Windows组策略

目录

• 组策略
• 本地组策略
• 域策略
  • NETLOGON
  • SYSVOL
  • GPO
    • Default Domain Policy
    • Default Domain Controllers Policy
• GPP

Windows组策略，老生常谈的话题了。

组策略

组策略是windows nt家族操作系统的一个特性，用于控制用户账户和计算机账户的工作环境，可以集中化管理操作系统、应用程序、活动目录中的用户设置。

举个例子，可以通过域中组策略（域策略）来设置域中所有机器本地管理员的默认密码。

组策略应用顺序：

• 首先应用本地组策略
• 如果有站点组策略，则应用
• 接着应用域策略
• 最后应用 OU 上的策略
• 如果同一个 OU 上链接了多个 GPO，则按照链接顺序从高到低逐个应用

本地组策略

Local Group Policy，缩写 LGP 或 LocalGPO，是组策略的基础版本，面向独立非域的计算机。 WindowsXP就已经存在。在 Windows Vista 以前，LGP 可以强制施行组策略对象到单台本地计算机，但不能将策略应用到用户或组。从 Windows Vista 开始，LGP 允许本地组策略管理单个用户和组，并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。

域策略

NETLOGON

netlogon和sysvol都是域控共享给全域的文件夹，域中所有成员均可访问并执行此文件夹及其所属文件。他们记录了域中一些必要的数据。

NETLOGIN是SYSVOL下的一个文件夹，挂载于SYSVOL\domain\SCRIPTS，用来保存脚本信息

SYSVOL

SYSVOL 包括登录脚本，组策略数据，以及其他域控所需要的域数据。 域中用户登录时，会首先在SYSVOL文件夹查找GPO和启动脚本。

GPO

GPO，即组策略对象，是组策略设置的集合。通俗来说，Active Directory中组策略的设置结果是保存在GPO中的。

在AD安装完成后，系统中会默认存在两个GPO

Default Domain Policy

默认域策略，用来管理域中的一些安全策略，如密码过期和账户锁定等等，它的GUID（唯一ID）为31B2F340-016D-11D2-945F-00C04FB984F9

Default Domain Controllers Policy

默认域控制器策略，用于管理Domain Controllers容器，GUID：6AC1786C-016F-11D2-945F-00C04FB984F9

GPP

组策略首选项 在GPP出现之前，很多统一管理的操作只能通过脚本来实现，而GPP方便和简化了这样的管理,GPP你可以将其理解为一个功能点,作用是简单化、规范化组策略的发布和使用