域控制
OU(Orgniztion Unit,组织单位)
域是基于OU下发组策略的,通过该方式实现集中管理。
1、开始—活动目录用户和计算机,选中域topsec.com,右键点击新建组织单位,名称设置为天融信集团,此时在该天融信集团中新建组织单位北京总部,武汉办事处,董事会等,作为公司的分支部门。在武汉办事处中新建财务部,市场部,保洁部,安保部等。建立完之后可以发现OU是存在一个等级划分的,未来可以基于OU来下发组策略。
2、由于已经建立了OU,所以未来新建用户的时候应该在里面建立,方便管理和识别部门。此时可以将原来在users中的用户移动到对应的OU当中。公司一般是基于部门来划分OU,也可以基于楼层,基于男女,基于地理位置等等来划分。
组策略
GPO(Group Policy,组策略),它是一组策略的集合,可以理解为组策略是一张表单,下发之后就可以对不同的员工进行不同程度的控制。
1、本地计算机存在本地组策略,win+r,输入gpedit.msc可以打开,通过设置组策略可以对本地计算机的操作进行限制。比如打开windows设置—安全设置—账号策略—密码策略,可以让计算机对密码进行一定程度的控制和管理。当本地策略组的策略和域下发的组策略冲突时,域用户会遵循域下发的组策略。所以可以通过在DC上设置组策略来对域用户进行限制。
2、在管理工具中找到组策略管理器,可以在管理器中看到我们设置的OU。点击组策略对象,可以看到两张默认的组策略表,都有一个“Default”前缀(一个是管理域的策略表,一个是管理DC的策略表)。右键选中天融信集团,选择在这个域中创建GPO,命名为天融信集团,此时在天融信集团下方有一个组策略表,同时在组策略对象中也能看到该表被同步更新。 对其他的OU也能执行同样的操作。
实验1:实现对整个集团设置桌面背景为123.jpg
1、需要先将照片复制到服务器的目录下,此时右键点击天融信集团的组策略表格,选择编辑—用户配置—策略—管理模板 —桌面—Active Desktop—选择桌面壁纸(其中未配置表示对用户的桌面不做修改,已启用表示强制用户使用统一桌面,已禁用表示不允许用户使用同一桌面的配置)。此时勾选已启用,然后将存放桌面壁纸的文件夹pic设置为共享文件夹,等win7用户登录的时候需要让他使用域账号在共享文件夹中加载我们设置好的桌面壁纸。
2、登录win7的时候需要使用域账号登录,并且登录该账号一次,就能实现未来享用域内任何服务不需要二次验证账号密码,因为此时win7已经不是独立的个体,已经属于域成员,这就是使用域账号的优势。
3、此时需要右键pic文件夹选择安全,添加Domain Users组,给活动目录中users下的Domain Users组赋予全部权限,让天融信集团下的所有域用户都能够访问共享文件夹的资源。
4、此时将 \服务器ip\pic\123.jpg 在桌面墙纸策略中设置为墙纸名称,点击确定,此时该策略已经生成,还需要启用一下。双击天融信集团策略,右边点击设置,出现生成报告窗口,点击添加,添加,关闭。此时右边会显示计算机配置(已启用),用户配置(已启用)。未来可以双击该策略文件,做过的策略配置全都一目了然。
5、此时需要重启win7(域用户机)才能让刚才配置的策略生效。如果发现开机之后还是没有刚才设置的123.jpg桌面壁纸,则需要注销后重新登录,只要配置成功,就会显示。并且在左面右键个性化,会发现壁纸不可更换,因为我们下发策略的时候选择了已启用。
实验2:董事会单独用另外一个桌面背景234.jpg
1、过程和实验1一致,只是需要在实验1的基础上右键点击董事会的组策略表格进行编辑。
2、全部设置好之后需要注意一个问题,由于董事长同时属于董事会和天融信集团,但是由于他直属于董事会,董事会的组策略优先级就会比天融信集团的策略优先级更高。这是组策略的一个特点:域用户自上而下检查每一个组策略的使用情况,如果发生冲突(两个策略产生的效果相反就是冲突),最后应用的那一条策略生效;上下级策略如果没有冲突,哪一级OU设置了策略,其内部的用户策略生效。
实验3:全集团禁止使用win+r运行功能
1、选中天融信集团OU,右键编辑,找到用户配置—策略—管理模板—开始菜单和任务栏,选择从开始菜单中删除运行菜单,双击启用即可。此时将董事会和保洁部的成员都注销,重新登录之后,win+r会出现限制操作的提示,实验完成。
关于组策略的调用逻辑
桌面背景 禁用运行功能 禁用开始游戏功能
1级: 域 a.jpg 已启用 未配置
2级:集团 b.jpg 未配置 已启用
3级:董事会 未配置 未配置 已禁用
3级:保洁部 c.jpg 未配置 未配置
董事会用户: b.jpg 已启用 已禁用
保洁部用户: c.jpg 已启用 已启用
实验4: 阻止继承的应用
对董事会的OU直接右键选择阻止继承,验证是否达到以下效果。
桌面背景 禁用运行功能
1级: 域 a.jpg 已启用
2级:集团 未配置 未配置
3级:董事会(阻止继承) b.jpg 未配置
董事会用户: b.jpg 未配置
实验5: 强制策略下发的应用
对天融信集团的策略直接右键选择强制,验证是否达到以下效果。
桌面背景 禁用运行功能 禁用开始游戏功能
2级:集团(做了强制) a.jpg 已启用 未配置
3级:董事会 b.jpg 未配置 已禁用
董事会用户: a.jpg 已启用 未配置
实验6:强制+阻止继承,强制生效
同时将实验4和实验5的操作保留,验证是否达到以下效果。
桌面背景 禁用运行功能 禁用开始游戏功能
2级:集团(做了强制) a.jpg 已启用 未配置
3级:董事会(阻止继承) b.jpg 未配置 已禁用
董事会用户: a.jpg 已启用 未配置
对同一部门的不同人可不可以给予不同的策略呢?
可以右键点击董事会策略表,在右边的表格中选择委派,最底下新建一个用户wangshengtao,在安全中将其权限设置为完全拒绝。此时当使用账号 shengtao.wang@topsec.com登录时,由于没有这个策略组表格的所有权限,就不会被该组策略控制。
暂无评论内容