1 / 63

第 4 章 管理 Active Directory 组对象和组策略

第 4 章 管理 Active Directory 组对象和组策略. 组是用户或计算机账号的集合。 通过使用组可以将权限分配给一组用户而不是单个用户账号。当将权限分配给组时,组的所有成员都将继承那些权限,这样可以简化网络管理。 组中可以包含用户,计算机组,打印机,共享文件夹; 一个用户可以是多个组的成员; 新设的组的权限,用户新添加入组,所得权限须在重新登录后才有作用。. 工作组中的组和域中的组. 工作组中的组 创建在非 DC 的计算机上; 驻留在 SAM 数据库中; 只能访问本地资源 。 域中的工作组

halee-navarro
Download Presentation

第 4 章 管理 Active Directory 组对象和组策略

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第4章管理Active Directory组对象和组策略 • 组是用户或计算机账号的集合。 • 通过使用组可以将权限分配给一组用户而不是单个用户账号。当将权限分配给组时,组的所有成员都将继承那些权限,这样可以简化网络管理。 • 组中可以包含用户,计算机组,打印机,共享文件夹; • 一个用户可以是多个组的成员; • 新设的组的权限,用户新添加入组,所得权限须在重新登录后才有作用。

  2. 工作组中的组和域中的组 • 工作组中的组 • 创建在非DC的计算机上; • 驻留在SAM数据库中; • 只能访问本地资源 。 • 域中的工作组 • 只在DC上; • 在AD中; • 访问域中的计算机中的资源。

  3. 第一节 本地组 • 一、本地组类型 • 1. 本地组(Local Groups) • 本地组可以在任何一台基于Windows Server 2003的非DC计算机上创建,通过将用户加入到相应的本地组赋予相应的权限,就可以控制用户对本地计算机上资源的访问。 • 本地账户信息是放置在创建该组的计算机内的数据库中,因此其作用范围只限于在创建该本地组的计算机上。

  4. 2. 内置组(Built-in Groups) • 在安装运行Windows Server 2003 的独立服务器或成员服务器时,会自动创建内置组。内置组具有一些特定的事先赋予的权力,用以完成某些特定的系统任务。 • 内置组不能被删除,其作用范围也仅限于其存在的计算机上。

  5. 二、实现本地组策略 • 将组、用户、资源及权限组合在一起而实现对资源访问的管理称之为组策略。 • 本地组策略就是先将具有相同属性的用户账号加入到一个本地组当中去,再针对某些资源赋予这个本地组相应的访问权限,这样就可以达到一次操作而为多个用户赋予访问资源的权限。

  6. 三、创建本地组 • 用本地计算机的Administrator组或Account Operators组的成员身份登录,打开“计算机管理”

  7. 新建组对话框 • 右击“组”,在弹出的快捷菜单中选择“新建组”

  8. 计算机管理窗口中可以看到新创建的组

  9. 组属性对话框 • 双击新建的组的图标

  10. 添加组对象

  11. 选择用户

  12. 组属性列表中会看到刚才添加的用户

  13. 第二节 域模式中的组 • 一、域模式组类型 • 1. 通讯组 • 可以使用通讯组创建电子邮件通讯组列表,只有在电子邮件应用程序(如Exchange)中,才能使用通讯组将电子邮件发送给一组用户。 • 2. 安全组 • 使用安全组给共享资源指派权限。可以: • 将用户权限分配到 Active Directory 中的安全组 • 给安全组指派对资源的权限

  14. 用户权利与用户权限的区别: • 权限(permission)控制用户对资源(如文件、文件夹或打印机)所做的操作。当分配权限时,就给了用户访问资源的权利并定义了他们的访问类型。 • 权利(right)是指可以让用户执行的系统任务,如更改计算机上的时间、备份、恢复文件或本地登录等。 • 3. 安全组和通讯组之间的转换 • 组都可以从安全组转换为通讯组,反之亦然。

