|
1.引言:
很多朋友都在问关于AD中的安全策略问题,那么今天我就给大家简单介绍一下组策略. 2.概念:
OK!大家都知道组策略是在Windows 2000 以及以后操作系统(XP/Win2k3)的安全组件,那么我们可以通过Windows 2000/2003中的组策略来实现基于服务器和网络的安全性,在活动目录(AD)范围内我们经常可能会针对OU Site domain Local来实施组策略,以便实现统一的管理和软件的部署!我们先了解一下什么是组策略? 组策略其实是微软在开发Windows 2000的时候为我们内置的一个安全组件,我们可以根据微软为我们预定义的策略进行配置!那么每个企业中根据服务器的不同功能和环境要求进行合理的配置,组策略其实是一组预定义的策略集,它通过对注册表更改实现,大家都知道Windows系统中注册表是系统的核心,那么组策略就通过更改注册表实现,但是注册表是非常麻烦的,如果轻易更改可能导致系统损坏,那么组策略为我们提供了GUI(图形化接口)环境,这样我们可以根据不同的需求去选择组策略而实现安全和软件部署!组策略功能很多,其中分为了两大类:计算机设置和用户设置,其中计算机设置包括了对计算机实施的安全,用户设置主要是针对用户环境所设置的!每个大类中包含了很多细化的安全策略,其中包括了帐户策略 安全设置 软件安装 IP安全策略等!通过这些细化的策略可以实现我们的计算机安全! 可以通过在运行中输入:gpedit.msc打开组策略,或者通过MMC选择添加组策略对象. 3.策略执行:
在组策略执行的过程中,本机安全策略和域安全策略也有所不同,那么首先我们来看看我们编辑了组策略后,组策略执行的时间!也叫做刷新时间 本机环境:组策略执行刷新完成时间默认是90分钟,另外加30分钟随机时间,这里的随机时间是指时间不统一所带来的偏差.
域环境:组策略稍有不同,刷新时间默认是5分钟,出现紧急情况也可以马上执行!这里的紧急情况是说如果存在安全问题的情况.
可以根据不同操作系统用不同的命令强制快速的刷新,不用去等待默认刷新时间:
打开命令行: Windows 2000 Server: secedit /refreshpolicy machine_policy [快速刷新计算机设置的安全策略] secedit /refreshpolicy user_policy [快速刷新用户设置的安全策略] Windows Server 2003:
gpupdate /target:computer [快速刷新计算机设置的安全策略] gpupdate /target:user [快速刷新用户设置的安全策略] 其中Windows Xp Profressional和Windows Server 2003执行命令是一样的!
那么在这两种环境中,其中域环境策略又比较特别,因为存在了站点 域 以及可能创建的OU,那么执行的顺序可能有所不同,那么我们下面看看组策略执行的过程:
local-->site-->domain-->ou
分别执行的过程,其中最后执行的优先于最先执行的而有效.也就是说前面的local会被site设置覆盖掉,依次类推...
4.特殊环境中的案例:
可能我们企业中存在有多个域控制器(DC),那么可能有多个管理员,那么在企业环境中就存在多个管理员同一时间对同样的策略进行了不同的更改,那么这个时候组策略又是如何执行有效呢?当出现这样的模拟环境,就可能出现冲突,那么根据前面我们所说的策略执行过程无法去判断,那么根据域控制器竞选规则,那么主域控制器会优先处理,如果谁最后更改完毕,谁就优先也是竞选规则只一,大家要记住一点的是:组策略执行是最后执行优先,那么还有种情况就是当计算机设置中的安全策略和用户设置的安全策略出现冲突的时候,计算机设置会优先执行而生效. 5.域环境中的特别案例:
在域环境下,存在了三种安全策略,分别是:域安全策略 域控制器安全策略 本机安全策略.那么比较特别的两点,在这里大家一定要记住: 1.域安全策略中的帐户策略是最权威的,也是最特别的一个例子,所有域成员都必须遵守域安全策略中的帐户策略,那么可能有朋友会问:不是说最后执行的OU策略应该会覆盖域安全策略吗?那么我可以告诉你:"只有域安全策略中的帐户策略会是个例外,他控制了整个域的帐户策略,而OU中同样设置了帐户策略这个时候其实不能覆盖域安全策略,而是充当了OU中的计算机的本地安全策略! 2.域控制器安全策略控制着域控制器(DC)的安全策略而替代了本地安全策略,他其实控制DC的本地安全设置,这里有个环境介绍一下:
可能大家安装完成Win2k3的时候,需要添加用户,并且该用户是属于USERS组成员,那么默认情况是不允许USERS组成员登陆的,那么我们就可以更改域安全策略允许在本地登陆添加上USERS组或者该成员,然后再同样更改域控制器安全策略就可以了! 6.了解组策略执行所需要的环境!
组策略在执行过程中,通过了UNC路径,那么UNC路径需要NETBIOS的支持,如果一旦不存在NETBIOS支持可能会出现错误警告日志,那么我们下面来看看所需要的服务和环境:
本机环境中:
网络与文件打印共享服务:很多企业管理员为了安全关闭了它! TCP/IP NetBIOS Helper服务:很多企业管理员也是关闭了他! TCP/IP支持 域环境中:
Sysvol 存放组策略的位置 [默认是共享的] netlogon 用于存放用户登陆脚本的文件夹 [默认是共享的] 网络与文件打印共享 TCP/IP NetBIOS Helper TCP/IP DNS 还有一种可能就是组策略执行过程中出现警告提示,那就是当你的服务器是多网卡的时候,由于主NIC(网卡)不是最先执行会导致,通过下面方法解决:
开始-->控制面板-->网络与拨号连接-->高级-->高级设置
将主NIC调节到最上面! 7.排错
组策略可能在企业中会出现错误,那么我简单介绍一下:
1.检查上面我们所介绍的组策略基本的环境要求是否满足! 2.网络连接是否正常 3.通过组策略工具检查一下! 其中组策略工具包括了:gpotool gpresult dcdiag等!(安装光盘中的support目录下安装支持工具,还有工具在resouce kit中) 4.如果您是使用Windows Server 2003可以使用Rpos进行检查组策略结果,通过WEB方式查看 5.Windows Server 2003引入了一个新的组策略管理工具GPMC,该管理工具只能在域环境下用,可以实现跨森林的策略复制,以及组策略结果集查看 组策略备份 恢复等等功能.详细内容可以查看GPMC知识 【转自bbs.bitsCN.com】
|
|
|
