您好,登錄后才能下訂單哦!
windows_learn 004 ADDS基礎(chǔ)知識和組策略
內(nèi)容總覽
AD DS (Active Directory Domain Service)
檢查AD DS 安裝是否正確
創(chuàng)建安裝媒體 (離線導(dǎo)入域數(shù)據(jù))
組的使用規(guī)則(p129)
第四章 使用組策略管理用戶工作環(huán)境(p132)
組策略的功能
組策略分計算機(jī)配置和用戶配置兩部分
組策略內(nèi)的設(shè)置可再區(qū)分為策略設(shè)置與首選設(shè)置兩種
組策略的應(yīng)用時限(p138)
組策略的處理規(guī)則
使用組策略管理用戶環(huán)境(p167)
安全選項策略(p176)
WMI 篩選器(p192)
AD DS (Active Directory Domain Service)
Container and Organization Units, OU
Domain tree
Trust Relationship
Forest
Schema
Domain Controller DC
Member Server
LDAP (Lightweight Directory Access Protocol)
DN (Distinguish Name)
RDN (Relative Distinguish Name)
GUID (Global Unique IDentifier)
UDN (User Pricipal Name) Principal n.本人,主角
SPN (Service Principal Name)
Global Catalog GC
Site
Directory partition
Schema Directory Partition
Configuration Directory Partition
Domain Directory Partition
Application Directory Partition
RODC (read only domain controller)
AD LDS (Active Directory Lightweight Directory Services)
Active Directory數(shù)據(jù)庫
Active Directory數(shù)據(jù)庫:用來存放Active Directory 對象
日志文件: 用來存儲Active Directory數(shù)據(jù)庫的變動日志,
此日志可用于恢復(fù)活動目錄數(shù)據(jù)庫
SYSVOL文件夾:用來存儲共享文件夾(例如與組策略有關(guān)的文件)
檢查AD DS 安裝是否正確
nslookup
set type=srv
_gc._tcp.mysky.com
創(chuàng)建安裝媒體 (離線導(dǎo)入域數(shù)據(jù))
ntdsutil
activate instance ntds
ifm
create full PATH
create full c:\installationMedia
一次同時添加多個用戶賬戶P119
csvde.exe 可添加但不可修改
ldifde.exe 可添加也可修改
dsadd.exe dsmod.exe dsrm.exe 你懂得
組group (p125)
Domain Local Group
Global Group
Universal Group
windows 內(nèi)置的本地域組p127
Account Operators
Administrators
Backup Operators
Guests
Network Configuration Operators
Performance Monitor Users
Pre-Windows 2000 Compatible Access
Print Operators
Remote Desktop Users
Server Operators
Users
Windows 內(nèi)置的全局組
Domain Adminis
Domain Computers
Domain Controllers
Domain Users
Domain Guests
Windows 內(nèi)置的通用組
Enterprise Admins
Schema Admins
Windows 特殊組賬戶
Everyone
Authenticated Users
Interactive
Network
Anonymous Logon
Dialup
組的使用規(guī)則(p129)
A、G、DL、P
A、G、G、DL、P
A、G、U、DL、P
A、G、G、U、DL、P
A: user Account
G: Global group
DL: Domain Local group
U: Universal group
P: Permission
第四章 使用組策略管理用戶工作環(huán)境(p132)
組策略的功能
賬戶策略的設(shè)置:如設(shè)置用戶的密碼長度、使用期限、鎖定賬戶等
本地策略的設(shè)置:如用戶權(quán)限的分配、安全性設(shè)置等
腳本(Scripts)的設(shè)置:如登錄與注銷、啟動與關(guān)機(jī)腳本的設(shè)置
用戶工作環(huán)境的設(shè)置: 如隱藏用戶的桌面圖標(biāo)、刪除開始菜單的運行關(guān)機(jī)等
軟件的安裝與刪除: 用戶登錄或計算機(jī)啟動時,自動為其安裝、刪除、修復(fù)軟件等