  15. 3. 安全组和通讯组之间的转换

  16. 二、域模式中的组的作用域 • 作用域用来确定在域树或林中该组的应用范围。有三类不同的组作用域:全局组作用域、本地域组作用域和通用组作用域。 • 全局组(Global group) • 全局组的成员是对网络具有相同访问权限的用户; • 全局组的作用范围是整个域树 • 可以加到本域或其它域的本地域组、通用组中; • 可以加到本域的全局组中(仅限在本机模式中有效)。

  17. 域本地组(Domain local group) • 混合模式下,可包括域任何域的用户账号和全局组;本机模式下,还包括通用组。 • 混合模式下,不能加到其它任何组中。本机模式下,可以加入到本域的域本地组中。 • 本机模式是指域中的所有域控制器都是基于Windows 2000 或 Windows Server 2003 时,该模式支持所有的组类型。 • 混合模式是指域中的域控制器包含非Windows 2000和Windows Server 2003的计算机。在该模式下不可创建通用组。

  18. 通用组(Universal group) • 在混合模式下不可用,只在本机模式下可用; 为多个域中的相关资源授权; • 开放的成员关系:可以包含所有的用户和组(不含本地组); • 可加入任何域中的域本地组或通用组。

  19. 二、规划全局组和域本地组 • 1. 何时使用具有本地域作用域的组 • 具有本地域作用域的组可帮助定义和管理对单个域内资源的访问。 • 本地域组的成员可以是:具有全局作用域的组、具有通用作用域的组、具有本地域作用域的其他组的账号、上述任何组或帐号的混合体。

  20. 2. 何时使用具有全局作用域的组 • 使用具有全局作用域的组管理那些需要每天维护的目录对象,如用户和计算机帐号。因为有全局作用域的组不在自身的域之外复制,所以具有全局作用域的组中的帐号可以频繁更改,而不需要对全局编录进行复制以免增加额外通信量。

  21. 3. 何时使用具有通用作用域的组 • 使用具有通用作用域的组来合并跨越不同域的组。为此,请将帐号添加到具有全局作用域的组并且将这些组嵌套在具有通用作用域的组内。使用该策略,对具有全局作用域的组中的任何成员身份的更改都不影响具有通用作用域的组。

  22. 四、 更改组作用域 • 创建新组时,在默认情况下,新组配置为具有全局作用域的安全组,而与当前域功能级别无关。 • 全局到通用:只有当要更改的组不是另一个全局作用域组的成员时,允许进行该转换。 • 本地域到通用:只有当要更改的组没有另一个本地域组作为其成员时,允许进行该转换。 • 通用到全局:只有当要更改的组没有另一个通用组作为其成员时,允许进行该转换。 • 通用到本地域:该操作没有限制。

  23. 五、创建域模式中的组 • 用Administrators组或Account Operators组的成员身份登录。“开始”→“管理工具” →“Active Directory用户和计算机”

  24. 新建对象——组 • 右击Users图标,在弹出的菜单中选择“新建” →“组”

  25. Active Directory用户和计算机——看到创建的组

  26. 六、管理组 • 添加组成员

  27. 七、 删除组 • 在Active Directory服务中创建的每个组对象都有一个惟一的、不可重复使用的标识符,称为security identifier(SID,安全标识符)。Windows Server 2003使用SID来标识分配给它的组和权限。当删除一个组时,Windows Server 2003将不再为该组使用相同的SID,即便创建一个与所删除组名称相同的新组。因此,不能通过重新创建组对象来恢复对资源的访问。当删除一个组时,只删除了该组和与该组相关的权限。删除一个组并不删除作为组成员的对象。

  28. 八、使用“运行方式”启动程序 • 为获得最优安全性,不要将网络管理员每天访问使用的用户对象添加为Administrators组成员。 • 若要运行需要以Administrator身份登录的程序,可以使用“运行方式”程序。 • 找到需要用管理员身份打开的程序或其快捷方式、MMC控制台或控制面板工具。按下“Shift”键,并右击,从弹出的菜单中选择“运行方式” 。

