ADGroupPolicy組策略最佳實踐

會計學1ADGroupPolicy組策略最佳實踐議程組策略的概念組策略的種類組策略相關工具介紹策略項目功能詳解利用組策略進行程序安裝組策略最佳實踐組策略工具排錯與修復組策略2008之后版本新功能Preference首選項綜合案例第1頁/共76頁組策略對象及相關概念第2頁/共76頁組策略的概念組策略是一種在用戶或計算機集合上強制使用一些配置的方法，組策略定義了用戶的桌面環(huán)境等多種設置。使用組策略可以給同組的計算機或者用戶強加一套統(tǒng)一的標準。

第3頁/共76頁組策略的功能支持用戶和計算機使用ONE-MANY的管理方式可以強制實施基于企業(yè)的Baseline相關的標準簡化管理任務統(tǒng)一企業(yè)桌面標準基于自動化腳本減輕IT工作任務第4頁/共76頁用戶隸屬于OU，OU可套用組策略基于通俗的方式來說，OU就是中國的一個省，用戶是這個省的公民，而策略就是這個省的當地法律,計算機和用戶就是這個省的男公民和女公民用戶\計算機\OU\組策略的關系第5頁/共76頁系統(tǒng)默認策略DefaultDomainPolicy

默認域全局策略，針對整個活動目錄執(zhí)行的策略標準DefaultDomainControlPolicy

針對活動目錄所有的域控制器的策略，第6頁/共76頁組策略存儲位置組策略對象（由GUID標志，在域級別存儲）第7頁/共76頁組策略種類及配置第8頁/共76頁組策略的種類-本地策略基于客戶端本地的安全策略模版的設置，可設置的項目少，如果加入域。大部分功能會被域組策略取代2023/1/16-Slide10第9頁/共76頁組策略的種類-域策略基于活動目錄策略模版的策略設置集合，所有的文件保存在SYSVOL中。2023/1/16-Slide11第10頁/共76頁可以鏈接組策略的對象站點域OU2023/1/16-Slide12第11頁/共76頁計算機應用策略的前提條件1.計算機和用戶必須位于GPO所連接的OU上面2.對GPO有讀取和應用的權限2023/1/16-Slide13第12頁/共76頁組策略的配置項目計算機策略

應用到計算機上面的策略，這個策略如果需要運行，則必須計算機隸屬于這個策略所在的OU或者下層OU用戶策略

策略只應用到這個OU上的用戶，其他對象不收到影響2023/1/16-Slide14第13頁/共76頁組策略刷新周期2023/1/16-Slide15默認是90分鐘，可以修改。使用GPUPDATE/Force立即生效第14頁/共76頁組策略的執(zhí)行順序2023/1/16-Slide16第15頁/共76頁如果出現了策略沖突-后執(zhí)行的優(yōu)先級別高1.計算機和用戶策略沖突則覆蓋用戶策略如果用戶在阻止文件中有沖突，可以看看結果2.不同層次的策略產生沖突時，子容器的GPO優(yōu)先級別高3.同一個容器上多個GPO沖突時，最高位置最后執(zhí)行，所以優(yōu)先級別高2023/1/16-Slide17第16頁/共76頁改變優(yōu)先級別的方法阻止繼承強制（禁止替代）修改安全篩選2023/1/16-Slide18第17頁/共76頁組策略安全過濾防止不該運用策略的用戶運行，利用安全的選項設置DEMO2023/1/16-Slide19第18頁/共76頁基于慢速網絡的組策略應用慢速網絡的定義：

速度低于500K的網絡,用戶可自定義

慢速網絡以下策略不會被應用：1.軟件部署2.腳本3.文件夾重定向2023/1/16-Slide20第19頁/共76頁組策略的執(zhí)行模式同步模式-基于Windows2000、2003組策略應用模式異步模式-基于WindowsXP的登陸模式

如果需要用戶完全應用到策略，則必須使用將異步模式修改為同步模式2023/1/16-Slide21第20頁/共76頁組策略環(huán)回處理什么是組策略環(huán)回處理呢？

組策略對象有用戶和計算機策略，通常對于普通用戶來說，計算機策略和用戶策略都會執(zhí)行。但是對于非需要定制的用戶，比如公共計算機或者大量用戶公用計算機，我們則不需要對用戶實現策略控管，這個時候我們就不用執(zhí)行用戶策略

