活动目录组策略

8
5.2 组策略优先级
通过前面的介绍，我们已经知道。组策略 有很多种，域有域组策略，本地计算机有 本地策略，而Active Directory中的组织单 位还可以有自己的组策略。
9
5.2.1 组策略优先级概述
组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域 控制器以及管理范围内的任何其他Windows 2000/Server 2003计 算机。 通过将组策略对象链接到Active Directory对象(站点、域或组织单 位)，可以应用基于Active Directory的组策略。 通常系统是按如下顺序应用策略。
11
5.2.3 处理设置的顺序
1. 默认的组策略处理顺序
(1)本地组策略对象。每台计算机都只有一个在本地存储的组策略对象。 (2)站点。链接到该站点的组策略对象在下一步处理。处理是按照管理 员指定的顺序同步进行的。 (3)域。多个与域链接的组策略对象将按照管理员指定的顺序同步进行 处理。 (4)组织单位。
13
5.3 域组策略的基本配置
在域的管理中，域组策略的管理非常重要， 它将作用于域中所有用户、组(安全组除外) 和计算机帐户。 本节介绍的是一些基本的域组策略配置方法。
14
5.3.1 密码策略配置
1．操作步骤 (1)选择【开始】|【管理工具】| 【Active Directory用户和计算机】 菜单命令，打开【Active Directory 用户和计算机】控制台窗口，参见图 5-12。 (2)在域控制器上(本示例为 xinhua.local)右击，在弹出的快捷菜 单中选择【属性】命令，在打开的对 话框中选择【组策略】选项卡，参见 图5-14所示。 (3)选择Default Domain Controllers Policy组策略对象链接，然后单击 【编辑】按钮，打开的域组策略控制 台窗口参见图5-1。 (4)按【计算机配置】|【Windows设 置】|【安全设置】|【帐户策略】| 【密码策略】的顺序展开，相应的窗 口如图5-19所示。 (5)在这个窗口中就可以对各个策略选 项进行配置了。如双击【密码必须符 合复杂性要求】选项，打开如图5-20 所示的【密码必须符合复杂性要求 属 性】对话框。
3. 审核帐户管理
该安全设置确定是否审核计算机上的每一 个帐户管理事件。帐户管理事件的例子包 括：
创建、更改或删除用户帐户或组。 重命名、禁用或启用用户帐户。 设置或更改密码。
4. 审核目录服务访问
该安全设置确定是否审核用户访问那些指 定自己的系统访问控制列表(SACL)的 Active Directory对象的事件。
注意：默认情况下，成员计算机的配置与其 域控制器的配置相同。要维持密码历史记录 的有效性，则在通过启用密码最短使用期限 安全策略设置更改密码之后，不允许立即更 改密码。另外，这里的配置如果与用户帐户 属性对话框中的配置选项相冲突，则最终以 用户的配置为准。
16
5.3.2 帐户锁定策略配置
帐户锁定策略用于域帐户或本地用户帐户，所包括的 3个策略选项如图5-26所示。 帐户锁定后即无法使用锁定的帐户，除非管理员进行 了重新设置或该帐户的锁定时间已过期。登录尝试失 败的范围可设置为0～999之间。如果将此值设为0， 则将无法锁定帐户。
12
5.2.4 组策略优先级中 应用程序的角色
1. 注册表的初始状态
计算机启动并且用户登录之后，组策略注册表区域将被覆盖， 以保持来自本地组策略对象和来自Active Directory的当前使 用的累计组策略设置。
2. 事件顺序
(1)用户启动应用程序。 (2)典型的面向用户的应用程序会在组策略保留区域 HKEY_LOCAL_MACHINE\ Software\Policies中查找注册表 数据。 (3)应用程序将在组策略保留区域以外查找 HKEY_LOCAL_MACHINE注册表数据，如果找到所需的数据， 就不再深入查找。 (4)应用程序将在组策略的保留区域以外查找 HKEY_CURRENT_USER注册表数据，如果找到所需的数据， 就不再深入查找。 (5)应用程序使用.ini文件(不推荐使用)或默认设置。