  29. 选择程序的运行身份

  30. 第三节 默认组 • 默认组是当创建Active Directory域时自动创建的安全组。可以使用这些预定义的组来帮助控制对共享资源的访问,并委派特定的域范围的管理角色。 • 一、“Builtin”容器中的组 • Account Operators成员可以创建、修改和删除位于“Users”或“Computers”容器中的用户、组和计算机的帐户以及该域中的组织单位,除了“Domain Controllers”组织单位。

  31. Administrators成员具有对域中所有域控制器的完全控制。Administrators成员具有对域中所有域控制器的完全控制。 • Backup Operators成员可备份和还原该域中域控制器上的所有文件,不论其各自对这些文件的权限如何。 • Domain Guests该组没有默认的用户权利。 • Network Configuration Operators成员可更改TCP/IP 设置并续订和发布该域中域控制器上的TCP/IP 地址。 • Performance Monitor Users成员可在本地或从远程客户端监视该域中域控制器上的性能计数器

  32. Performance Log Users成员可在本地或从远程客户端管理该域中域控制器上的性能计数器、日志和警报 • Pre-Windows 2000 Compatible Access成员具有对该域中所有用户和组的读取访问权。 • Print Operators成员可管理、创建、共享和删除连接到该域中域控制器上的打印机。 • Remote Desktop Users成员可远程登录到该域的域控制器。该组中没有默认的成员。 没有默认的用户权利。 • Replicator该组支持目录复制功能,并由该域的域控制器上的“文件复制”服务使用。

  33. Server Operators在域控制器上,该组的成员可进行交互式登录、创建和删除共享资源、启动和停止某些服务、备份和还原文件、格式化硬盘,以及关闭计算机。 • Users成员可执行大部分常见任务,如运行应用程序、使用本地和网络打印机,以及锁定服务器。

  34. 二、“Users”容器中的组 • Cert Publishers成员获准为用户和计算机发行证书。 • DnsAdmins(随DNS安装) 成员具有对 DNS Server 服务的管理访问权。 • DnsUpdateProxy(随DNS安装)成员是可代表其他客户端(如 DHCP 服务器)执行动态更新的 DNS 客户端。 • Domain Admins成员具有对该域的完全控制权。 • Domain Computers包含加入到此域的所有工作站和服务器。 • Domain Controllers包含此域中的所有域控制器。

  35. Domain Guests包含所有域来宾。 • Domain Users包含所有域用户。 • Enterprise Admins(仅出现在林根域中)成员具有对林中所有域的完全控制作用。 • Group Policy Creator Owners成员可修改此域中的组策略。 • IIS_WPG(随IIS 安装)IIS_WPG 组是Internet 信息服务(IIS) 6.0 辅助进程组。 • RAS 和IAS Servers该组中的服务器获准访问用户的远程访问属性。 • Schema Admins(仅出现在林根域中)成员可修改 Active Directory 架构。

  36. 第四节 组策略 • 组策略提供进一步控制和集中管理用户桌面环境的功能。 • 用户不需要设置组策略,而是由组策略管理员配置和管理。 • 一、 组策略简介 • 组策略是一组配置设置,组策略管理员应用于活动目录存储中的一个或多个对象。组策略管理员利用组策略控制域中用户的工作环境。组策略也可以控制在指定OU位置上的用户的工作环境。 • 组策略还授予用户和组权力。

  37. 1. 组策略优点 • (1)保护用户环境 • (2)增强用户环境 • 自动安装应用程序到用户的“开始”菜单。 • 启动应用程序分发,方便用户在网络上找到并安装相应应用程序。 • 安装文件或快捷方式到网络上相应位置或用户计算机上的特定文件夹。 • 当用户登录或注销、计算机启动或关闭时自动执行任务或应用程序。 • 重定向文件夹到网络位置增强数据可靠性。

