中型企业Active Directory 设计部署系列四 组策略的设计

Active Directory 技术概述Microsoft 公司发布日期： 2002年7月摘要在Microsoft® Windows® 2000操作系统的基础之上， Windows Server 2003家族中的Active Directory® 服务引入了一些关键特性，以确保它能够成为当今市场上最为灵活的目录服务之一。

随着基于目录的应用日益流行，各类组织可以开始使用Active Directory管理各种复杂的企业网络环境。

此外， Windows Server 2003产品家族还提供了众多的新功能，这使得它成为了开发和部署基于目录的应用程序的理想平台。

本文介绍了Active Directory的基本概念，并且概括了Windows Server 2003中的Active Directory所具有的一些新增功能和增强特性。

本白皮书只是预备性文档，并有可能在其所描述的软件产品投入最终商业发布之前接受实质性修订。

本文档所提供的信息资料仅代表Microsoft公司在信息发布当日就研讨活动所围绕的问题持有的临时观点。

鉴于Microsoft公司必须针对瞬息万变的市场状况不断做出相应调整，故而，本文档内容不应被解释为Microsoft方面所做出的任何承诺，与此同时，Microsoft也无法在发布之日后继续保证文件所含信息的准确性。

本白皮书仅供用于信息参考目的。

Microsoft并未在本文档中提供任何形式的保证、明示或暗示。

遵守所有适用版权法律是文档使用者所应承担的义务。

Microsoft公司虽未在版权保护下就与本文档相关的权利做出任何限定，但是，任何人未经Microsoft公司书面授权许可，均不得出于任何目的、以任何形式、利用任何手段（电子、机械、影印、录音等）将本文档的任何组成部分制作成拷贝、存储或引入检索系统、亦或向任何对象进行传送。

Microsoft公司可能就本文档所涉及的主题拥有专利、专利申请、商标、版权或其它形式的知识产权。

A c t i v e D i r e c t o r y环境中使用组策略管理控制台G P M C精编Lele was written in 2021关于组策略管理控制台使用的逐步式指南该逐步式指南提供了在 Active Directory 环境中使用组策略管理控制台 (GPMC) 来支持组策略对象 (GPO) 的一般性指导。

该指南并不提供 GPO 实施指导。

本页内容简介逐步式指南Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。

本指南首先介绍通过以下过程来建立通用网络结构：安装 Windows Server 2003；配置 Active Directory；安装 Windows XP Professional 工作站并最后将此工作站添加到域中。

后续逐步式指南假定您已建立了此通用网络结构。

如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

在配置通用网络结构后，可以使用任何其他的逐步式指南。

注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。

任何额外的要求都将列在特定的逐步式指南中。

Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术（如Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005）来实施 Windows Server 2003 部署逐步式指南。

