木叶清风,C++,Python,Java,C#,Unity3d,Unreal4,UE4,技术日志

# 域控服务器组策略概念

# 前言

通过《域控服务器部署》我们知道了如何创建并配置AD DS服务,那么域控服务器是如何控制windows客户端的呢?这篇文章将具体介绍一些关于组策略的一些概念。

# 概念明晰

# 域中的"用户"

这个是每个域用户登录域内计算机时的账号。用户是域用户在域中的对象映射。

  • 本地用户账户
    • 在计算机本地创建的用户。
  • 域用户账户
    • 在域控中创建账号。其能在加入域的计算机登录。

# 域中的"计算机"

这个是每个域用户加入域后,所使用的计算机在域中的对象映射。

# 组织单位(Organization Unit)

将用户,组,计算机和其他组织单位放入活动目录。是指派组策略或委派管理权限的最小作用域单元。通过组织单位的包容功能,形成清楚的层次架构,这种包容架构可以使管理者把现实中企业的行政组织架构在域中体现出来,并可以委派任务与授权。

# 组(Group)

同一个组中可以包含用户,计算机和其他嵌套组。对比于企业中的兴趣组,比如羽毛球业余爱好组,在打羽毛球期间,他们对羽毛球球场地有相同的权限。他们不一定像组织单位层次分明,但是对同一个资源应该有相同的权限,将他们放到一个组中,方便管理。一个域中组的命名是唯一的。

# 组类型

组类型分为 安全组通信组,安全组和通信组都可以发送电子邮件,但是安全组可以管理用户权限。

# 组作用域

  • 域本地组(Domain Local Group)
    • 一般用来设置权限,比如共享文件夹,打印机。
    • 只能将同一个域中资源指派给这个组。
  • 全局组(Global Group)
    • 在林范围内使用,可在本域和可信任域中使用。
    • 建议基于组织结构,行政结构规划。
  • 通用组
    • 在林范围内使用,可从任何域中添加用户和组。
    • 不属于任何域,通常用来域间访问。
    • 不是保存在各自的域控制器上,而是保存在全局编录服务器中。

授权规则建议将用户账户加入到全局组,然后把全局组加入到域本地组,最后对域本地组进行授权。

# 域控上的常用组

  • 内置组(Builtin)
    • Administrators 对域控的AD有完全控制,权限最高的组。
    • Network Configuration Operators 有部分权限来管理网络功能配置。
    • Users 只有有限权限,默认包含Authenticated Users 和 Interactive。
    • Power Users 有限的管理权限,比Users高,比Administrators低。
  • 内置域组
    • Domain Admins 被自动添加到林中每个域计算机的Administrators组,该组对所有域控及域中AD有完全控制,还具有改变该域所有管理账户的成员资格,默认成员是Administrator。
    • Domain Users 被自动添加到林中每个计算机的Users组,具备本地组Users所拥有的权限和权利,默认成员是Users。
    • Domain Computers 所有加入域的计算机默认加入到该组。
    • Domain Controllers 所有域控制器默认加入该组。
    • Enterprise Admins 该组对活动目录有完全控制权限。
    • Schema Admins 该组对活动目录有完全控制权限。
    • Group Policy Creator Owners 可以修改域中的组策略。
  • 特殊用户组
    • Everyone 任何一个用户都隶属于该组。
    • Authenticated Users 任何通过身份验证的用户都隶属该组。
    • Interactive 任何本地登录的用户(使用Ctrl+Alt+Del登录)都隶属该组。
    • System 拥有系统最高权限,系统和系统级别的服务依赖于System权限,它只有一个用户System,不允许其他任何用户加入。
    • Creator Owner 文件或文件夹的权限,如果创建是Administrators,那么它的权限是Administrators。

# 组和组织单位的不同

上面发现组和组织单位都是将用户划分成一个个团体,那么他们有什么区别呢?

  • 组织单位就像大厦中的一个房间,一个人在一个房间里就不会在另一个房间里。
  • 组就像我们大学的兴趣小组,可以在很多个组里,那么用户的权限就是这些组的并集。
  • 组织单位体现的是管理模型,而组是权利和权限的集合。

# 组策略(Group Policy)

它可以控制用户账户或计算机账户的工作环境,能控制用户在计算机上能做什么,不能做什么。比如,不能使用U盘,可以将Z盘映射到某个NAS上等等。

组策略只能应用在站点,组织单位和域。

# 组策略分类

  • 域组策略
    • 在域控中创建的组策略,基于林,站点,域,组织单位。客户端脑登录域账号时起作用。
  • 本地策略
    • 只能在本客户端使用的策略,在没有加入域或者加入域但是没有登录域的客户端起作用。

# 域组策略的分类

  • 计算机配置策略
  • 用户配置策略

计算机配置和用户配置应该都是客户端登录到域时起作用的。计算机配置只不过每个域用户登录都会起作用。

# 域组策略应用时间

  • 计算机配置策略
    • 开机时应用
    • 已经开机:
      • 域控 默认5分钟应用一次
      • 非域控制器 默认90-120分钟应用一次
      • 不论是否修改,安全性配置策略每隔16小时应用一次
  • 用户配置
    • 开机时应用
    • 已经登录:
      • 默认每隔90-120分钟应用一次
      • 不论是否更改,安全性配置策略每隔16小时应用一次。
  • 手动应用
    • 客户端在CMD中使用gpupdate /force应用组策略,注意某些策略只有重启才会起作用。

# 组策略实施优先级

  • 本地策略 小于 站点策略 小于 域策略 小于 父OU策略 小于 子OU策略
  • 计算机配置高于用户配置。
  • 父OU组策略设置与子OU设置发生冲突,子容器中组策略的设置将覆盖父容器策略。
  • 同一容器的多个策略按照自上而下执行顺序生效。

# 组策略的继承

  • 子容器默认继承父容器组策略
  • 子容器使用阻止继承后,父容器可以使用强制。让子容器强制服从策略。
  • 子域不继承父域组策略。但是子域和父域默认有信任关系。

# 组策略的使用

创建组策略

如图我们可以看到部署好AD DS后,将创建两个默认的域组策略对象:

  • Default Domain Policy
    • 影响域中的所有用户和计算机(包括作为域控制器的计算机)
  • Default Domain Controllers Policy
    • 管理目标Domain Controllers容器,影响该容器中的域控制器,域控制器账户单独保存在该容器中。

在任何时候都不要直接修改这两个策略,因为组策略是可以叠加的,所以我们应该以实际用途新建GPO,并将其关联到我们的容器上。比如新建一个封掉U口的GPO,新建一个防止修改IP的GPO,这样如果要启用U口禁掉第一个GPO,如果我们只禁U口,用户可以修改IP,那么我们禁掉第二个GPO即可。

这篇基本讲解了组策略涉及的概念以及使用,在下一章节中我们将介绍具体的组策略实施。

域控服务器部署