2023年11月26日发(作者:)

域中的组策略(GroupPolicy

⽬录

1.组策略

组策略是Windows环境下⽤户管理对象的⼀种⼿段。组策略分为本地组策略和组策略。本地组策略适合于管理独⽴的未加⼊域的⼯作

组的机器。⽽组策略则是⽤于管理域环境中的对象;本⽂主要讲解域环境中的组策略。关于本地组策略,传送门:

域环境中通过配置组策略可以对域中的⽤户、⽤户组、计算机进⾏不同维度的管理;如安全配置、注册表配置、软件安装配置、开关机

与登⼊登出管理等。配置的组策略通过关联到站点、域、组织单位上来在不同层级上应⽤不同的策略配置。组策略配置分为两部分,分别是

组策略容器中,有⼏个重要的属性配置:

displayname:组策略的名称;

gPCFileSysPath:组策略模板(GPT)所在的具体路径,即客户端查找具体的配置信息的物理路径,位于域控的SYSVOL共享中;

gPCMachineExtensionNames:客户端执⾏该组策略所需的客户端扩展程序;

当某个对象应⽤了某个指定的组策略时,该对象的gPLink属性将包含指向该组策略容器的完整DN,gPLink属性值形式如下:

1. # 分号后的0或者1表⽰该条策略应⽤时是否强制,0表⽰⾮强制,1表⽰强制

2. [LDAP://CN={GPO_GUID}, CN=Policies, CN=System, DC=xie, DC=com;0/1]

如下,Domain Controllers组织单元应⽤了Default Domain Contoller Policy组策略,所以该组织单元的gPLink属性指向了该组策略对

象的DN。

1.2 组策略模板GPT

组策略模板是组策略具体的策略配置信息,其位于域控的C:WindowsSYSVOLsysvolDomainNamePolicies共享⽬录下的各个

GUID⽂件夹内。(通过net share可以看到该共享)。

我们在域内任意⼀台主机上,以普通域⽤户⾝份可以查看该默认sysvol共享

GPT在SYSVOL共享中以容器的形式组织⽬录结构,以GUID标识为⽬录名的各个组策略配置⽬录包含以下内容:

Macheine⽬录:包含针对计算机的策略配置;

根据设置的不同组策略配置拥有不同的⽬录结构,如Scripts⽬录包含开关机和登⼊登出的执⾏脚本、Applications⽬录包含关于软件

的配置、Preferences⽬录包含⾸选项配置。

2.组策略管理

管理⼯具——>组策略管理 即可打开组策略管理⾯板。或者在cmd命令⾏中输⼊也可打开组策略管理⾯板,

2.1 新建组策略对象GPO

右键组策略对象——>新建

然后填写组策略的名字,确定即可。

2.2 编辑组策略对象

2.3 应⽤组策略对象

启⽤组策略实际上是将配置好的组策略对象链接到指定的作⽤层级范围上,组策略对象可被链接到的作⽤范围按层级关系分为:站点

(site)、域(domain)、组织单位(OU)。注意组策略被应⽤的最⼩单元是OU,即不能直接将⼀个组策略应⽤到某个⽤户或某个计算

然后右键该组织单元——>链接现有GPO(L),然后选择我们刚刚创建的组策略对象,点击确定即可。

组策略被应⽤到某个层级上时,会有继承关系存在,除⾮显式的“阻⽌继承”,否则默认情况下链接到⾼层级的组策略配置同样会应⽤到该