肖正強2009年05月12日活動目錄和組策略活動目錄是Windows網絡體系結構中一個基本且不可分割的部分。它在WindowsNT4.0操作系統的域結構基礎上改進而成，并提供了一套為分布式網絡環境設計的目錄服務?；顒幽夸浭沟媒M織機構可以有效地對有關網絡資源和用戶的信息進行共享和管理。另外，目錄服務在網絡安全方面也扮演著中心授權機構的角色，從而使操作系統可以輕松地驗證用戶身份并控制其對網絡資源的訪問。同等重要的是，活動目錄還擔當著系統集成和鞏固管理任務的集合點?？偟膩碚f，活動目錄的這些功能使組織機構可以將標準化的商業規則貫徹于分布式應用和網絡資源當中，同時，無需管理員來維護各種不同的專用目錄。活動目錄提供了對基于Windows的用戶賬號、客戶、服務器和應用程序進行管理的唯一點。同時，它也幫助組織機構通過使用基于Windows的應用程序和與Windows相兼容的設備對非Windows系統進行集成，從而實現鞏固目錄服務并簡化對整個網絡操作系統的管理。公司也可以使用活動目錄服務安全地將網絡系統擴展到Internet上?；顒幽夸浺虼耸宫F有網絡投資升值，同時，降低為使Windows網絡操作系統更易于管理、更安全、更易于交互所需的全部費用。

活動目錄-什么是活動目錄活動目錄允許組織機構按照層次式的、面向對象的方式存儲信息，并且提供支持分布式網絡環境的多主復制機制。層次式組織活動目錄使用對象來代表諸如用戶、組、主機、設備及應用程序這樣的網絡資源。它使用容器來代表組織（如市場部）或相關對象的集合（如打印機）。它將信息組織為由這些對象和容器組成的樹結構，這與Windows操作系統用目錄和文件來組織一臺計算機上信息的方法非常類似。圖1：活動目錄使用層次化方式組織信息以簡化網絡的使用和管理此外，活動目錄通過提供單一、集中、全面的視圖來管理對象集合和容器集合間的聯系。這使得資源在一個高度分布式的網絡中更容易被定位、管理和使用。活動目錄的層次式結構具有靈活性并且可以進行配置，因此，組織機構能夠按照一種優化自身可用性和管理能力的方法對資源進行組織。在圖1中，容器用來代表用戶、主機、設備和應用程序的集合。容器可以被嵌套（在一個容器中創建另一個容器），從而精確反映公司內部的組織結構。在這個例子中，市場和人力資源組織容器代表它們各自的部門以及它們在公司內部的相互聯系。將對象組織在目錄中允許管理員在一個宏觀層次上（作為集合）管理對象而非采取一對一的方式。這種方式在允許組織機構根據其自身商務運作來安排網絡管理的同時，更增加了管理的效率和準確性?；顒幽夸?活動目錄如何工作活動目錄允許組織機構按照層次式的、面向對象的方式存儲信息，并且提供支持分布式網絡環境的多主復制機制。面向對象的存儲如前所述，活動目錄用對象的形式存儲有關網絡元素的信息。這些對象可以被設置屬性來描述對象的特征。這種方式允許公司在目錄中存儲各種各樣的信息并且密切控制對信息的訪問。圖2：活動目錄的對象和屬性被訪問控制列表所保護如圖2所示，對象和屬性級安全性允許管理員精確控制對存儲在目錄中的信息訪問。例如，一個為BobJones創建的存儲在目錄中的用戶對象擁有用于記錄Bob的姓名、電子郵件地址、電話號碼和社會保險號碼的屬性?；顒幽夸浽试S管理員為對象的每一個屬性和對象自身分配訪問權限。在這個例子中，系統管理員允許對BobJones對象進行全局訪問，卻封閉了對其社會保險號碼的訪問。活動目錄-活動目錄如何工作活動目錄允許組織機構按照層次式的、面向對象的方式存儲信息，并且提供支持分布式網絡環境的多主復制機制。多主復制為了在分布式環境中提供高性能、可用性和靈活性，活動目錄使用多主復制。如下圖3所示，這種機制允許組織機構創建被稱作目錄復制的多個目錄拷貝，并把它們放置在網絡中的各個位置上。網絡中任一位置上的變更都將自動被復制到整個網絡上（這與單主復制機制相反，在單主復制中，所有變更必須針對單一的、授權的目錄復制）圖3：活動目錄通過支持多主復制實現靈活性、高可用性和性能例如，完全同步的目錄復制能夠使活動目錄在廣域網（WAN）中的每個位置上均可使用。因為用戶可以使用本地目錄服務而非在廣域網中漫游來定位資源，該過程能夠向用戶提供更高速的網絡性能。根據可用的管理資源情況，這些相同的目錄可在本地或遠程進行管理?；顒幽夸?活動目錄如何工作DC：DomainController（域控制器）域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數據庫。當電腦聯入網絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。GC：GlobalCatalog全局編錄服務器(GC)是有著特殊含義的域控制器。通過GC，可以提高在活動目錄中搜索對象的速度，可以加快用戶登錄驗證等。dsqueryserver-domain-isgc簡單的說，GC是森林中所有對象的只讀調整緩沖存儲器(ReadOnlyCache),目錄只用于搜索。Site：站點,是指在物理上有較好的線路連接的能實現較快通訊速率的計算機的集合，一般是指一個LAN。而Site之間一般是通過慢速連接來實現信息通訊。可見Site是對網絡上計算機的實際的物理分布的一種客觀反映。站點劃分的依據是子網Subnet。OU：OU(OrganizationalUnit，組織單位)是可以將用戶、組、計算機和其它組織單位放入其中的AD容器，是可以指派組策略設置或委派管理權限的最小作用域或單元。DNS：域名解析系統賬號(Account)：計算機賬號域賬號組賬號(通訊組、安全組)活動目錄-活動目錄元素什么是AGDLP?A：UserAccount(用戶賬號)

