一、组策略概述。
组策略的优点:
①减小管理成本
②减小用户单独配置错误的可能性
③可以针对特定对象设置特定的策略
组策略对象:
GPO (Group Policy Object)的概念
存储组策略的所有配置信息
AD中的一种特殊对象
默认GPO
1、默认域策略
(1)本地安全策略与默认域策略有冲突,以默认域策略优先,本地设置无效。
(2)本地计算机何时才会应用在域策略内有变动的设置呢?
本地安全策略有变动时;
本地计算机重启时;
DC每5分钟自动应用;
不是DC每隔90-120分钟会自动应用;
所有计算机每隔16小时强制应用,即使无更改。
手动应用域策略:gpupdate或gpupdate /force
2、默认域控制器策略
只影响到位于Domain Controllers内的域控制器,不影响其他组织单元或容器内的计算机和用户
所有位于Domain Controllers内的DC都会受域控制器安全策略的影响。
默认域策略与域控制器安全策略冲突时,对于DC来说默认域控制器策略优先,域安全策略无效。
GPO链接
只能链接到站点、域、OU
站点的概念 :
活动目录中的站点是从物理上抽象的概念
由一个或几个通过高速链路连接在一起的IP子网组成
站点和域的关系:
一个站点中可以有多个域
一个域中可以有多个站点
站点的主要作用:
优化复制
使用户能够使用可靠、高速的连接登录到域控制器上
域内的策略:在域内可以针对站点、域或组织单元来设置组策略,其中的域组策略内的设置会被应用到域内所有计算机与用户,而组织单元的组策略会被应用到该组织单元内的所有计算机与用户。
对于加入到域的计算机来说,如果两者有冲突,以域或组织单元组策略的设置优先,本地策略无效。
打开方式:运行gpedit.msc命令
二、创建组策略。
组策略内的设置分为:策略、首选项
只有域内的组策略才有首选项功能,本地计算机策略无此功能。
首选项非强制性,客户端可更改设置,策略设置是强制性,客户端无法更改。
策略设置若要在客户端发生作用,客户计算机的操作系统或应用程序必须支持组策略,首选项不需要。
若要筛选策略设置,必须针对整个GPO来筛选,而首选项可以针对单一设置项目来设置。
三、组策略应用规则。
组策略应用顺序LSDOU:本地组策略->站点->域->OU
如果在一个对象上存在多个GPO策略,那么按照GPO策略编号从高往低执行,最后执行的策略生效。
所有的策略应用都需要遵循以下几种规则:
①继承与组织。
下级容器默认会继承来自上级容器的GPO
子容器可以阻止继承上级容器的GPO
②累加与冲突。
③强制生效。
上级容器强制下级容器执行其GPO设置
“强制生效”会覆盖“阻止继承”设置
④筛选。
可阻止一个GPO应用于容器内的特定计算机或用户
让特定的对象应用组策略
筛选的配置方法:
1.选中OU下的GPO
2.点击GPO中的"委派"
3.点击右下角"高级"
4.点击"添加"
5.添加要排除的用户并在权限栏中,选择"应用组策略"--->"拒绝"
来源地址:https://blog.csdn.net/m0_50818626/article/details/129860594
