windows2003 组策略学习笔记(一)
2015-09-06 16:05
246 查看
零、计算机本身就是用于服务人类的,而其上面的所有软件的目的也都是尽可能简化计算机相关的管理和增加计算机的功能。组策略本质上就是ACL——访问控制列表,这对于路由器交换机的ACL、防护墙的ACL、文件系统的权限等本质上是相通的。组策略是规则,计算机和用户是“人”,把规则加到“人”身上,就规定了“人”能做什么,不能做什么。这和现实中的人类社会也是相通的。
一、组策略的几大功能:软件分发、软件限制、安全设置、基于注册表的设置、IE维护、脱机文件、漫游配置文件和文件夹重定向、计算机和用户脚本。
二、三个名称:组策略对象(GPO)、组策略容器(GPC)、组策略模板(GPT),其中组策略对象包括组策略容器和组策略模板。我的理解:组策略对象看起来就是一条一条的策略规定。
三、三个容器类单元:站点、域、OU,规模依次递减。
四、常用工具和命令:gpmc工具集、support tools工具集(adsi edit工具,在mmc中添加);gpupdate /force 用于客户端强制刷新组策略,gpresult /scope user /v 显示组策略应用情况;dcgpofix用于默认组策略删除后的修复
五、组策略的覆盖优先级由低到高为: 本地策略、站点策略、域策略、父OU策略、子OU策略。当组策略对象产生冲突时,计算机策略覆盖用户策略、不同层次的组策略产生冲突时,子OU覆盖父OU策略、同一容器上多个组策略冲突时,处于GPO列表最高位的GPO优先级最高。总体原则:后执行的优先级高!
六、变更组策略应用顺序:阻止继承、强制(禁止替代)、避免变更应用顺序。阻止继承的意思是,默认情况下应用到父OU的组策略会继承到子OU上面,但如果子OU不想的话,可以配置成“阻止继承”,这样所有的应用到父OU的组策略就都不会影响到子OU了。但是如果应用到父OU的组策略是“强制”的话,子OU就必须继承父OU的组策略了,即使子OU设置了“阻止继承”也不行。如果子OU的组策略中有与带有“强制”属性的父OU的组策略相冲突的设置,则带有“强制”属性的父OU的组策略会覆盖掉子OU的组策略中与其相冲突的设置。
七、关于软件限制策略的例子:
在“组策略编辑器”中,windows设置——安全设置——软件限制策略——其他规则中建立。把exe的路径填入即可。也可用变量,如%systemroot% 。 *QQ*则代表了只要路径中有QQ字符,即匹配(允许运行或禁止运行)
八、一台加入到域的计算机,用本地用户登录,是否会使用域组策略?答:会应用域中关于计算机的组策略,但不会应用用户组策略。
相关链接:
组策略技术中心: www.microsoft.com/technet/grouppolicy
GPMC主页: www.microsoft.com/windowserver2003/gpmc/default.mspx
使用GPMC管理组策略交互课程: www.microsoft.com/windowserver2003/evaluation/demos/sims/gpmc/viewer.htm
webcast论坛: bbs.mscommunity.com/forums/
一、组策略的几大功能:软件分发、软件限制、安全设置、基于注册表的设置、IE维护、脱机文件、漫游配置文件和文件夹重定向、计算机和用户脚本。
二、三个名称:组策略对象(GPO)、组策略容器(GPC)、组策略模板(GPT),其中组策略对象包括组策略容器和组策略模板。我的理解:组策略对象看起来就是一条一条的策略规定。
三、三个容器类单元:站点、域、OU,规模依次递减。
四、常用工具和命令:gpmc工具集、support tools工具集(adsi edit工具,在mmc中添加);gpupdate /force 用于客户端强制刷新组策略,gpresult /scope user /v 显示组策略应用情况;dcgpofix用于默认组策略删除后的修复
五、组策略的覆盖优先级由低到高为: 本地策略、站点策略、域策略、父OU策略、子OU策略。当组策略对象产生冲突时,计算机策略覆盖用户策略、不同层次的组策略产生冲突时,子OU覆盖父OU策略、同一容器上多个组策略冲突时,处于GPO列表最高位的GPO优先级最高。总体原则:后执行的优先级高!
六、变更组策略应用顺序:阻止继承、强制(禁止替代)、避免变更应用顺序。阻止继承的意思是,默认情况下应用到父OU的组策略会继承到子OU上面,但如果子OU不想的话,可以配置成“阻止继承”,这样所有的应用到父OU的组策略就都不会影响到子OU了。但是如果应用到父OU的组策略是“强制”的话,子OU就必须继承父OU的组策略了,即使子OU设置了“阻止继承”也不行。如果子OU的组策略中有与带有“强制”属性的父OU的组策略相冲突的设置,则带有“强制”属性的父OU的组策略会覆盖掉子OU的组策略中与其相冲突的设置。
七、关于软件限制策略的例子:
在“组策略编辑器”中,windows设置——安全设置——软件限制策略——其他规则中建立。把exe的路径填入即可。也可用变量,如%systemroot% 。 *QQ*则代表了只要路径中有QQ字符,即匹配(允许运行或禁止运行)
八、一台加入到域的计算机,用本地用户登录,是否会使用域组策略?答:会应用域中关于计算机的组策略,但不会应用用户组策略。
相关链接:
组策略技术中心: www.microsoft.com/technet/grouppolicy
GPMC主页: www.microsoft.com/windowserver2003/gpmc/default.mspx
使用GPMC管理组策略交互课程: www.microsoft.com/windowserver2003/evaluation/demos/sims/gpmc/viewer.htm
webcast论坛: bbs.mscommunity.com/forums/
相关文章推荐
- 利用未文档化API:RtlAdjustPrivilege 提权实现自动关机
- LaTeX 中的特殊符号
- Centos 6 装了7的东西
- MySQL学习----MySQL数据类型----02MySQL 字符类型
- Spring AOP + AspectJ annotation example
- 进程&线程&死锁
- win32控制台程序中使用CString和string .
- 工作周报054
- Jsoup 学习笔记
- NGUI与3d模型的<三明治>问题
- java代理的学习,通过类实现接口来实现代理。proxy来创建动态类,和InvocationHandler接口的实现,和工作原理。
- 删除用户选中的实体
- poj_3321 线段树/树状数组
- vs2010 配置lib文件
- 最短路径算法——Dijkstra,Bellman-Ford,Floyd-Warshall,Johnson
- ecplise配置打开文件所在文件夹
- tomcat内存调试
- 输入输出流
- 丁海森: 域名投资无须营业执照,小生意,大买卖?
- Otto事件总线框架的使用