MDM*_*rra 32 windows active-directory group-policy
这是一个关于 Active Directory 组策略基础的规范问题
什么是组策略?它是如何工作的,我为什么要使用它?
注意:这是对可能不熟悉它的功能和功能的新管理员的问答。
MDM*_*rra 28
组策略是一种可供运行Windows 2000或更高版本Active Directory 域的管理员使用的工具。它允许集中管理加入域的客户端计算机和服务器上的设置,并提供一种基本的软件分发方式。
设置被分组到称为组策略对象 (GPO) 的对象中。GPO 链接到Active Directory 组织单位(OU),并可应用于用户和计算机。GPO 不能直接应用于组,但您可以使用安全筛选或项目级目标来根据组成员身份筛选策略应用程序。
任何事物。
说真的,您可以对域中的用户或计算机执行任何操作。文件夹重定向、密码复杂性、电源设置、驱动器映射、驱动器加密、Windows 更新等有数百种预定义设置。您无法通过预定义设置配置的任何内容都可以通过脚本进行控制。所有受支持的客户端都支持批处理和VBScript脚本,并且PowerShell脚本可以在 Windows 7 主机上运行。
专业提示:您实际上可以在 Windows XP 和 Windows Vista 主机上运行 PowerShell 启动脚本,只要它们安装了 PowerShell 2.0。您可以制作一个批处理文件,使用以下语法调用脚本:
powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted
第一行允许来自远程共享的未签名脚本在该主机上运行,第二行从批处理文件调用脚本。第三行设置将策略设置回受限(默认)以获得最大安全性。
GPO 以可预测的顺序应用。首先应用本地策略。通过 gpedit.msc 在本地机器上设置了策略。其次应用站点策略。第三个应用域策略,第四个应用 OU 策略。如果对象嵌套在多个 OU 内,则 GPO 将首先应用于最靠近根的 OU。
请记住,如果存在冲突,则最后应用的GPO 将“获胜”。这意味着,例如,如果该 GPO 中的设置与父 OU 中链接的设置之间存在冲突,则链接到计算机所在 OU 的策略将获胜。
登录或启动脚本可以存在于任何网络共享中,只要Domain Users和Domain Computers组对其所在的共享具有读取访问权限。传统上,它们驻留在 中\\domain.tld\sysvol,但这不是必需的。
启动脚本在计算机启动时运行。它们在本地计算机上作为 SYSTEM 帐户运行。这意味着他们以计算机帐户的身份访问网络资源。例如,如果您希望启动脚本能够访问UNC为\\server01\share1并且计算机名称为的共享上的网络资源,则WORKSTATION01您需要确保该脚本可以访问WORKSTATION01$该共享。由于此脚本作为系统运行,它可以执行诸如安装软件、修改注册表的特权部分以及修改本地计算机上的大多数文件之类的操作。
登录脚本在本地登录用户的安全上下文中运行。希望您的用户不是管理员,这意味着您将无法使用这些来安装软件或修改受保护的注册表设置。
登录和启动脚本是 Windows 2003 和早期域的基石,但在 Windows Server 的更高版本中,它们的用处已经减弱。组策略首选项为管理员提供了一种更好的方式来处理驱动器和打印机映射、快捷方式、文件、注册表项、本地组成员身份以及许多其他只能在启动或登录脚本中完成的事情。如果您认为您可能需要使用脚本来完成一个简单的任务,那么可能有一个组策略或偏好来代替它。如今,在带有 Windows 7(或更高版本)客户端的域上,只有复杂的任务才需要启动或登录脚本。
是的,我知道。我去过那儿。这在学术实验室或其他共享计算机场景中尤其普遍,在这些场景中,您希望打印机或类似资源的某些用户策略基于计算机而非用户。你猜怎么着,你很幸运!您想要为Group Policy Loopback Mode启用 GPO 设置。
别客气。
是的,你可以。不过,有一些警告。软件必须是MSI格式,对它的任何修改都必须在MST文件中。您可以使用ORCA或任何其他 MSI 编辑器等软件制作 MST 。如果您不进行转换,您的最终结果将与运行相同msiexec /i <path to software> /q
该软件也仅在启动时安装,因此它不是一种非常快速的软件分发方式,但它是免费的。在低预算的实验室环境中,我制定了一项计划任务(通过 GPO),该任务将在午夜以随机 30 分钟的偏移量重新启动每台实验室计算机。这将确保这些实验室中的软件最多过时一天。尽管如此,像SCCM、LANDesk、Altaris或任何其他可以按需“推送”软件的软件都是可取的。
客户端每 90 分钟刷新一次组策略对象,随机化 30 分钟。这意味着,默认情况下,最多可以等待 120 分钟。此外,某些设置(如驱动器映射、文件夹重定向和文件首选项)仅在启动或登录时应用。组策略用于长期计划管理,而不是用于即时快速修复的情况。
域控制器每五分钟刷新一次他们的策略。
Hos*_*its 12
关于组策略首选项的快速说明:如果您想使用这些设置但拥有 Windows XP SP2 或 Windows XP SP3 工作站,则首先需要安装Windows XP 的组策略首选项客户端扩展 (KB943729)。
Computers container在Active Directory (AD)的域根下有一个默认值,通常被误认为是 Active Directory 组织单位 (OU)。这实际上是一个Container,而不是一个OU。由于这实际上不是 OU,因此组策略不适用于此容器中的对象。此规则的例外是在domain level. 这些将是应用于Computers container.
默认情况下,加入域的计算机对象(未预先暂存)转到Computers container.
因此,如果您想知道为什么您的策略不适用,请检查以确保有问题的对象位于 AD 中的正确位置。
您可以使用组策略管理控制台 (GPMC) 备份 GPO。
Group Policy Objects包含要备份的组策略对象 (GPO) 的林和域。Group Policy Objects并单击Back Up All。Backup。如果您要备份多个 GPO,则说明将适用于您备份的所有 GPO。备份组策略的好处在于它具有内置的版本控制。这意味着,您可以多次使用此过程,它将跟踪策略之间的更改。然后,您可以恢复到特定版本的策略。
您甚至可以设置计划任务来运行使用Backup-GPO命令自动备份的PowerShell脚本。
您仍希望备份(使用传统备份方法)要将 GPO 备份到的文件夹。