【2018年整理】组策略配置及技巧.pdf

组策略对象可以应用到的容器包括：站点、域、和 OU 中。 默认的域策略、域控制器策略尽量不要去修改。 默认的域策略会影响到所有的域内的用户，计算机以及 DC ，默认的域控制器策略只会影响到域内的 所有的域控制器。 组策略（group policy ）对象包括组策略容器（GPC ）和组策略模板（GPT ） 组策略是 AD 集中管理的工具。GPC 存放在 AD 用户和计算机中。存放位置如下：高级功能-选择域 -system-policies 对应的 UID 中，单击属性可以查看版本号等信息，CPT 存放于 sysvol\域名\polilcies\ID number 下的文件夹下，包含计算机和用户的配置，以及版本号。 多个 GPO 可以链接到一个容器，一个 GPO 可以链接到多个容器。 计算机如何知道组策略是否更改过？如何获取适合自己的组策略？ 计算机在登录时首先查看 GPlink （adsiedit.msc 中域-属性-属性编辑器），查看 ID 和对应的版本号是否 更改过，以便登录的时候实施对应的组策略。 计算机和用户如果要应用组策略对象的设定： 计算机和用户必须位于 GPO 有链接的 SDOU 容器内。 必须对 GPO 要有读取和应用组策略的权限。 组策略对象冲突时： 1：计算机策略覆盖用户策略。 2 ：不同层次的策略产生冲突时，子容器上的GPO 优先级高 3 ：同一容器上多个 GPO 产生冲突时，处于 GPO 列表最高位置的 GPO 优先级最高。（按照链接的组 策略对象的顺序执行） 总体原册：后执行的优先级高。 变更组策略管理顺序：阻止继承，强制。设为强制的 GPO 优先级最高。阻止继承：就是在父策略的 对象不在子策略中实施。不要轻易设置强制和阻止继承。方便排错。 安全策略：删除默认的 authenticated user 组，按照 GPO 设定创建安全组，为安全组分配权限。 问题：如何实现OU 内的GPO 只对 OU 内特定人员生效？（GPO 只对财务部 OU 和销售部 OU 的经 理生效） 使用安全过滤；在 AD 用户和计算机上新建一个安全组，将需要生效的成员（经理）添加进来，在所 要生效的 GPO 中右击属性-委派-高级，删除默认的 authenticated user 组，将新建的安全组添加进来， 权限中设置读取和应用组策略权限即可。（尽量不要使用，方便排错） 如何使其他用户具有编辑组策略的权限？ 在所设置的组策略上点击添加，将用户添加进来，给予相应的权限，给定的用户即可编辑对应的组策 略。 如何设置域中用户具有修改域的所有组策略（不包含给定权限的用户自己编辑的组策略）的权限？ 单击 AD 用户和计算机，单击 group policy creator owners-属性，将需要添加的成员添加进来即可。 如何设置域中 GPO 的链接的权限？（将设置的组策略对象链接到相应的容器中的权限） 在 AD 用户和计算机上单击域，右击委派控制-添加，将要添加的用户添加进来，然后给予相应的权 限即可。 如何查看当前系统新增的组策略功能？ GPedit 中单击管理模板-查看-筛选器选项，勾选相应选项即可查看。 组策略结果集 RSoP 的用处？ MMC 中添加策略的结果集即可以打开RSoP 可以选择记录模式和计划模式，记录模式显示当期应用的组策略结果，计划模式显示模拟的即将应用 的组策略结果，单击更改查询切换，进行查询。 QQ 群：8584572 GPMC 中策略的结果为RSoP 的记录模式。（推荐使用）提供HTML 报告，可以保存报告 组策略建模的作用？ 打开方式：GPMC 中，右键组策略建模、OU 节点、域名节点下拉菜单中单击组策略建模向导。 在组策略排错方面与组策略结果集配合使用可以方便排错。 软件限制策略常用有哪些？ 有路径规则域哈希规则。路径规则可以限制咋某个路径下的文件的限制，用户修改了此文件的路径， 便无效。哈希规则即为限制某个文件的哈希值，无论文件在何处，都不可以运行。 如果一个程序有多个软件限制策略规则，该如何应用？ 按照 1：哈希；2 ：证书；3 ：路径；4 ：internet 区域路径规则；优先级顺序执行。 组策略的执行顺序为：本地策略、站点策略、域策略、父 OU 策略、子 OU 策略。后执行的优先级高。 如多于一个的同类规则作用于同一个程序，则同类规则中最具有限制能力的规则起作用。 使用软件限制策略的最佳实践： 1. 不要修改默认的域策略，不要链接外域策略。 2. 坚持为软件限制策略建立独立的组策略对象。 3. 如果应用软件限制策