17
5.3.3 “本地策略”中的 “审核策略”配置
1. 审核策略配置前的准备
应该被审核的最普通的事件类型包括： 访问对象，例如文件和文件夹。 用户帐户和组帐户的管理。 用户登录到系统和从系统注销。
2. 审核帐户登录事件
该安全设置在组策略中的位置参见图5-31， 双击后打开如图5-32所示的【审核帐户登 录事件 属性】对话框。
5
5.1.3 组策略的基本组成
组策略包括影响用户的 “用户配置”策略设置和 影响计算机的“计算机配 置”策略设置两大部分， 如图5-1所示。 1. “管理模板”文件夹 2. “软件设置”文件夹 3. “Windows设置”文件 夹 4. “安全设置”文件夹
6
5.Biblioteka Baidu.4 组策略的打开方式
1. 本地打开本地策略编辑器
3
5.1.1 组策略概述
1. 组策略的主要任务
1)设置最小密码长度和密码保持有效的最大时间长度。该设置可以为 整个域配置 2)自动安装应用程序 3)通过“管理模板”管理基于注册表的策略 4)指派脚本 5)重定向文件夹 6)管理应用程序 7)指定安全选项
2. 默认情况下存在的组策略对象
默认情况下，安装Active Directory时，会创建两个非本地组策略对 象。 Default Domain Policy：默认域组策略，它与域链接，通过策略继 承影响域中的所有用户和计算机(包括作为域控制器的计算机)。 Default Domain Controllers Policy：默认域控制器组策略，它与 Domain Controllers (域控制器)组织单位链接，通常只影响域控制器， 因为域控制器的计算机帐户单独保存在Domain Controllers组织单位 中。
(3) 计算机策略已得到应用。 (4) 启动脚本开始运行。 (5) 用户按Ctrl+Alt+Del组合键登录。 (6) 用户通过验证后，将加载由当前生效的策略设置所控制的用 户配置文件。 (7) 用户获得组策略对象的有序列表。 (8) 用户策略已被应用。 (9) 登录脚本开始运行。 (10) 出现由组策略预定义的操作系统用户界面。
15
5.3.1 密码策略配置
2．其他密码策略配置
1)密码长度最小值 2)密码最长使用期限
经验之谈：使密码每隔30～90天 过期一次是一种安全最佳操作，这 取决于您的环境。通过这种方式， 攻击者只能够在有限的时间内破解 用户密码并访问您的网络资源。
3)密码最短使用期限
4)强制密码历史 5)用可还原的密码来存储密码
8. 审核特权使用
该安全设置确定是否审核用户实施其用户权利的每一个实例。
9. 审核过程跟踪
该安全设置确定是否审核事件(例如程序激活、进程退出、句柄复制和 间接对象访问等)的详细跟踪信息。
10. 审核系统事件
当用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的 事件发生时，此安全设置确定是否予以审核。
2. 默认顺序的例外情况
(1)链接到站点、域或部门的任何组策略对象(非本地组策略对象)可设 置为对于该站点、域或部门“禁止替代”(在相应组策略对象链接上右 击，在弹出的快捷菜单中选择【禁止替代】命令即可，如图5-18所示)， 这样它的任何策略设置都不能被覆盖。 (2)在任何站点、域或部门中，均可以有选择性地将组策略继承标记为 “阻止策略继承”(参见图5-14)。 (3)作为工作组成员的计算机仅处理本地组策略对象。 (4)环回是一种高级的组策略设置，对处于某些近距离管理环境(如街 亭、实验室、教室和接待处)中的计算机非常有用。
组策略的应用与管理
本章重点
组策略的类型和相应打开方式；
组策略的执行顺序； 用户帐户策略、本地策略、受限的组策略配置方法；
第５章
各安全选项的用途和应用；
文件夹重定向的意义和重定向策略配置方法。
2
5.1 组策略基础
