接冲突 组策略筛选组策略筛选销售生产域MengphKimyo组应用组策略应用组策略拒绝拒绝读取和应用读取和应用组策略组策略允许允许GPOWMI过滤Windows 2000Windows XPWindows XPWMI过滤过滤域控制器域控制器只套用只套用XP Professional查询是使用查询是使用 WMI 查询语言查询语言(WQL)编写的编写的仅运行仅运行 Windows XP Professional 的目标计算机的目标计算机RootCimV2;Select*from Win32_OperatingSystem where Caption=Microsoft Windows XP Professional组策略对象管理组策略对象管理n组策略什么时候应用n组策略处理过程n备份/还原组策略对象n测试环境与实际环境同步n组策略排除故障组策略什么时候应用组策略什么时候应用 开机与关机开机与关机 使用者登入与注销使用者登入与注销 指定的时间间隔指定的时间间隔 直接直接gpupdategpupdate/force/force指令指令组策略处理过程组策略处理过程同步处理异异步步步步处处理理理理备份备份/还原组策略对象还原组策略对象建置建置建置建置测试环测试环境境境境1测试环境与实际环境同步测试环境与实际环境同步实际环实际环境境境境测试环测试环境境境境组策略排除故障组策略排除故障nGpresult.exe(rsop.msc)nGpudate.exe(强制刷新组策略)nSecedit.exe(win2000刷新)nMps_reportnUserenv.lognWinlogon.log