windows_learn 004 ADDS基礎(chǔ)知識和組策略

windows_learn 004  ADDS基礎(chǔ)知識和組策略

內(nèi)容總覽

AD DS (Active Directory Domain Service)

檢查AD DS 安裝是否正確

創(chuàng)建安裝媒體  （離線導(dǎo)入域數(shù)據(jù)）

組的使用規(guī)則(p129)

第四章 使用組策略管理用戶工作環(huán)境(p132)

組策略的功能

組策略分計算機(jī)配置和用戶配置兩部分

組策略內(nèi)的設(shè)置可再區(qū)分為策略設(shè)置與首選設(shè)置兩種

組策略的應(yīng)用時限(p138)

組策略的處理規(guī)則

使用組策略管理用戶環(huán)境(p167)

安全選項策略(p176)

WMI 篩選器(p192)

AD DS (Active Directory Domain Service)

Container and Organization Units, OU

Domain tree

Trust Relationship

Forest

Schema

Domain Controller DC

Member Server

LDAP (Lightweight Directory Access Protocol)

DN (Distinguish Name)

RDN (Relative Distinguish Name)

GUID (Global Unique IDentifier)

UDN (User Pricipal Name) Principal n.本人，主角

SPN (Service Principal Name)

Global Catalog GC

Site

Directory partition

Schema Directory Partition

Configuration Directory Partition

Domain Directory Partition

Application Directory Partition

RODC (read only domain controller)

AD LDS (Active Directory Lightweight Directory Services)

Active Directory數(shù)據(jù)庫

Active Directory數(shù)據(jù)庫：用來存放Active Directory 對象

日志文件： 用來存儲Active Directory數(shù)據(jù)庫的變動日志，

  此日志可用于恢復(fù)活動目錄數(shù)據(jù)庫

SYSVOL文件夾：用來存儲共享文件夾（例如與組策略有關(guān)的文件）

檢查AD DS 安裝是否正確

nslookup

set type=srv

_gc._tcp.mysky.com

創(chuàng)建安裝媒體  （離線導(dǎo)入域數(shù)據(jù)）

ntdsutil

activate instance ntds

ifm 

create full PATH

create full c:\installationMedia

一次同時添加多個用戶賬戶P119

csvde.exe  可添加但不可修改

ldifde.exe  可添加也可修改

dsadd.exe  dsmod.exe dsrm.exe 你懂得

組group (p125)

Domain Local Group

Global Group

Universal Group

windows 內(nèi)置的本地域組p127

Account Operators

Administrators

Backup Operators

Guests

Network Configuration Operators

Performance Monitor Users

Pre-Windows 2000 Compatible Access

Print Operators

Remote Desktop Users

Server Operators

Users

Windows 內(nèi)置的全局組

Domain Adminis

Domain Computers

Domain Controllers

Domain Users

Domain Guests

Windows 內(nèi)置的通用組

Enterprise Admins

Schema Admins

Windows 特殊組賬戶

Everyone

Authenticated Users

Interactive

Network

Anonymous Logon

Dialup

組的使用規(guī)則(p129)

A、G、DL、P

A、G、G、DL、P

A、G、U、DL、P

A、G、G、U、DL、P

A: user Account 

G: Global group

DL: Domain Local group

U: Universal group

P: Permission

第四章 使用組策略管理用戶工作環(huán)境(p132)

組策略的功能

賬戶策略的設(shè)置：如設(shè)置用戶的密碼長度、使用期限、鎖定賬戶等

本地策略的設(shè)置：如用戶權(quán)限的分配、安全性設(shè)置等

腳本(Scripts)的設(shè)置：如登錄與注銷、啟動與關(guān)機(jī)腳本的設(shè)置

用戶工作環(huán)境的設(shè)置： 如隱藏用戶的桌面圖標(biāo)、刪除開始菜單的運行關(guān)機(jī)等

軟件的安裝與刪除： 用戶登錄或計算機(jī)啟動時，自動為其安裝、刪除、修復(fù)軟件等

限制軟件的運行：設(shè)置用戶只能運行指定的軟件、或不可以運行指定的軟件

文件夾的重定向：如改變文件、開始菜單等文件夾的存儲位置

限制訪問可移動存儲設(shè)備： 用來防止企業(yè)內(nèi)的機(jī)密文件輕易地被帶離公司

其它眾多的系統(tǒng)設(shè)置：如讓所有的計算機(jī)都自動信息指定的CA，限制安裝設(shè)備驅(qū)動等

組策略分計算機(jī)配置和用戶配置兩部分

組策略應(yīng)用范圍

站點 site

域 domain

組織單位 Organization Unite

組策略對象 (Group Policy Object, GPO)