组策略是Active Directory目录服务中的结构， 可用于定义将自动应用到Active Directory中的 用户和计算机帐户的默认设置。策略设置可用 于管理桌面显示、指派脚本、将文件夹从本地 计算机重新定向到网络位置、确定安全选项， 以及控制特定计算机上可安装的软件和特定用 户组可用的软件。 可用组策略定义用户和计算机组的配置，如可 以为基于注册表的策略、安全、软件安装、脚 本、文件夹重定向、远程安装服务以及 Internet Explorer的维护指定策略设置。
4
5.1.2 组策略对象及其存储
组策略对象(GPO)是组策略设置的集合，实质上是由组策略对象编辑器创建的文档。 GPO存储在域级别，它们可以影响包含在站点、域及组织单位中的用户和计算机。 1. 本地组策略 本地组策略对象包含的设置要少于非本地组策略对象的设置，尤其是在“安全 设置”下。本地组策略对象不支持“文件夹重定向”和“组策略软件安装”。 2. 组策略对象 有两种组策略对象：本地和非本地。本地组策略对象存储在各个本地计算机上。 3. 组策略对象的存储 1)组策略容器 组策略容器是一个目录服务对象。它包括计算机和用户组策略信息的子容 器。组策略容器包含以下数据。 版本信息：用于检验信息与组策略模板信息是否同步。 状态信息：指明对于该站点、域或组织单位是启用还是禁用组策略。 组件列表：指定组策略的哪些扩展在组策略对象中有相应的设置。 2)组策略模板 组策略模板是组策略对象存储域的域控制器文件夹。 3)组策略模板的子文件夹
每台机器都有自己的本地策略，包括域控制器。本地策 略只作用于本地计算机或者本地计算机上的帐户。
2. 远程打开本地策略编辑器 3. 打开站点组策略编辑器 说明：如果是组织单位的组策略， 4. 打开域组策略编辑器 则可仍按前面介绍的域组策略编
辑器打开方法从“Active Directory用户和计算机”管理单 元中打开组策略对象编辑器，然 后将组策略对象链接到所需的组 织单位。也可以将组策略对象链 接到Active Directory层次结构中 更高层的组织单位，以便使该组 织单位能继承组策略设置。
18
5.3.3 “本地策略”中的 “审核策略”配置
5. 审核登录事件
该安全设置确定是否审核每一个登录或注销计算机的用户实例。
6. 审核对象访问
该安全设置确定是否审核用户访问某个对象的事件，例如文件、文件 夹、注册表项、打印机等，它们都有自己特定的系统访问控制列表 (SACL)。
7. 审核策略更改
该安全设置确定是否审核用户权限分配策略、审核策略或信任策略更 改的每一个事件。
7
5.1.5 组策略对象的最佳操作
1．不要处理未被配置的策略设置 2．尽量少用“阻止策略继承”和“禁止替代”功能 3．对于不同的组策略对象，不要使用相同的名称 4．将组策略对象使用的WMI筛选器数量减到最少 5．根据安全组成员身份筛选策略 6．仅在必要时才用基于计算机的组策略替代基于用户 的组策略 7．使用组策略而不是系统策略 8．避免跨域指派组策略对象 9．不要将一个组策略对象多次链接到同一组织单位
10
5.2.2 启动和登录时的 组策略事件顺序
(1) 网络启动。远程过程调用系统服务(RPCSS)和多重通用命名 约定提供程序(MUP)将启动。 (2) 获得该计算机的组策略对象有序列表。该列表可能取决于下 列因素：
计算机是否属于域，并因此通过Active Directory受组策略的控制。 计算机在Active Directory中的位置。 组策略对象列表是否已经更改。
(1)惟一的本地组策略对象。 (2)站点组策略对象，按照由管理工作所指定的顺序。 (3)域组策略对象，按照由管理工作所指定的顺序。 (4)组织单位组策略对象，按照从大组织单位到小组织单位顺序(从父 组织单位到子组织单位)，而在每个组织单位级别中，则按照由管理工 作所指定的顺序。
组策略是累计性的。子目录服务容器从父容器中继承策略，并且按 下列顺序处理组策略：本地→站点→域，然后是后续的组织单位， 从最高的组织单位(离用户帐户或计算机帐户最远)到最低的组织单 位(实际包含用户帐户或计算机帐户)。