借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。

Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。

Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

AD域组策略规划和部署指南AD域（Active Directory）是一种用于管理网络资源的服务。

组策略是AD域中的一项功能，在整个域范围内为用户和计算机提供统一的安全设置和管理。

本文将提供AD域组策略规划和部署的指南，帮助管理员更好地使用此功能。

一、规划阶段1.定义需求：首先，确定组策略的主要需求和目标。

这可能包括安全性、访问控制、软件分发、用户配置等方面。

2.识别和分类对象：将AD域中的用户和计算机分组，并为每个组定义不同的策略需求。

例如，可以将用户分为管理人员、技术人员和普通员工等组别。

3.制定策略范围：确定需要部署组策略的范围。

可以选择在整个域中实施策略，也可以仅在特定的组织单位或者OU（组织单元）中实施。

二、设计策略1.定义基本策略：根据需求和目标，制定基本策略模板。

这些策略包括密码策略、帐户锁定策略、用户权限策略等。

2.定义高级策略：根据不同的组别和对象，制定更详细的策略，以满足各组的需求。

例如，可以为管理人员组设计更严格的安全设置，为技术人员组配置特定的软件等。

3.组织单位结构设计：根据分组需求，设计合适的OU结构。

这将有助于更好地管理和应用组策略，使其更符合组织的层次结构和需求。

三、实施策略1.创建组策略：在AD域中，使用组策略对象来创建和管理策略。

可以通过右键单击"组策略对象"，然后选择"新建策略"来创建新的策略。

2.配置策略设置：打开组策略对象后，可以根据需求和目标，通过对不同设置进行配置来实施策略。

这些设置包括安全设置、软件安装、脚本执行、桌面设置等。

3.应用策略：设置好策略后，在AD域中的对象将自动接收到策略，并按照设置进行操作。

可以通过强制组策略更新、重启计算机等方式来确保策略被应用。

四、测试和审计1.测试策略：在实施策略后，进行测试以确保它们按预期工作。

可以选择一些测试用户和计算机，观察他们是否符合策略要求。

2.审计策略：定期审计和评估组策略的效果和安全性。

Active Directory组策略一、实训要求1、用户配置实例；2、计算机配置实例；3、组策略处理规则：1）组策略执行顺序；2）组策略继承；3）组策略累加：4）组策略冲突（上下级和同一级）；5）组策略禁止替代；6）组策略阻止继承；7）策略筛选；8）GPO针对某一容器的禁用；9）禁用用户设置/计算机设置。

4、用户登录注销脚本；5、计算机开机关机脚本；6、文件夹重定向。

二、实训步骤1、用户配置实例；点击服务器管理器-功能-组策略管理-林-域针对北京用户lisi让他不能使用开始菜单的运行功能创建GPO编辑GPO注销账户重新登录已经没有运行2、计算机配置实例；先把计算机移动到Beijing的OU中3、组策略处理规则：1）组策略执行顺序；父容器到子容器在到OU比如：高层父容器的某个策略被设置启用，但是其子容器策略被设置禁用，其结果是禁用2）组策略继承；子容器会继承父容器的策略比如：高层父容器的某个策略被设置启用，但是其子容器策略未设置，其结果是启用3）组策略累加：域、站点和OU都设置了策略的时候，其结果是累加在一起，如果有冲突的时候，则以处理顺序在后的策略为优先比如：域、站点都设置了同一策略为启用，而OU设置了禁用，其结果为禁用4）组策略冲突（上下级和同一级）；计算机策略和用户策略冲突时，会优先计算机策略，如果计算机有多个策略冲突时，是以在前面的策略为优先。

（策略是针对同一设置）比如：计算机策略是启用，用户是禁用的时候，其结果是启用，同时计算机有三条策略针对同一设置时，其在最前面的优先配置。

5）组策略禁止替代；父容器设置了某策略，与子容器策略有冲突，并且子容器设置了组策略禁止替代，子容器还是执行自己现有策略，不改变。

6）组策略阻止继承；父容器不让子容器继承策略比如：父容器设置了某策略，如果子容器阻止继承的话，其子容器不会受到父容器策略影响7）策略筛选；当为一个OU设置了策略之后，如果您想针对某一计算机或用户不执行此策略，可以用策略筛选来做比如：针对业务部设置了开始菜单没有运行选项策略之后，如果想让业务部的经理有运行选项，就可以用策略筛选设置不执行此策略。

