windows_learn 004 ADDS基礎知識和組策略

windows_learn 004  ADDS基礎知識和組策略

內容總覽

AD DS (Active Directory Domain Service)

檢查AD DS 安裝是否正確

創建安裝媒體  （離線導入域數據）

組的使用規則(p129)

第四章 使用組策略管理用戶工作環境(p132)

組策略的功能

組策略分計算機配置和用戶配置兩部分

組策略內的設置可再區分為策略設置與首選設置兩種

組策略的應用時限(p138)

組策略的處理規則

使用組策略管理用戶環境(p167)

安全選項策略(p176)

WMI 篩選器(p192)

AD DS (Active Directory Domain Service)

Container and Organization Units, OU

Domain tree

Trust Relationship

Forest

Schema

Domain Controller DC

Member Server

LDAP (Lightweight Directory Access Protocol)

DN (Distinguish Name)

RDN (Relative Distinguish Name)

GUID (Global Unique IDentifier)

UDN (User Pricipal Name) Principal n.本人，主角

SPN (Service Principal Name)

Global Catalog GC

Site

Directory partition

Schema Directory Partition

Configuration Directory Partition

Domain Directory Partition

Application Directory Partition

RODC (read only domain controller)

AD LDS (Active Directory Lightweight Directory Services)

Active Directory數據庫

Active Directory數據庫：用來存放Active Directory 對象

日志文件： 用來存儲Active Directory數據庫的變動日志，

  此日志可用于恢復活動目錄數據庫

SYSVOL文件夾：用來存儲共享文件夾（例如與組策略有關的文件）

檢查AD DS 安裝是否正確

nslookup

set type=srv

_gc._tcp.mysky.com

創建安裝媒體  （離線導入域數據）

ntdsutil

activate instance ntds

ifm 

create full PATH

create full c:\installationMedia

一次同時添加多個用戶賬戶P119

csvde.exe  可添加但不可修改

ldifde.exe  可添加也可修改

dsadd.exe  dsmod.exe dsrm.exe 你懂得

組group (p125)

Domain Local Group

Global Group

Universal Group

windows 內置的本地域組p127

Account Operators

Administrators

Backup Operators

Guests

Network Configuration Operators

Performance Monitor Users

Pre-Windows 2000 Compatible Access

Print Operators

Remote Desktop Users

Server Operators

Users

Windows 內置的全局組

Domain Adminis

Domain Computers

Domain Controllers

Domain Users

Domain Guests

Windows 內置的通用組

Enterprise Admins

Schema Admins

Windows 特殊組賬戶

Everyone

Authenticated Users

Interactive

Network

Anonymous Logon

Dialup

組的使用規則(p129)

A、G、DL、P

A、G、G、DL、P

A、G、U、DL、P

A、G、G、U、DL、P

A: user Account 

G: Global group

DL: Domain Local group

U: Universal group

P: Permission

第四章 使用組策略管理用戶工作環境(p132)

組策略的功能

賬戶策略的設置：如設置用戶的密碼長度、使用期限、鎖定賬戶等

本地策略的設置：如用戶權限的分配、安全性設置等

腳本(Scripts)的設置：如登錄與注銷、啟動與關機腳本的設置

用戶工作環境的設置： 如隱藏用戶的桌面圖標、刪除開始菜單的運行關機等

軟件的安裝與刪除： 用戶登錄或計算機啟動時，自動為其安裝、刪除、修復軟件等

限制軟件的運行：設置用戶只能運行指定的軟件、或不可以運行指定的軟件

文件夾的重定向：如改變文件、開始菜單等文件夾的存儲位置

限制訪問可移動存儲設備： 用來防止企業內的機密文件輕易地被帶離公司

其它眾多的系統設置：如讓所有的計算機都自動信息指定的CA，限制安裝設備驅動等

組策略分計算機配置和用戶配置兩部分

組策略應用范圍

站點 site

域 domain

組織單位 Organization Unite

組策略對象 (Group Policy Object, GPO)

內置的GPO

Default Domain Policy

Default Domain Controller Policy

GPO 

GPC (Group Policy Container) 存儲在AD的數據庫中，記錄GPO屬性與版本

GPT (Group Policy Template) 存儲GPO設置值與相關文件

路徑在\SYSVOL\sysvol\域名\Polities

組策略內的設置可再區分為策略設置與首選設置兩種

只有域的組策略才有首選設置功能，本地計算機策略無此功能

策略設置是強制性設置 客戶端應用這些策略后無法更改

首選設置是默認設置 客戶端可以自行更改

如兩種設置都配置相同的項目則以策略設置優先

要應用首選設置的客戶端需求下載安裝

(CSE, client-side extension)KB943729 wind7已包含

(XMLLite) wind7已包含

組策略的應用時限(p138)

計算機配置的應用時限

計算機開機時會自動應用

計算機已經開機則系統每隔一段時間自動應用

域控制器：默認5分鐘自動應用一次

非域控制器：默認每隔90-120分鐘應用一次

不論策略設置值是否有變動，系統仍然會每隔16個小時自動應用一次

用戶配置的應用時限

用戶登錄時會自動應用

用戶已經登錄，則默認每隔別90-120分鐘自動應用一次，

并不論策略是否變動，每隔別16小時自動應用一次安全性配置策略

手動應用： 到域成員計算機上打開命令提示符窗口運行 

gpupdate /target:user /force

組策略的處理規則

一般的繼承與處理規則

父容器和子容器規則不沖突時，子容器繼承夫容器的規則如沖突就近優先

計算機配置和用戶配置沖突時優先應用計算機配置

應用規則次序 站點GPO --> 域GPO --> 組織單位GPO

例外的繼承設置

阻止繼承策略

強制繼承策略(Enforcing Inheritance)

使用組策略管理用戶環境(p167)

用戶權限分配策略(p174)

計算機配置-->windows設置-->安全設置-->本地策略-->用戶權限分配

常用權限策略說明

Allow Log on locally 允許用戶 Ctrl+Alt+Delete 登錄

Deny Log on Locally 拒絕

Add Workstations To Domain 允許用戶將計算機加入域

Shutdown The System 允許用戶關機

Access This Computer From the network

Deny this computer From the network

Force Shutdown From A Remote System

Backup Files And Directories

Restore File And Directories 還原

Change The System Time

Load And Unload Device Drivers

Take Ownership Of Files Or Other Objects

安全選項策略(p176)

計算機配置-->windows設置-->安全設置-->本地策略-->安全選項

常用權限策略說明

Interactive logon: Do not require CTRL+ALT+DEL

Interactive logon: Number of previous logons to cache 本地緩存

Interactive logon: Do not display last user name

Shutdown: Allow system to be shut down without having to log on

登錄、注銷、啟動、關機腳本(p177)

文件夾重定向(p181)

即可以實現將某用戶的桌面文件或者某些路徑放到其它服務器里

WMI 篩選器(p192)