生活在烟台,爱上栖霞信息港! 广告服务

栖霞信息网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 1089|回复: 0

[域部署] Windows 2008 R2组策略之二——GPO初探

[复制链接]

81

主题

81

帖子

361

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
361
发表于 2016-9-18 15:35:35 | 显示全部楼层 |阅读模式

今天将这个系列的第二篇奉献给大家,以伺视听。

在上篇小文中,我们谈及组策略管理工具——组策略管理器的使用,今天我们来谈谈组策略管理器管理的对象——GPO(组策略对象)。GPO是我们接下来的系列文章要重点讨论的对象,那么什么是GPO呢?通俗地讲,就是组策略的载体,在它的内部“装载”了对于计算机和用户的大大小小的配置选项,即“组策略”。在Windows 2008 R2中,这些策略一共有3000多条,涉及到域管理的方方面面。本文将对组策略对象进行初步探讨。

首先,让我们接续上篇博文。我们已经在beijing域中创建了一个名为market的OU,并创建了一个同样名为market的GPO。现在,让我们将鼠标定位在该GPO上,在控制台的右侧的结果集中将显示如图一的画面。

                                                                                                          图一

这幅图上,大家可以看到4个标签页:作用域、详细信息、设置、委派,它就是用来对GPO进行设置的。首先,让我们看看“作用域”标签页上面的内容。此页分上中下三个部分,最上面是“链接”。在此,你可以选择此GPO能够在什么位置显示,默认是在所属域中;还可以看到该GPO所链接的位置,以及目前的状态是否启用,是否是强制的,路径是什么。这样你可以非常直观地了解此GPO的状态。在中部,显示“安全筛选”项。此处使你可以了解此GPO作用的对象,并可以添加和删除对象,这些对象包括组、用户和计算机。默认情况下,授权用户这个内置安全主体为授权对象。最下面是WMI筛选器,用来配合Windows脚本自动定义该GPO的作用域。此内容属于组策略高级管理范畴,会在今后的博文中予以介绍,敬请期待啊。呵呵呵。。。。

第二个标签页是:详细信息,见图二。


图二


在该页中,可以查看该GPO的详细信息,包括:所属域、所有者、创建及修改时间,最重要的的是用户版本和计算机版本,这两个版本指明了该GPO中关于用户配置和计算机配置被更改的次数,以及这种更改在AD数据库和SYSVOL中的状态,即是否已经被同步到AD的数据库中了。还有就是唯一ID和GPO状态。


第三个标签页为“设置”,如图三。

图三

点击“设置”标签页时,系统会搜集该GPO的详细配置信息,并在结果集中呈现给用户,以便用户详细了解对于哪些配置项进行了什么样的配置,并可以将其导出或打印,非常方便。

第四个标签页是“委派”,熟悉Windows管理的用户应该了解这是做权限配置的地方,见图四。

图四

类似于Windows中的权限设置,在此你可以添加用户、组,并为它们设置对于该GPO的权限。这里要强调的是: 如果你想让一个用户应用该GPO的配置项,那么最少要给他读取的权限。除此以外,还可以设置GPO的继承性。关于组策略的权限和继承方面的问题,将另文讨论。

上面我们介绍了GPO的4个设置标签页的作用,接下来让我们拿一个小例子来感性地领略一下GPO。在上篇文章中提到,组策略的链接遵从的是SDOU原则,即组策略只能作用于S——Site(站点)、D——Domain(域)、OU——Organizition Unit(组织单位)。我们已经创建了一个OU,并链接了一个GPO,那么是否属于该OU的用户就一定能够应用该GPO的设置呢?我们用事实来证明!

首先,我们在market下创建两个域用户张三和李四,他们的登录名分别是zhangsan和lisi,在默认状态下,分别用这两个用户账户在客户机上登录,并打开浏览器来验证结果(由于我们配置了更改浏览器标题的配置项)。





GPO默认状态

张三登录

张三登录后浏览器标题变更的效果,同样当李四登录后也会收到同样的效果。现在我们将GPO的配置稍微调整一下,将作用域标签页中安全筛选中的授权用户删除,并只添加张三,如下图:

只有张三

同时在委派标签中看到张三被授予读取权限,而授权用户组没有了

我们再次将登录用户切换回张三,发现组策略的配置项对张三是生效的。此时,我们换李四来登录并验证,效果如下图:

李四登录

不起作用

从实验结果来看,虽然组策略被链接在了OU上,但通过调整GPO的安全设置,可以做到为处于同一个OU容器中的不同对象配置不同的选项。当然,在更改了GPO的各种配置后别忘记更新,如图:

组策略更新

对于用户的组策略配置项的更新,只要用户注销后再登录就可以应用,对于计算机的配置需要重启计算机后才会被应用。

本文对于组策略的应用做了初步的探讨,欢迎大家指正。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright ©2015 栖霞信息港 All Right Reserved.  Powered by 烟台在线

 (鲁ICP备05000258号)

本站信息均由会员发表,不代表【栖霞信息港】立场,如侵犯了您的权利请发帖投诉

TOP
快速回复 返回顶部 返回列表