ad域常用策略AD域（Active Directory）是一种由微软公司开发的用于管理网络资源的目录服务。

在企业和组织中，AD域常用策略被广泛应用于用户权限管理、安全策略、网络访问控制等方面，以确保网络的稳定运行和信息安全。

本文将介绍AD域常用策略的相关内容。

一、用户权限管理策略1. 密码策略：通过设置密码复杂度、密码过期时间等参数，确保用户的密码安全可靠。

密码复杂度要求用户使用包含大写字母、小写字母、数字和特殊字符的复杂密码，并设置密码最短使用期限和密码历史，禁止用户频繁更改密码。

2. 用户账户锁定策略：设置账户锁定阈值和锁定时间，当用户连续多次输入错误密码时，账户将被锁定一段时间，以防止密码暴力破解。

3. 用户授权策略：通过授权用户的组成员身份和所属组织单位，限制用户对资源的访问权限，确保数据的安全性和完整性。

二、安全策略1. 安全审核策略：启用安全审核策略，记录系统日志和安全事件，及时发现和处理安全漏洞和威胁。

2. 账户登录策略：限制用户登录计算机的方式和时间，设置登录失败提示信息，以防止非法用户的登录访问。

3. 文件和文件夹权限策略：通过设置文件和文件夹的权限，保护重要数据不被未授权的用户访问和修改。

三、网络访问控制策略1. 防火墙策略：设置防火墙规则，限制不同网络段之间的通信，阻止潜在的网络攻击和入侵。

2. 网络访问策略：通过设置网络访问规则和权限，限制特定用户或用户组对特定网络资源的访问，确保网络资源的安全和合规性。

四、软件安装与更新策略1. 软件安装策略：通过AD域控制器的软件分发功能，实现远程软件安装和更新，确保企业中所有计算机的软件版本一致性和安全性。

2. Windows更新策略：配置Windows更新设置，自动下载和安装操作系统和应用程序的更新补丁，及时修复安全漏洞，提高系统的稳定性和安全性。

五、域控制器策略1. 域控制器安全策略：加强对域控制器的安全管理，设置域控制器的安全审计策略、密码策略和账户锁定策略，提高域控制器的安全性。

AD规划设计方案AD（Active Directory）是由微软公司开发的一种目录服务，主要用于在网络上集中管理和组织计算资源。

AD的规划设计方案是指在建立或更新AD环境时，根据组织的需求和架构，设计和规划AD的组织结构、架构、权限控制和管理策略等方案。

下面是一个AD规划设计方案的示例，具体内容可能根据实际需求进行调整和修改。

一、需求分析：在进行AD规划设计之前，首先要了解组织的需求。

例如，组织是否需要统一的身份验证和授权管理，是否需要统一的文件共享和访问控制，是否需要统一的应用程序和打印机管理等。

二、组织结构设计：AD的组织结构设计是AD规划设计的核心内容之一、根据组织的管理架构、业务需求和未来发展方向，设计合适的组织单元（OU）和域（Domain）。

一般来说，可以根据地理位置、部门、组织角色等因素来划分OU，以便更好地管理和控制AD对象。

对于域的划分，通常采用集中管理的原则，避免域过多导致管理复杂。

三、域控制器架构设计：域控制器是AD环境中最重要的组件之一，承担着用户验证、授权和访问控制等功能。

在设计域控制器架构时，需要考虑以下几个方面：1.域控制器的数量和位置：根据组织的规模和地理分布情况，确定所需的域控制器数量和位置，以确保稳定性和性能。

2.域控制器的容量规划：根据预计的用户数量和域控制器的功能负载，设计合适的域控制器容量，包括处理能力、存储容量和网络带宽等。

3.域控制器的高可用性设计：采用冗余的域控制器架构，确保在一些域控制器故障时仍能提供服务，并保证数据的完整性和一致性。

四、权限控制设计：权限控制是AD管理的核心内容之一，主要通过组策略和安全组来实现。

在设计权限控制时，需要考虑以下几个方面：1.用户和组的管理：根据组织的业务需求和安全策略，将用户和计算机组织成合适的安全组，以便随时控制和管理权限。

2.组策略的设计：根据组织的需求和安全策略，创建合适的组策略，并将其应用到相应的OU或域上，以控制用户和计算机的配置和行为。

中型企业Active Directory 设计部署目录1.AD架构设计 (1)1.1第一级划分 (1)1.2第二级划分 (2)1.3OU架构设计方案 (3)1.3.1方案一 (3)1.3.2方案二 (3)1.3.3具体的OU委派权限 (3)2.子网划分 (5)2.1公司概况 (5)2.2每个公司网络的IP划分规则 (6)3.站点设计 (6)3.1相关概念 (7)3.1.1了解站点和域 (7)3.1.2复制概述 (8)3.1.3实现站点以管理AD中的复制。

