系统安全工程师-第十七课之组策略应
我们先来说下计算机配置和用户配置,计算机配置对容器中的计算机起作用;用户配置对容器中的用户起作用。
计算机配置
1.软件设置:该文件夹中包含软件安装
2.windosws设置:包括脚本和安全设置两个子项。
3.管理模版:管理模版中包括windosws组件、系统、网络和打印机四个部分。
用户配置:
1.软件设置:包含软件安装
2.windosws设置:包括远程安装服务、脚本、安全设置、文件夹重定向和IE浏览器维护。
3.管理模版:windosws组件、任务栏和开始菜单、桌面、控制面板、共享文件夹、网络和系统。
-------------------------------------------------------------
组策略的影响范围非常广泛,域内所有的用户和计算机都可能会受到它的约束,因此,应在应用组策略之前进行详细的规划,以让其能顺利的运行。需要注意两个规则。一个是组策略的继承,一个是组策略的累加。
在默认情况下,下层容器会继承来自上层容器的GPO,例如,销售部继承域05112.org的组策略。北京销售部继承其上级销售部OU的组策略。自容器可以通过右击属性--组策略--阻止策略继承来阻止其继承上级的组策略。
假如容器的多格足疗城设置不冲突,则最终的有效测了是所有组策略设置的总和。
假设域05112.org连接到组策略对象a,将组织单位销售部连接到组测了对象b。组织单位销售部会同时应用a和b两个组策略对象。
如果多格组策略设置冲突(对于相同项目有设置不同值时),则后应用的组策略覆盖先应用的组策略。
例如,域的GPO规定禁止更改墙纸,OU的GPO规则可以更改墙纸,那么OU的有效设置是可以更改墙纸。
组测了按以下顺序被应用:LSDOU,它表示本地的Local、站点Site、域Domain、组织单位Organizational Unit,后面的策略优先于前面所应用的策略生效。
每台运行系统的计算机都只有一个本地组策略对象,如果计算机在工作组环境下,将应用本地组策略对象。如果计算机加入域,则除了受到本地组测了的影响,还可能受到站点、域和OU的组策略影响。
本地组测了对象的打开步骤:开始--运行--MMC--文件--添加/删除管理单元--添加--组策略对象编辑器--添加---完成。
总之。组策略按如下顺序应用:
1.首先应用本地组策略
2.如果有站点组策略,则应用之
3.然后应用域组策略
4.如果计算机或用户属于某个OU。则应用之
5.如果计算机火用户属于某个OU的子OU,则应用之
还有个方法可以使上级容器的GPO强制生效:域或OU--属性--组策略--GPO--选项--禁止代替。
设置为禁止代替的GPO等于拥有强制生效的权利,其他GPO的设置与其抵触者一律无效,即使在下层容器设置不继承策略,依然可以应用强制替代。
----------------------------------------------------------
容器中的计算机和用户之所以收到GPO的影响,是因为他们对GPO拥有读取和应用组策略的权限。如果用户或计算机账户没有读取和应用组策略的权限,组策略将拒绝执行。
假设销售部OU中有一个账户xiaoliang和其他10个普通销售员的账户,销售部的这些账户都是sales组的成员。在销售部OU中有个销售部GPO,要实现普通用户受GPO影响,而xiaoliang不受影响,设置方法如下:
右击组织单位--属性--组策略--GPO--属性--安全--给sales组设置运行读取和应用组策略权限
销售部GPO--属性--安全--添加xiaoliang--设置拒绝读取和应用组策略权限。
其实GPO的访问权限,类似于我们之前讲过的NTFS的权限设置。
---------------------------------------------------------------
好了,本节课程结束,大家再见!
计算机配置
1.软件设置:该文件夹中包含软件安装
2.windosws设置:包括脚本和安全设置两个子项。
3.管理模版:管理模版中包括windosws组件、系统、网络和打印机四个部分。
用户配置:
1.软件设置:包含软件安装
2.windosws设置:包括远程安装服务、脚本、安全设置、文件夹重定向和IE浏览器维护。
3.管理模版:windosws组件、任务栏和开始菜单、桌面、控制面板、共享文件夹、网络和系统。
-------------------------------------------------------------
组策略的影响范围非常广泛,域内所有的用户和计算机都可能会受到它的约束,因此,应在应用组策略之前进行详细的规划,以让其能顺利的运行。需要注意两个规则。一个是组策略的继承,一个是组策略的累加。
在默认情况下,下层容器会继承来自上层容器的GPO,例如,销售部继承域05112.org的组策略。北京销售部继承其上级销售部OU的组策略。自容器可以通过右击属性--组策略--阻止策略继承来阻止其继承上级的组策略。
假如容器的多格足疗城设置不冲突,则最终的有效测了是所有组策略设置的总和。
假设域05112.org连接到组策略对象a,将组织单位销售部连接到组测了对象b。组织单位销售部会同时应用a和b两个组策略对象。
如果多格组策略设置冲突(对于相同项目有设置不同值时),则后应用的组策略覆盖先应用的组策略。
例如,域的GPO规定禁止更改墙纸,OU的GPO规则可以更改墙纸,那么OU的有效设置是可以更改墙纸。
组测了按以下顺序被应用:LSDOU,它表示本地的Local、站点Site、域Domain、组织单位Organizational Unit,后面的策略优先于前面所应用的策略生效。
每台运行系统的计算机都只有一个本地组策略对象,如果计算机在工作组环境下,将应用本地组策略对象。如果计算机加入域,则除了受到本地组测了的影响,还可能受到站点、域和OU的组策略影响。
本地组测了对象的打开步骤:开始--运行--MMC--文件--添加/删除管理单元--添加--组策略对象编辑器--添加---完成。
总之。组策略按如下顺序应用:
1.首先应用本地组策略
2.如果有站点组策略,则应用之
3.然后应用域组策略
4.如果计算机或用户属于某个OU。则应用之
5.如果计算机火用户属于某个OU的子OU,则应用之
还有个方法可以使上级容器的GPO强制生效:域或OU--属性--组策略--GPO--选项--禁止代替。
设置为禁止代替的GPO等于拥有强制生效的权利,其他GPO的设置与其抵触者一律无效,即使在下层容器设置不继承策略,依然可以应用强制替代。
----------------------------------------------------------
容器中的计算机和用户之所以收到GPO的影响,是因为他们对GPO拥有读取和应用组策略的权限。如果用户或计算机账户没有读取和应用组策略的权限,组策略将拒绝执行。
假设销售部OU中有一个账户xiaoliang和其他10个普通销售员的账户,销售部的这些账户都是sales组的成员。在销售部OU中有个销售部GPO,要实现普通用户受GPO影响,而xiaoliang不受影响,设置方法如下:
右击组织单位--属性--组策略--GPO--属性--安全--给sales组设置运行读取和应用组策略权限
销售部GPO--属性--安全--添加xiaoliang--设置拒绝读取和应用组策略权限。
其实GPO的访问权限,类似于我们之前讲过的NTFS的权限设置。
---------------------------------------------------------------
好了,本节课程结束,大家再见!
相关文章
图文推荐
-
Android中onInterceptTouchEvent、dispatchTouchEvent及onTouchEvent的调用顺序及内部原理详解
-
WIN10,怎么无损给分区增加容量磁盘管理如何操作
-
dos命令和excel批量修改文件名
-
步步高烧钱烧出国际大牌 系统研发成短板
- 文章
- 推荐
- 热门新闻