AD設定說明
人員離職之後,等接班人來了直接修改原帳戶即可繼承該帳戶的權限,因為AD是依系統SID碼來記錄,而不是AD帳號,故原帳戶可以直接繼承。
- 即使將舊帳戶刪除,再新增一相同帳號之帳戶也不會繼承到原帳戶的權限,因為是依SID來記錄,不是帳號。
群組原則的設定建議:
- A:使用者帳戶。G:通用群組。DL:網域區域群組。P:代表權限。
- A、G、DL、P
- A、G、G、DL、P
- A、G、U、DL、P
- A、G、G、U、DL、P
群組原則功能:
- 帳戶原則的設定:例如設定使用者的密碼長度、密碼使用期限、帳戶鎖定原則等。
- 本機原則的設定:如稽核原則的設定、使用者權利的指派、安全性設定。
- 指令碼(scripts)設定:登入/登出、啟動/關機指令碼的設定。
- 使用者工作環境設定:如隱藏使用者桌面上所有的圖示、移除開始功能表中的執行、搜尋、關機等功能。
- 軟體的安裝與移除:使用者登入或電腦啟動時,自動為使用者安裝應用軟體、自動修復應用程式或是移除。
- 限制軟體的執行:透過各種不同軟體限制的規則,來限制網域使用者只能執行某些軟體。
- 資料夾的轉向:改變我的文字、我的圖片等資料夾的儲存位置。
說明:
- 群組原則包含了電腦設定與使用者設定。
- 電腦設定:當電腦開機的時候系統會根據電腦設定的內容來設定電腦的環境。假如針對了網域設定了群組原則,則此群組原則內的電腦設定就會被套用到此網域內的所有電腦。
- 使用者設定:當使用者登入時,系統就會根據使用者設定的內容來設定使用者的工作環境,如果針對了某OU設定了群組原則,則此群組原則內的使用者設定就會被套用到此OU所有人了。
- 也可以針對本機電腦原則設定,這個電腦原則只會套用本機電腦與在此台電腦登入的所有使用者。
群組原則物件(GPO)
- GPO分GPC與GPT兩部份,並分別被儲存到不同的地點。
- GPC:被儲在AD資料庫內,它記載著GPO的屬性與版本等資料。網域內的電腦可以透過屬性資料來得知GPT的儲存地點,而網域控制站可以利用版本資料來判斷其所擁有的GPO是否為最新的版本。
- GPC:用來儲存GPO的設定值與相關檔案。系統利用GPO的GUID來做GPT的資料夾名稱。
群組原則套用時機
電腦設定的套用時間
- 電腦開機時套用。
- 即使電腦不重開機,系統仍然會每隔一段時間自動套用。
- 手動套用:在網域內電腦執行gpupdate /target:computer /force
使用者設定套用時機
- 使用者登入時套用
- 即時不登入也會自動套用
- 手動套用:在網域內電腦執行gpupdate /target:user /force
範例說明:
一、電腦設定
- 系統預設,只有某些群組才有權利在扮演網域控制站角色的電腦上登入,因為除非設定允許本機登入,否則一般使用者無法登入。
- 我們修改,讓DOMAIN USERS也可以登入。
- 在群組原則管理編輯器\電腦設定\原則\WINDOWS設定\安全性設定\本機原則\使用者權利,將原則允許本機登入,加入DOMAIN USER。
- 假如有多台網域控制站的話,預設每十五秒會自動複製新的原則,也可以手動立刻複製。
二、使用者設定
- 我們利用使用者設定來讓某OU的使用者在登入後,其開始功能表中的執行選項會被移除。
- 如果沒有任何GPO連結到要練習的OU,我們可以建一個GPO連結到該OU,並在使用者設定移除開始選項。
群組原則的規則
- 群組原則有繼承性,如果在高層的原則被設定,在低層未設定的話,則會繼續高層有設定。
- 如果在低層GPO是已設定,則原則是依底層GPO。
- GPO有累加性,有三階的OU都有設定GPO的話,則三階的加總即為最後有效設定值。
- 但如果在網域、站台與OU之間的GPO有衝突的時候,則以處理順序在後的GPO為優先,所以OU的GPO設定優先。
- 系統是先處理電腦設定,再處理使用者設定。如果衝突,大部份情況下以電腦設定優先。
- 如果多個GPO連接到一個OU,一但有衝突,則以排列在前的為優先。
- 本機電腦原則的優先權最低,與站台、網域、OU設定衝突無效。
- 也可以在子容區內透過不要繼承原則選項來選擇不要繼承父容區GPO設定。
- 在父容區也可以透過GPO的不可強制覆蓋選項來強制子容區要繼承。
特殊的處理設定
強制處理GPO
- 假如在GPO內對使用者做了某項限制,使用者因這原則而受限後自行將此限制移除,則當下次使用者端在套用原則時,會因GPO內的原則設定值並沒有異動而不處理此原則,因而無法自動將使用者自行變更的設定改回來。
- 解決的方法是強制處理每一個原則,假如要求某OU內的每台電腦在每一次處理、套用原則時,必須處理、套用與軟體安裝有關的原則,則其設定方法是在系統管理範本\系統\群組原則\軟體安裝原則處理,勾選即時群組原則尚未變更也進行處理。
低速連線的GPO處理
- 可以設定讓網域內的電腦來自動偵測其與網域控制站之間的連線速度是否太慢,在系統管理範本\系統\群組原則\群組原則低速連結偵測中設定。
回送處理模式
- 伺服器SERVER1的電腦帳戶位於伺服器的OU內,有一個伺服器GPO,而使用者A的帳戶位於業務OU內有一個業務GPO,則當使用者A在SERVER1登入網域時,正常情況下,使用者環境由業務GPO的使用者設定提供,而電腦環 境是由伺服器GPO的電腦設定提供。
- 可是當設定在業務部GPO的使用者設定中設定,當在業務OU登入時會自動安裝某應用程式,則使用者在任何一台電腦登入,都會為這電腦安裝應用程式。但卻不想替使用者在這台重要的伺服器SERVER1內安裝應用程式,就要靠回送處理模式解決了。
- 只要在伺服器GPO內啟用了回送處理,則不論使用者是在那,只要是利用伺服器OU的電腦登入,則使用者工作環境就會由伺服器GPO提供。
- 其設定方法是在系統管理範本\系統\群組原則\使用者群組原則回送處理模式
變更管理GPO的網域控制站
- 在新增修改或刪除群組原則時,異動預設都是存在PDC模擬主機,再由PDC將其複製到其它網域控制站。但如果人在上海,PDC主機在台北的話,希望所有異動都直接儲存在上海的網域控制站,可以有幾種選項:
- 擁有PDC模擬器的操作主機權杖的網域控制站-建議使用
- 由AD嵌入式管理單元所使用的網域控制站
- 使用任何可用的網域控制站-不建議
- 利用群組原則-設定使用網域控制站
沒有留言:
張貼留言