(9)3.1.4简单步骤分析 (10)3.1.5完成后工作 (14)3.2Repadmin工具 (16)3.3两台服务器的配置过程 (17)3.3.1WinOSDC2服务器的配置过程 (17)3.3.2WinOSDC3服务器的配置过程 (30)3.3.3验证两台服务器是否能够提供冗余服务 (42)4.为什么要划分站点？ (44)4.1优化AD的复制 (44)4.2优化客户端的登录 (44)1. AD架构设计问：假如你是珠海总公司员工，带着你的笔记本电脑去南昌分公司出差，到了分公司以后，接入分公司网络这个时候你的身分验证是在那里完成的？答：在南昌的其中一台DC完成身份验证。

分析：珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP 服务器会为它分配一个属于南昌网段的IP地址，并配置南昌分公司的DNS及网关地址，然后DNS会去查询本地的DC，最后在本地DC上对用户进行身份验证。

图1 AD架构设计图从图里我们可以看出Administrator用户对域有最高的权限，是整个AD的管理员，在大中型企业里如果AD靠管理员一个人去管理维护肯定是不可能的特别是有分支机构的企业，因此需要把部分权限委派出去。

委派的权限不能过高，因为AD是公司的基础架构，很多应用都是基于AD的，如果AD发生崩溃在大中型企业里后果是不可想象，为了减少AD的崩溃和出错在权限设计方面一定要设计严格的管理权限，制定出在AD里对象的操作规则。

中型企业Active Directory 设计部署组策略设计
经过前面的工作OS公司的AD架构已经设计好了，下面进行组策略的设计。

设计组策略的目的是管理用户和计算机，通过组策略可以配置管理一群用户和一群计算机的使用环境，因此需要根据公司的实际情况和管理环境来进行设计。

先看下面的两张设计图吧
设计图一
设计图二
1、组策略分为计算机策略和用户策略，在设计组策略时最好把这两样分开；
2、合理的优化组策略，有助于加快客户端处理组策略的速度和排错，比如说你有一条策略是针对计算机的那完全可以把用户策略这一块禁用掉，如果是用户策略则可以把计算机策略这块禁掉。

3、尽量减少组策略的使用数量，组策略是一样好东西，但不要乱用，刚学习组策略的朋友很喜欢在自己的AD里使用大量的组策略，这是不好的。

为什么？
（1、）用的策略越多对客户端的性能影响就越大，因为客户端需要花资源花时间去处理这些策略；
（2、）增加客户端的复杂度，一旦出问题增加了排错的困难。

在那里优化呢？请参考下图
从上面的图可以看出OS公司AD组策略的设计是很简单的；
域级别是2条策略，其中1条是默认策略；
Domain Controllers只有1条默认策略
每个公司有4条OU级别的策略1条是针对用户的，3条是针对计算机类型的；
为什么设计的这么简单呢？在大中型企业待过的朋友可能有体会，大中型企业的组策略往往是很简单的特别是大型企业。

设计太多的组策略会降低客户端的性能，不利于维护管理，增加了系统的复杂度。

组策略的管理，域级别和Domain Controllers的组策略由总公司IT进行管
理，分公司的4条策略委派给本地IT进行管理。

Active Directory 技术Active DirectoryActive Directory是指Windows 2000网络中的目录服务。

它有两个作用：1.目录服务功能。

Active Directory提供了一系列集中组织管理和访问网络资源的目录服务功能。

Active Directory使网络拓扑和协议对用户变得透明，从而使网络上的用户可以访问任何资源（例如打印机），而无需知道该资源的位置以及它是如何连接到网络的。

Active Directory被划分成区域进行管理，这使其可以存储大量的对象。

基于这种结构，Active Direct ory可以随着企业的成长而进行扩展。

从仅拥有一台存储几百个对象的服务器的小型企业，扩展为拥有上千台存储数百万个对象的服务器的大型企业。

2.集中式管理。

Active Directory还可以集中管理对网络资源的访问，并允许用户只登陆一次就能访问在Active Direct ory上的所有资源。

Active Directory 的优点在Windows 2000 操作系统中引入Active Directory 有以下优点：∙与DNS 集成。

Active Directory 使用域名系统(DNS)。

DNS 是一种Internet 标准服务，它将用户能够读取的计算机名称（例如）翻译成计算机能够读取的数字Internet 协议(IP) 地址（由英文句号分隔的四组数字）。

这样，在TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。

∙灵活的查询。

用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是Active Directory 用户和计算机管理单元。