限制軟件的運行:設(shè)置用戶只能運行指定的軟件、或不可以運行指定的軟件
文件夾的重定向:如改變文件、開始菜單等文件夾的存儲位置
限制訪問可移動存儲設(shè)備: 用來防止企業(yè)內(nèi)的機(jī)密文件輕易地被帶離公司
其它眾多的系統(tǒng)設(shè)置:如讓所有的計算機(jī)都自動信息指定的CA,限制安裝設(shè)備驅(qū)動等
組策略分計算機(jī)配置和用戶配置兩部分
組策略應(yīng)用范圍
站點 site
域 domain
組織單位 Organization Unite
組策略對象 (Group Policy Object, GPO)
內(nèi)置的GPO
Default Domain Policy
Default Domain Controller Policy
GPO
GPC (Group Policy Container) 存儲在AD的數(shù)據(jù)庫中,記錄GPO屬性與版本
GPT (Group Policy Template) 存儲GPO設(shè)置值與相關(guān)文件
路徑在\SYSVOL\sysvol\域名\Polities
組策略內(nèi)的設(shè)置可再區(qū)分為策略設(shè)置與首選設(shè)置兩種
只有域的組策略才有首選設(shè)置功能,本地計算機(jī)策略無此功能
策略設(shè)置是強(qiáng)制性設(shè)置 客戶端應(yīng)用這些策略后無法更改
首選設(shè)置是默認(rèn)設(shè)置 客戶端可以自行更改
如兩種設(shè)置都配置相同的項目則以策略設(shè)置優(yōu)先
要應(yīng)用首選設(shè)置的客戶端需求下載安裝
(CSE, client-side extension)KB943729 wind7已包含
(XMLLite) wind7已包含
組策略的應(yīng)用時限(p138)
計算機(jī)配置的應(yīng)用時限
計算機(jī)開機(jī)時會自動應(yīng)用
計算機(jī)已經(jīng)開機(jī)則系統(tǒng)每隔一段時間自動應(yīng)用
域控制器:默認(rèn)5分鐘自動應(yīng)用一次
非域控制器:默認(rèn)每隔90-120分鐘應(yīng)用一次
不論策略設(shè)置值是否有變動,系統(tǒng)仍然會每隔16個小時自動應(yīng)用一次
用戶配置的應(yīng)用時限
用戶登錄時會自動應(yīng)用
用戶已經(jīng)登錄,則默認(rèn)每隔別90-120分鐘自動應(yīng)用一次,
并不論策略是否變動,每隔別16小時自動應(yīng)用一次安全性配置策略
手動應(yīng)用: 到域成員計算機(jī)上打開命令提示符窗口運行
gpupdate /target:user /force
組策略的處理規(guī)則
一般的繼承與處理規(guī)則
父容器和子容器規(guī)則不沖突時,子容器繼承夫容器的規(guī)則如沖突就近優(yōu)先
計算機(jī)配置和用戶配置沖突時優(yōu)先應(yīng)用計算機(jī)配置
應(yīng)用規(guī)則次序 站點GPO --> 域GPO --> 組織單位GPO
例外的繼承設(shè)置
阻止繼承策略
強(qiáng)制繼承策略(Enforcing Inheritance)
使用組策略管理用戶環(huán)境(p167)
用戶權(quán)限分配策略(p174)
計算機(jī)配置-->windows設(shè)置-->安全設(shè)置-->本地策略-->用戶權(quán)限分配
常用權(quán)限策略說明
Allow Log on locally 允許用戶 Ctrl+Alt+Delete 登錄
Deny Log on Locally 拒絕
Add Workstations To Domain 允許用戶將計算機(jī)加入域
Shutdown The System 允許用戶關(guān)機(jī)
Access This Computer From the network
Deny this computer From the network
Force Shutdown From A Remote System
Backup Files And Directories
Restore File And Directories 還原
Change The System Time
Load And Unload Device Drivers
Take Ownership Of Files Or Other Objects
安全選項策略(p176)
計算機(jī)配置-->windows設(shè)置-->安全設(shè)置-->本地策略-->安全選項
常用權(quán)限策略說明
Interactive logon: Do not require CTRL+ALT+DEL
Interactive logon: Number of previous logons to cache 本地緩存
Interactive logon: Do not display last user name
Shutdown: Allow system to be shut down without having to log on
登錄、注銷、啟動、關(guān)機(jī)腳本(p177)
文件夾重定向(p181)
即可以實現(xiàn)將某用戶的桌面文件或者某些路徑放到其它服務(wù)器里
WMI 篩選器(p192)
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。