  38. 2. 组策略类型 • 软件设置:影响用户可以访问的应用程序。 • 应用程序自动安装的策略有两种方法实现: • 指派应用程序,组策略直接在用户计算机上安装或升级应用程序,或为用户提供应用程序的连接,指派的应用程序用户无法删除; • 发布应用程序,组策略管理员通过活动目录服务发布应用程序。应用程序出现在用户的控制面板的“添加/删除程序”的安装组件列表中。用户可以卸载这些应用程序。 • 脚本:组策略管理员可以设定脚本和批处理文件在指定时间运行。脚本可以自动执行重复性任务 。

  39. 安全设置:组策略管理员可以限制用户访问文件和文件夹 。 • 管理模板:包括基于注册表的组策略,可以利用它来强制注册表设置,控制桌面的外观和状态,包括操作系统组件和应用程序。 • 远程安装服务(RIS):当运行用户安装向导时,控制显示给用户的RIS安装选项。 • 文件夹重定向:可以重定向Windows Server 2003指定的文件夹从用户配置文件缺省位置到另一个网络位置,从而对这些件夹集中管理。

  40. 二、组策略结构 • 组策略是应用到活动目录存储中的一个或多个对象的配置设置的集合。这些设置包含在组策略对象(GPO)中。 • 组策略对象在两个位置存储组策略的信息:组策略容器(GPC)和组策略模板(GPT)。 • 1. 组策略对象(GPO) • GPO中包含作用于站点、域和OU的组策略设置。 • 一个或多个GPO可以应用于站点、域或OU。 • 存储在GPC中的组策略数据很少并且不经常改变。而存储在GFT中的组策略数据很多并经常改变。

  41. 2. 组策略容器 • 组策略容器(GPC)是存储GPO属性并包含计算机和用户组策略信息子容器的活动目录对象。GPC中包含信息的版本来确保GPC中的信息同GPT中的信息同步。GPC还包含用于识别GPO是否启动的状态信息。 • GPC存储用于配置应用程序的Windows Server 2003类存储信息。类存储是一个作用于应用程序、接口和API的基于服务器的存储库,提供应用程序指派和发布功能。

  42. 3. 组策略模板 • 组策略模板(GRT)是包含在域控制器的%systemroot%\SYSVOL\sysvol\<domain_name>\Policies文件夹下的文件夹结构。 • GPT是存储管理模板、安全设置、脚本文件和软件设置的组策略设置信息的容器。

  43. 三、应用组策略 • 1. 创建GPO

  44. 站点属性——组策略——新建组策略

  45. 2. 使用组策略管理器 组策略编辑器包括计算机配置节点和用户配置节点,每个节点下包括:软件配置、Windows设置和管理模板。

  46. 计算机配置: • 计算机配置包括所有与计算机相关的策略设置,它们用来指定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、指定的计算机应用选项以及应用设置。 • 用户配置: • 用户配置包括所有与用户相关的策略设置,它们用来指定操作系统行为、桌面设置、安全设置、指定和发布的应用选项、应用设置、文件夹重定向选项、用户登录与注销脚本等。

  47. 3. GPO权限 • 创建一个GPO,一组安全组会添加到这个对象并且每个安全组被配置一组属性。

  48. 修改GPO权限 • 打开包含相应的GPO的站点、域或OU的属性对话框,选择“组策略”,右击“新建组策略对象”,选择“属性”,并选择“安全”选项卡。

  49. 组策略的继承性 • 通常情况下,组策略从父容器向子容器向下继承。如果在高层的父容器上设定组策略,这个组策略将作用于父容器下面的所有子容器,包括每一个容器中的用户和计算机对象。但是,如果明确在子容器指定组策略设置,子容器的组策略设置覆盖父容器的组策略设置。

  50. 四、管理组策略 • 1. 管理软件设置 • 使用组策略可以集中管理软件分发。可以为一组用户或计算机安装、指派、发布、升级、修复和卸载软件。 • 在使用组策略管理器配置软件之前,要求应用程序具有Microsoft Windows Installer(.msi)软件包。 • 可以为计算机和用户指派应用程序,也可以为用户发布应用程序。

More Related