例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。

而且,使用全局编录优化了查找信息的操作。

∙可扩展性。

Active Directory 是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。

配置Active Directory 域基础结构目录●本文内容●目标●适用范围●如何使用本文●组策略●支持安全管理的OU 设计●支持安全管理的GPO 设计●域级别组策略●帐户锁定策略●用户权限分配●安全设置●Kerberos 策略●OU 级别组策略●组策略工具●摘要本文内容本文介绍了将组策略应用于Microsoft Windows Server 2003 和Microsoft Windows 2000 Server 域中的Microsoft Windows XP Professional 客户端所需的概念。

组策略是Microsoft Active Directory 目录服务的一个功能，它使管理员可以更改用户和计算机设置以及管理配置，但是，在将组策略应用于环境中的Microsoft Windows XP Professional 客户端之前，需要在域中执行某些基本步骤。

组策略是确保Windows XP 安全的重要工具。

本文提供有关如何使用组策略从中心位置在整个网络中应用和维护一致安全策略的详细信息。

本指南为企业环境和高安全级环境提供选项。

对于台式计算机和便携式计算机客户端，本文中建议的设置是相同的。

目标使用本文可以实现下列目标：●描述Active Directory 如何应用组策略对象●设计组织单位结构以支持安全管理●设计组策略对象以支持安全管理●对安全模板进行管理●对管理模板进行管理●使用组策略实现有效的密码策略●使用组策略实现有效的帐户锁定策略●确定哪些用户可以向域中添加工作站●确保在允许的登录时间结束时注销用户●使用组策略管理工具来更新策略和查看组策略应用的结果适用范围本文适用于下列产品和技术：●Windows Server 2003 域中的Windows XP Professional 客户端●Windows 2000 域中的Windows XP Professional 客户端如何使用本文本文提供了一种方法，并描述了使用组策略在Windows Server 2003 或Windows 2000 Active Directory 域中确保Windows XP Professional 客户端的安全所需的步骤。

AD与策略方案AD（Active Directory）是Microsoft Windows操作系统中的目录服务，它可以用来管理运行Windows Server操作系统的用户和计算机的身份验证和授权。

AD可以帮助企业建立安全可靠的网络环境，并支持重要的任务，如身份管理、权限管理、组织管理等。

在大型企业和组织中，AD通常被用作企业IT管理策略的核心。

一个好的AD设计应该是有策略性的，这样才能满足实际需求以及未来需求的变化。

以下是与AD相关的一些策略方案：一、密码策略AD管理系统中密码策略是非常重要的，因为密码安全关系到系统安全。

密码策略包括密码长度、复杂度、修改周期和锁定尝试次数等。

采用合理的密码策略可以降低系统被黑客攻击的风险。

二、网络连接策略在AD管理系统中，网络连接策略是必不可少的，因为网络连接可以控制谁可以访问网络。

这包括无线网络和有线网络的访问控制。

采用合理的网络连接策略可以保护网络免受未经授权的访问、不良软件和未知恶意代码的攻击，提高系统安全性和保密性。

三、用户管理策略用户管理策略与AD系统的安全性、效率和可靠性密切相关。

这包括用户帐户、授权接口、加密和用户访问等方面。

采用有效的用户管理策略可以确保系统只授权给有权限的用户和工作人员，保护系统免受未经授权的访问和攻击。

四、安全审核策略安全审核策略是使用AD的关键。

安全审核策略可以帮助企业防止恶意攻击和数据泄漏，它可以记录所有系统和应用程序的变化、修改、访问和运行。

采用有效的安全审核策略可以将风险最小化，并且确保系统运作得非常平稳。

五、访问权限控制策略访问权限控制策略是安全性措施之一，可以限制系统资源（文件和文件夹）的访问范围。

这可以确保用户和工作站只能访问和共享他们有权限访问的资源。

采用合理的访问权限控制策略可以保护企业资源免受未经授权的访问、攻击和泄漏。

六、备份策略备份策略可以确保AD的高可用性、恢复性和数据保护。

备份策略包括备份的频率、备份时使用的媒体和备份的数据集等。