內(nèi)置的GPO

Default Domain Policy

Default Domain Controller Policy

GPO 

GPC (Group Policy Container) 存儲在AD的數(shù)據(jù)庫中，記錄GPO屬性與版本

GPT (Group Policy Template) 存儲GPO設(shè)置值與相關(guān)文件

路徑在\SYSVOL\sysvol\域名\Polities

組策略內(nèi)的設(shè)置可再區(qū)分為策略設(shè)置與首選設(shè)置兩種

只有域的組策略才有首選設(shè)置功能，本地計算機(jī)策略無此功能

策略設(shè)置是強(qiáng)制性設(shè)置 客戶端應(yīng)用這些策略后無法更改

首選設(shè)置是默認(rèn)設(shè)置 客戶端可以自行更改

如兩種設(shè)置都配置相同的項目則以策略設(shè)置優(yōu)先

要應(yīng)用首選設(shè)置的客戶端需求下載安裝

(CSE, client-side extension)KB943729 wind7已包含

(XMLLite) wind7已包含

組策略的應(yīng)用時限(p138)

計算機(jī)配置的應(yīng)用時限

計算機(jī)開機(jī)時會自動應(yīng)用

計算機(jī)已經(jīng)開機(jī)則系統(tǒng)每隔一段時間自動應(yīng)用

域控制器：默認(rèn)5分鐘自動應(yīng)用一次

非域控制器：默認(rèn)每隔90-120分鐘應(yīng)用一次

不論策略設(shè)置值是否有變動，系統(tǒng)仍然會每隔16個小時自動應(yīng)用一次

用戶配置的應(yīng)用時限

用戶登錄時會自動應(yīng)用

用戶已經(jīng)登錄，則默認(rèn)每隔別90-120分鐘自動應(yīng)用一次，

并不論策略是否變動，每隔別16小時自動應(yīng)用一次安全性配置策略

手動應(yīng)用： 到域成員計算機(jī)上打開命令提示符窗口運行 

gpupdate /target:user /force

組策略的處理規(guī)則

一般的繼承與處理規(guī)則

父容器和子容器規(guī)則不沖突時，子容器繼承夫容器的規(guī)則如沖突就近優(yōu)先

計算機(jī)配置和用戶配置沖突時優(yōu)先應(yīng)用計算機(jī)配置

應(yīng)用規(guī)則次序 站點GPO --> 域GPO --> 組織單位GPO

例外的繼承設(shè)置

阻止繼承策略

強(qiáng)制繼承策略(Enforcing Inheritance)

使用組策略管理用戶環(huán)境(p167)

用戶權(quán)限分配策略(p174)

計算機(jī)配置-->windows設(shè)置-->安全設(shè)置-->本地策略-->用戶權(quán)限分配

常用權(quán)限策略說明

Allow Log on locally 允許用戶 Ctrl+Alt+Delete 登錄

Deny Log on Locally 拒絕

Add Workstations To Domain 允許用戶將計算機(jī)加入域

Shutdown The System 允許用戶關(guān)機(jī)

Access This Computer From the network

Deny this computer From the network

Force Shutdown From A Remote System

Backup Files And Directories

Restore File And Directories 還原

Change The System Time

Load And Unload Device Drivers

Take Ownership Of Files Or Other Objects

安全選項策略(p176)

計算機(jī)配置-->windows設(shè)置-->安全設(shè)置-->本地策略-->安全選項

常用權(quán)限策略說明

Interactive logon: Do not require CTRL+ALT+DEL

Interactive logon: Number of previous logons to cache 本地緩存

Interactive logon: Do not display last user name

Shutdown: Allow system to be shut down without having to log on

登錄、注銷、啟動、關(guān)機(jī)腳本(p177)

文件夾重定向(p181)

即可以實現(xiàn)將某用戶的桌面文件或者某些路徑放到其它服務(wù)器里

WMI 篩選器(p192)