一般使用地點：公共教室、公共使用電腦

兩種模式：替換模式，只執(zhí)行計算機策略，不執(zhí)行用戶策略

合并模式，執(zhí)行用戶和計算機策略，當用戶策略和計算機策略相沖突的時候，以計算機策略為準

2023/1/16-Slide22第21頁/共76頁組策略編輯工具介紹第22頁/共76頁組策略管理工具GPMC

GPMC工具介紹

組策略創(chuàng)建、編輯與鏈接組策略的復制粘貼

組策略的備份與還原

組策略結果集

組策略建模

遷移組策略

2023/1/16-Slide24第23頁/共76頁GPMC管理工具屬于MMC管理控制管理單元

一組可編寫腳本的組策略管理接口GPMC的設計意圖在于提供一個統(tǒng)一的場所來實現組簡化組策略簡化管理

實現組策略所有相關的管理任務一站式2023/1/16-Slide25第24頁/共76頁影響GPO作用范圍的因素設置強制還是拒絕繼承？安全篩選器WMI篩選器2023/1/16-Slide26第25頁/共76頁組策略的編輯與鏈接2023/1/16-Slide27DEMO第26頁/共76頁組策略建?；诮M策略現有設置進行預執(zhí)行了解整個結果集來判斷是否符合預期要求2023/1/16-Slide28第27頁/共76頁組策略結果集基于組策略實際計算機執(zhí)行組策略結果后的運行集合2023/1/16-Slide29第28頁/共76頁組策略的復制與粘貼域內復制跨域、跨森林復制2023/1/16-Slide30第29頁/共76頁組策略的備份與還原2023/1/16-Slide31DEMO第30頁/共76頁組策略備份的內容GPO的名稱、GUIDGPO的設置GPO的DACL（自定義訪問列表）WMI篩選器鏈接（不是篩選器對象）執(zhí)行備份的時間戳2023/1/16-Slide32第31頁/共76頁組策略的還原2023/1/16-Slide33DEMO第32頁/共76頁組策略的導入可以由備份的策略導入現有的GPO對象可以跨域、跨森林操作第33頁/共76頁組策略的遷移遷移需求（跨域）

實驗環(huán)境-生產環(huán)境

生產環(huán)境1-生產環(huán)境2遷移解決方案

復制+粘貼備份+導入挑戰(zhàn)

安全主體（用戶、組和計算機）UNC路徑遷移表

影射源GPO中的安全主體、UNC到目標GPO的新值文件第34頁/共76頁組策略工具演示DEMOGPMC工具管理組策略備份組策略遷移第35頁/共76頁組策略的安全設定第36頁/共76頁組策略安全設定-帳戶策略密碼策略

定義密碼長度、復雜性、歷史密碼及留存周期等

密碼策略只能設置在域級別，而且只能有一個OU中的密碼策略只應用到OU內部計算機2023/1/16-Slide38第37頁/共76頁組策略安全設定-用戶鎖定策略防止攻擊者惡意猜測用戶名和密碼的保護措施默認的管理員不會被鎖定2023/1/16-Slide39第38頁/共76頁本地安全權利指派用戶權利指派基于服務行為的用戶指派安全選項

基于計算機安全選項方面的設置2023/1/16-Slide40第39頁/共76頁受限制的安全組設置保護受限制的組成員不被更改保護安全組成員的隸屬關系不被更改千萬注意的是，不要設置空成員的安全組。設置的結果將是該組所有成員將被刪除，尤其不要對默認管理員組設置空成員，那樣的結果是你的管理權限丟失。2023/1/16-Slide41第40頁/共76頁文件系統(tǒng)權限通過組策略設置，我們可以：改變文件系統(tǒng)的安全權限保護系統(tǒng)文件的安全禁用掉某些特定文件的運行2023/1/16-Slide42第41頁/共76頁可自定義的系統(tǒng)服務可根據現有服務模版，進行系統(tǒng)服務定制：如果不需要禁止，則不要禁止2023/1/16-Slide43第42頁/共76頁自定義注冊表權限防止惡意軟件修改注冊表某個鍵值，我們需要對注冊表權限設置。實例-禁止對MOUNTPOINTS2進行訪問及修改2023/1/16-Slide44第43頁/共76頁審核策略審核日志定義：

人過留名，雁過留聲。你所做的操作會帶來什么后果我不曉得？但是我知道

你做了！

審核日志的規(guī)劃：

確定計算機需要開啟審核

確定那些機器開啟審核

確定審核的對象需要審核的部分

定期檢查安全日志

第44頁/共76頁軟件限制策略軟件限制策略可處理對未知或者非信任的軟件的調節(jié)需求默認軟件設置的安全級別：Unrestricted不受限制的Disallowed不允許的2023/1/16-Slide46第45頁/共76頁軟件限制策略原則基于Hash規(guī)則利用文件的MD5或者SHA1的HASH來做比較，如果文件版本過多的時候，可采用這種方式做校驗。證書規(guī)則利用程序上面的數字簽名來做比較，這部分比較少路徑規(guī)則根據路徑來做程序比較，此種方式適合不變更文件名稱的結果Internet區(qū)域規(guī)則根據IE所在的區(qū)域來決定是否限制程序的下載和安裝（只可用于MSI文件）

