Windows组策略
目录
Windows组策略,老生常谈的话题了。
组策略
组策略是windows nt家族操作系统的一个特性,用于控制用户账户和计算机账户的工作环境,可以集中化管理操作系统、应用程序、活动目录中的用户设置。
举个例子,可以通过域中组策略(域策略)来设置域中所有机器本地管理员的默认密码。
组策略应用顺序:
- 首先应用本地组策略
- 如果有站点组策略,则应用
- 接着应用域策略
- 最后应用 OU 上的策略
- 如果同一个 OU 上链接了多个 GPO,则按照链接顺序从高到低逐个应用
本地组策略
Local Group Policy,缩写 LGP 或 LocalGPO,是组策略的基础版本,面向独立非域的计算机。 WindowsXP就已经存在。在 Windows Vista 以前,LGP 可以强制施行组策略对象到单台本地计算机,但不能将策略应用到用户或组。从 Windows Vista 开始,LGP 允许本地组策略管理单个用户和组,并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。
域策略
NETLOGON
netlogon和sysvol都是域控共享给全域的文件夹,域中所有成员均可访问并执行此文件夹及其所属文件。他们记录了域中一些必要的数据。
NETLOGIN是SYSVOL下的一个文件夹,挂载于SYSVOL\domain\SCRIPTS,用来保存脚本信息
SYSVOL
SYSVOL 包括登录脚本,组策略数据,以及其他域控所需要的域数据。 域中用户登录时,会首先在SYSVOL文件夹查找GPO和启动脚本。
GPO
GPO,即组策略对象,是组策略设置的集合。通俗来说,Active Directory中组策略的设置结果是保存在GPO中的。
在AD安装完成后,系统中会默认存在两个GPO
Default Domain Policy
默认域策略,用来管理域中的一些安全策略,如密码过期和账户锁定等等,它的GUID(唯一ID)为31B2F340-016D-11D2-945F-00C04FB984F9
Default Domain Controllers Policy
默认域控制器策略,用于管理Domain Controllers容器,GUID:6AC1786C-016F-11D2-945F-00C04FB984F9
GPP
组策略首选项 在GPP出现之前,很多统一管理的操作只能通过脚本来实现,而GPP方便和简化了这样的管理,GPP你可以将其理解为一个功能点,作用是简单化、规范化组策略的发布和使用