组策略

组策略基本概念

组策略配置

组策略的组策略配置和安全设置

组策略其他应用

组策略排错

组策略的基本概念

组策略组成

域的GPO组成

管理工具：GPMC.msc

配置文件：GPT+GPC

组策略模板配置文件（GPT）：每个组策略的配置文件的模板&模板文件

组策略信息（GPC）：

每个组策略在域中会有唯一的一个ID（GUID），在SYSVOL文件夹中，使用GPO的GUID为每个组策略的配置信息

每个GOP的GUID文件夹，在SYSVOL文件夹中，默认复制到当前域的所有域控制器，通过DFS服务实现域控制器的SYSVOL文件同步

组策略模板（ADMX）

默认所有的windows系统共有的一个文件夹（PolicyDefinitions），可能因为系统版本不同，导致文件夹中的模板不同

中央存储：当前域的域控制器中，所有的SYSVOL文件中会自动同步名称为PolicyDefinitions的文件夹，自动使用该文件夹中的ADMX模板文件来代替本地的策略模板文件

扩展管理模板（admx）

使用现有的其他应用的管理模板：office 2013 admx templates

将官方的admx模板文件夹，直接拷贝到域控制器中的SYSVOL-Policy中央存储策略定义（PolicyDefinitions）文件夹中，即可完成扩展

自行创建和修改admx模板

admx template editor

组策略管理（GPMC.msc）：在部署组策略之前，必须针对AD域数据库的组织单位（OU）进行规划

组策略的应用顺序：L（本地）S（站点）D（域）OU（组织单位）

当客户端接收到域控制器发给的组策略的配置文件的应用顺序

客户端本地-配置文件（L）

客户端接收站点-配置文件（S）

客户端接收域-配置文件（D）

客户端接收组织单位-配置文件（OU）

由上至下的覆盖，默认OU&子OU的组策略优先

OU中可以定义不继承来自上级OU&域的策略

指定的GPO对象可以强制下级OU&子OU必须应用该策略（即使在OU中设置阻止，被定义强制的GPO也会应用）

组策略对象（GPO）管理

创建，链接，禁用和备份还原和导入导出

创建：创建组策略时，会在SYSVOL文件夹中，自动生成和该GPO同名（GUID）的组策略文件夹

链接：将配置好的策略应用到指定的OU&域范围中

删除

删除链接：在域&OU中删除指定GPO时为删除挂载到当前位置的链接，不会影响该GPO链接到其他位置

删除GPO

在GPO容器中删除GPO时，会导致，该GPO的同名文件夹会被删除，该GPO的所有链接会被删除

禁用GPO设置

在每个GPO的设置中，可以定义该GPO的设置生效范围（用户、计算机、全部）

备份还原：

可以备份当前域的指定&所有组策略，还原-只能还原当前域备份过的组策略

导入GPO设置

新建的GPO可以导入本地域&其他域的指定GPO备份的设置

查看和配置指定的GPO

应用范围

链接：当前组策略对象（GPO）挂载的所有位置

安全筛选：定义在链接范围内的应用该GPO的用户、计算机、组等等

WMI筛选

根据当前域的数据库中的对象的相关属性进行自动筛选，需要使用标准的T-SQL语句在指定的数据库位置进行查询

GPO的摘要信息

GPO的设置

显示当前GPO已经被配置了哪些设置

GPO的委派

指定下级管理用户对该策略的相关权限

GPO的状态

当前GPO的复制和挂载状态（只有在GPO容器中可以查看）

StarterGPOs

组策略的组策略模板：可以将大部分组策略的通用设置（防火墙，IE代理等）配置为StarterGPO模板，在创建组策略对象时，直接应用该StarterGPO模板，避免重复配置

站点的GPO配置：无法创建只能链接GPO，不推荐在该级别配置GPO

组策略建模

用于检查当前网络、域控制器、等等环境在部署组策略对象时是否会有问题

组策略结果

用于检查指定的计算机&用户在应用组策略对象时的状态

要求检查的计算机必须在防火墙入站规则中运行WMI远程管理

组策略的典型配置

组策略的组策略设置和安全配置

组策略的组策略设置：每个组策略GPO中，默认都会有该GPO的设置

组策略的默认更新时间：90-120分钟

    强制更新：客户端执行：gpupdate  /force

组策略的慢速连接：检查客户端到域控制器之间的网络默认低于500kbps值，导致一些策略&脚本无法推送

组策略的组策略设置

安全和应用相关

账户策略

密码策略：定义指定范围（OU）的客户端的密码使用规范

组策略定义的密码策略：OU中唯一

域功能级别2008R2以上：颗粒化密码策略：可以将密码策略指定到用户&组，优先级高于组策略中的密码策略配置

账户锁定策略

基于组策略设置

基于域安全机制：普通域用户在后端尝试更改域管理员密码，当超过一定次数后，会被AD基于安全机制自动锁定

一般由于病毒引起

Kerberos策略：

AD默认身份验证协议：NTLM和Kerberos ，对时间非常敏感，默认不能超过5分钟

本地策略

审核：小规模使用组策略配置，大规模考虑第三方解决方案

用于简单对象&操作的记录

普通审核：指定对象的操作

高级审核：AD对象的操作

用户权限管理

基于用户的合规

安全选项：

访问AD资源时，基于合规考虑的内容和配置

系统日志：定义指定服务器本地日志-时间查看器

系统服务：定义指定计算机&客户端本地服务器的状态（系统服务的配置）

高级防火墙策略：

指定计算机的默认防火墙规则：入站规则

公钥策略：和AD集成的证书服务器相关的配置（AD CS）：自动申请计算机证书

软件限制和应用程序控制器

用于管理客户端软件的使用、安装等操作

基于策略的Qos

用于定义指定计算机的网络状态和信息：限制网络速度、为指定的数据包标识

其他典型设置：

组策略：以单个功能的设置定义每个GPO，不建议多个设置在同一个GPO对象中

组策略首选项：

非强制，如果配置和GPO冲突，GPO生效

代替原脚本的部分功能

文件夹重定向：

用户文件夹重定向到指定的文件服务器中（重要&敏感），适用于固定的计算机设备

脚本：

脚本类型：传统VS脚本文件：*.vs结尾

Powershell脚本：*.ps1结尾

脚本应用：计算机脚本：启动&关闭计算机时生效

用户脚本：登陆&注销时生效

脚本位置：不可以更改默认脚本在GPO对象文件夹的位置

推荐操作：将脚本文件放置于桌面，添加脚本将桌面的脚本文件直接拖拽到默认脚本位置，禁止在脚本位置中选择脚本位置

软件部署

默认只支持微软的文件部署类型（MSI）

其他的软件部署方式：依赖脚本自动部署

System Center Configuration Manage（SCCM）软件管理

第三方

部署类型：

强制安装：静默安装，重启系统生效（分配）

可选安装：用户在“程序和功能”中可以手动选择，安装后生效（发布安装）

组策略排错

基本：域控制器之间的组策略文件夹的状态

管理：组策略的应用顺序

配置：组策略设置：共享位置，配置

客户端应用：

应用了哪些策略：gpresult.exe /R

应用该策略的设置:RSOP.msc

服务账户：

默认环境当部署指定服务时，一些服务需要通过AD域访问域中资源，需要该服务使用指定的AD账户运行，该账户只能时普通域用户、密码状态为“永不过期”、一般还具有本地管理员账户权限，不能单独使用该用户访问域中的资源

服务托管账户：使用AD集成的Powershell创建，可以应用到指定的服务中