avatar

Catalog
网络安全基础07(下):组策略

组织单位

组织单位(Organizational Unit,简称OU),用于归类域资源(域用户、域计算机、域组),OU和组很类似,都是对同类型资源进行归类。组的诞生,主要是方便赋权限;而OU的诞生,是为了方便下发组策略。下图为在活动目录中查看的OU。

组策略

基本概念

组策略(Group Policy,简称GPO),是一组可以修改计算机系统(Windows)各种属性的策略,例如修改开始菜单、桌面背景、网络参数等。组策略分为本地组策略和域中组策略,组策略在域中是基于OU来下发的。下图为在组策略管理中查看域下的各个OU,并为之创建单独的组策略。

下发流程

如何下发一个组策略,这里以前一篇加入的域用户为例。简单说明一下流程:

 1. 在活动目录中,将域用户(用户&计算机)加入指定的OU中(例如加入到西北区)
 2. 进入组策略管理,给西北区新建组策略
 3. 右键编辑,进入组策略管理编辑器。这里有两类:
  • 计算机配置:重启时生效,任何人登录这台计算机,都会应用相应的组策略。
  • 用户配置:登录时生效,拿该账号登录任何计算机,都会应用相应的组策略。
 4. 在下方的目录寻找,并在右边选择相应的组策略设置状态(已启用/已禁用/未配置)
 5. 以强制设置桌面墙纸为例,状态设置为已启用,选项中墙纸名称通常设置为共享路径(即新建一个共享文件夹,存放墙纸图片),例如\\10.1.1.1\share\pic.jpg。从而让域成员能够从服务器下载到组策略所需的文件。
 6. 最后根据哪一类的组策略,选择重启或者重新登录进行验证

生效顺序

当一台主机被应用多个组策略时,组策略的生效顺序遵循LSDOU(Local->Site->Domain->Organizational Uint)。首先是本地(Local)设置的组策略最先生效;Site为站点,可以理解为林的组策略,这个基本上用不到;接下来是域(Domain)的组策略生效,若此时,域的组策略与本地的组策略针对同一个策略进行了不同的设置,那么只有域的会生效。最后是OU,同理,OU的组策略也会替代域或本地的组策略而生效(相同策略情况下)。也因此,在组策略不重复的情况下,一台主机可能会应用多个组策略(本地,域以及OU)。

强制与阻止继承

阻止继承通过对OU进行设置,控制组策略生效范围,当对上级OU(例如公司)设置组策略时,下层OU(例如西北区)也会生效。阻止继承,可以指定该下级OU不生效上层OU的组策略

强制:通过上级OU的组策略进行设置强制相对于该上级OU(例如公司)的所有下级OU(董事会,市场部及其子OU等)采用它的组策略

当上级强制和下级阻止继承同时设置,强制生效!

参考资料

Author: cataLoc
Link: http://cataloc.gitee.io/blog/2020/10/03/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%9F%BA%E7%A1%8007-%E4%B8%8B-%E7%BB%84%E7%AD%96%E7%95%A5/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.
Donate
 • 微信
  微信
 • 支付寶
  支付寶