2023/1/16-Slide47第46頁/共76頁規(guī)則的優(yōu)先級-沖突機制規(guī)則的優(yōu)先級別哈希規(guī)則-證書規(guī)則-路徑規(guī)則-區(qū)域規(guī)則2023/1/16-Slide48第47頁/共76頁實例：

利用HASH和路徑規(guī)則限制NOTEPAD2023/1/16-Slide49DEMO第48頁/共76頁利用組策略進行程序安裝第49頁/共76頁軟件的指派將軟件指派給計算機

計算機啟動后安裝后將自動安裝在計算機里面

安裝的位置documentandsetting\alluser2023/1/16-Slide51第50頁/共76頁將軟件指派給用戶在安裝后不會安裝軟件本身只安裝軟件相關的部分信息什么時候自動安裝呢？開始運行此軟件文件啟動（關聯(lián)后綴名開啟則開始自動安裝軟件）不要管理員權限安裝軟件2023/1/16-Slide52第51頁/共76頁發(fā)布軟件無法將軟件發(fā)布到計算機只能將軟件發(fā)布到用戶不會自動安裝軟件本身在添加刪除程序的添加程序中添加程序利用文件啟動功能（通過查詢AD數據庫）2023/1/16-Slide53第52頁/共76頁軟件自修復一個發(fā)布或者指派的軟件，在安裝完成后，如果程序內有關鍵性的文件損壞、遺失或者被用戶不小心刪除，系統(tǒng)會自動探測到此現象，并進行自動修復2023/1/16-Slide54第53頁/共76頁組策略刪除軟件組策略有兩個選項1.立即從電腦里面卸載軟件

客戶下次重新登陸或者重啟會自動刪除2.允許用戶繼續(xù)使用軟件，但禁止新的安裝

這個意味著，現有的用戶可以繼續(xù)使用軟件

但是如果有新的用戶登陸了，那么將無法繼續(xù)使用軟件2023/1/16-Slide55第54頁/共76頁基于非MSI程序的安裝建立擴展名為zap文件特性

只能發(fā)布給客戶，不能指派給用戶和計算機

不具備自動修復的功能安裝過程需要用戶介入

用戶需要在客戶端具備安裝軟件的權限EXE結尾的比較適合

示例：[application]FriendName=“軟件名稱”setupcommand=“網絡共享名稱”Displayerversion=“版本號”publish=出版者

2023/1/16-Slide56第55頁/共76頁組策略最佳實踐第56頁/共76頁組策略不要嵌套過多的OU 一個OU如果鏈接過多的GPO，可能帶來的后果是執(zhí)行時間的增加過多的OU的相互排斥可能導致很難查出問題2023/1/16-Slide58第57頁/共76頁盡量不要修改默認域策略和控制器策略這兩個策略是域運行的基本條件，如果他們不能正常運行，那么所有的策略將失效2023/1/16-Slide59第58頁/共76頁不要過多的使用強制和阻止繼承過多的強制和阻止繼承將導致核查問題非常復雜2023/1/16-Slide60第59頁/共76頁如果策略過多，請使用同步模式為了客戶端能夠更好的運用策略，必須將客戶端設置為總是等待網絡2023/1/16-Slide61第60頁/共76頁組策略排錯及修復第61頁/共76頁組策略排錯系列工具Rsop.mscGpresult.exeGPOTOOLMPS_REPORTUserenv.logWinlogon.log2023/1/16-Slide63第62頁/共76頁如果出現這個情況？如果默認的兩條策略不見了？有備份就導入備份沒有備份從其他機器上拷貝實在不行只能用下面的工具2023/1/16-Slide64第63頁/共76頁如果活動目錄默認域策略損壞？重建域控制器策略和域策略-WIN2003自帶還原工具2023/1/16-Slide65第64頁/共76頁組策略2008之后版本新功能

Preference首選項第65頁/共76頁如果我不懂腳本，我希望映射磁盤怎么辦？Windows2008組策略首選項幫你忙！第66頁/共76頁有了首選項功能吃飯也香了!睡覺也好了!

我也不用到處找腳本了！爽第67頁/共76頁利用組策略發(fā)布共享文件夾DEMO第68頁/共76頁綜合案例第69頁/共76頁組策略應用實例1-防止U盤病毒禁止掉shellhardware服務啟動禁止掉自動播放功能禁止所有人讀取HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2鍵

2023/1/16-Slide71第70頁/共76頁組策略應用實施案例2-禁止U盤的使用禁止方法2：用戶根本看不到U盤2023/1/16-Slide72第71頁/共76頁組策略實施案例-自動補丁更新DEMO2023/1/16-Slide73第72頁/共76頁客戶端打印機自動部署另外一個培訓教程中自動部署文件夾2023/1/16-Slide74第7