利用组策略管理用户工作环境

组策略概述

组策略是一个能够让系统管理员充分管理用户工作环境的功能,通过它来确保用户拥有符合要求的工作环境,也通过它来限制用户,如此不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担

组策略的功能

  • 账户策略的设置:例如设置用户账户的密码长度、密码使用期限、账户锁定策略等
  • 本地策略的设置:例如审核策略的设置、用户权限分配、安全配置等
  • 脚本的设置:例如登录与注销、启动与关机脚本的设置
  • 用户工作环境的设置:例如隐藏用户桌面上所有的图标,删除开始菜单中的运行/查找/关机等选项、在开始菜单中添加注销选项、删除浏览器的部分选项、强制通过指定的代理服务器上网等
  • 软件的安装与删除:用户登录或计算机启动时,自动为用户安装应用软件、自动修复应用软件或自动删除应用软件
  • 限制软件的运行:通过各种不同的软件限制规则来限制域用户只能运行特定的软件
  • 文件夹的重定向:例如改变文件、开始菜单等文件夹的存储位置
  • 限制访问可移动存储设备:例如限制将文件写入U盘,一面企业的机密文件轻易被带离公司
  • 其他众多的系统设置:例如让所有的计算机都自动信任指定的CA(Certificate Authority)、限制安装设备驱动程序(device driver)等

可以在AD DS中针对站点(site)、域(domain)、组织单位(OU)来设置组策略

组策略内包含 计算机配置 与 用户配置 两部分

  • 计算机配置:当计算机启动时,系统会根据计算机配置的内容来设置计算机的环境
  • 用户配置:当用户登录时,系统会根据用户配置的内容来设置用户的工作环境

注意:

除了可以针对站点、域、组织单位来设置组策略之外,还可以在每一台计算机上设置其本地计算机策略(Local Computer Policy),这个计算机策略只会应用到本地计算机与在这台计算机上登录的所有用户

   

组策略对象

组策略时通过组策略对象(Group Policy Object,GPO)来设置的,只要将GPO连接(link)到特定的站点、域或组织单位,此GPO内的设置值就会影响到该站点、域或组织单位内的所有用户与计算机。

内置的GPO

AD DS域有两个内置的GPO

  • Default Domain Policy:此GPO默认已经被连接到域,因此其设置值会被应用到整个域内的所有用户与计算机
  • Default Domain Controller Policy:此GPO默认已经被连接到组织单位Domain Controllers,因此其设置值会被应用到Domain Controllers内的所有用户与计算机(Domain Controller内默认只有域控制器的计算机账户)

可以通过单击左下角"开始"图标 -> Windows 管理工具 -> 组策略管理,的方法验证Default Domain Policy与Default Domain Controller Policy GPO分别已经被连接到与h2o.com与组织单位Domain Controllers

GPO的内容

GPO的内容被分为GPC与GPT两部分

  • GPC(Group Policy Container):GPC是存储在AD DS数据库内,它记载着此GPO的属性与版本等数据。域成员计算机可通过属性来得知GPT的存储位置,而域控制器可利用版本来判断其所拥有的GPO是否为最新版本,以便作为是否需要从其他域控制器复制最新GPO设置的依据
    • 可以通过以下方法来查看GPC:单击左下角"开始"图标 -> Windows管理工具 -> Active Directory管理中心 -> 在树视图中找到域(例如:h2o.com) -> 展开容器System -> 单击Policies,图中圈起来的部分为Default Domain Policy 与 Default Domain Controller Policy 这两个GPO的GPC,图中数字分别是这个两个GPO的GUID(Global Unique Identifier)

  • GPT(Group Policy Template):GPT是用来存储GPO设置值与相关文件,它是一个文件夹,而且是被建立在域控制器的%systemroot%\SYSVOL\sysvol\域名\Policies文件夹内。系统是利用GPO的GUID来当作GPT的文件夹名称。例如:图中两个GPT文件夹分别是Default Domain Policy 与 Default Domain Controller Policy GPO的GPT

   

策略设置与首选项设置

组策略的设置可分为策略设置首选项设置两种

  • 只有域的组策略才有首选项设置功能,本地计算机策略并无此功能
  • 策略设置强制性设置,客户端应用这些设置后就无法改编(有些设置虽然客户端可以自行更改设置值,不过下次应用策略时,仍然会被改为策略内的设置值);然而首选项设置是非强制性的,客户端可自行更改设置值,因此首选项设置适用于用来当作默认值
  • 如果要筛选策略设置的话,必须针对整个GPO来筛选,例如某个GPO已经被应用到财务部,但是我们可以通过筛选设置来让其不要应用到财务部经理Dick,也就是这个GPO内的所有设置项目都不会被应用到Dick;然而首选项设置可以针对单一设置项目来筛选
  • 如果在策略设置首选项设置内有相同的设置项目,而且都已做了定义,但是其设置值却不相同的话,则以策略设置优先
  • 要应用首选项设置的客户端需要安装支持首选项设置的Client-Side Extension(CSE),Windows7(含)之后的计算机已内部包含CSE,而Windows Vista SP1&SP2也可以通过安装Microsoft远程服务器管理工具(Remote Server Administration Tools, RSAT)来安装CSE
  • 要应用首选项的客户端还需要安装XMLLite。Windows XP SP3(含)之后的计算机已内部包含XMLLite

   

组策略的应用时机

计算机设置的应用时机

域成员计算机会在以下情况下应用GPO的计算机配置值:

  • 计算机开机时会自动应用
  • 如果计算机已经开机的话,则会每隔一段时间自动应用
    • 域控制器:默认每隔5分钟自动应用一次
    • 非域控制器:默认是每隔90-120分钟之间自动应用一次
    • 不论策略设置值是否有变化,都会每隔16小时自动应用一次安全策略
  • 手动应用:到域成员计算机上打开Windows Powershell窗口(或命令提示符),执行gpupdate /target:computer /force命令

用户配置的应用时机

域用户在以下情况下应用GPO的用户配置值:

  • 用户登录时会自动应用
  • 如果用户已经登录的话,则会每隔一段时间自动应用
    • 默认会每隔90-120分钟之间自动应用一次
    • 不论策略设置值是否有变化,都会每隔16小时自动应用一次安全策略
  • 手动应用:到域成员计算机上打开Windows Powershell窗口(或命令提示符),执行gpupdate /target:user /force命令

注意:

  • 执行gpupdate /force命令会同时应用计算机配置和用户配置
  • 部分策略设置可能需计算机重新启动或用户登录才能生效,例如软件安装策略文件夹重定向策略
posted @ 2022-08-29 13:01  hongliang888  阅读(396)  评论(0编辑  收藏  举报