G：GlobalGroup(全局安全組)

DL：DomainLocalGroup(域本地組)

P:Permission(賦權限)從操作上解釋為：賦權限時，將用戶加入到全局組，然后將全局組加入到域本地組，最后對域本地組賦權限。含義為：1.當我們需要對用戶賦權的時候，盡量將用戶加入到相應的安全組，然后對這些安全組賦權，而避免對用戶直接賦權。2.在賬號域（有訪問需求的用戶賬號所在的域）中，將本域里有相同訪問需求的用戶（如：讀取財務信息）加入到同一個全局組。也就是說，每一個全局組代表了具有相同訪問需求的人。3.在資源域（需要被訪問的文件夾等資源所在的域）中，為不同的訪問需求類型創建相應的域本地組（如：財務信息讀取組、財務信息修改組）；然后將之前的全局組加入到相應的域本地組，如：需要讀取的全局組加入到財務信息讀取組。4.在資源上對域本地組賦相應的權限。如：在財務信息文件夾上對“財務讀取”組賦讀取權限，對“財務修改”組賦修改權限。這樣，用戶最終會得到相應的權限。采用此種方法，如果以后要進行更改，比如用戶張三從普通財務人員升級到高級財務人員，他需要修改財務數據而不是讀取，那么我們只用將張三加入到高級財務人員的全局組中即可。以上是AGDLP在NTFS權限方面的應用，對于AD對象的權限有可以使用AGDPL?；顒幽夸?權限控制原則AGDLP實例活動目錄-AGDLP權限控制原則ShangHai：上海，包含的DC有：Paicdcsh2Paicdcsh3Paicdcsh6paicdcsh8ShenZhen：深圳，包含的DC有：Paicdcgl1Paicdcgl2Paicdcgl3Paicdcgl6Paicdcgl8Paicdcsz1Paicdcsz2Paicdcsz7查看工作站所屬站點：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName=ShenZhen查看登錄服務器：在CMD窗口運行Set查看環境變量：LOGONSERVER=\\PAICDCGL6在CMD窗口運行Gpresult活動目錄-站點DC：paicdom.local有兩組DC，分別在深圳和上海兩個IDC中OU：根據計算機賬號和用戶/組賬號劃分：paicdom.local/ProductionEnvironment存放的是計算機賬號paicdom.local/U_PingAn存放的是用戶賬號和組賬號Banks=銀行BranchManage=加域賬號和組Endowment=養老險General=Windows組使用HeadOffice=總部Life=壽險MicroCredit=信安易貸(小消)NewChannel=新渠道PC=未使用Property=產險活動目錄-公司活動目錄概況用戶賬號屬性—登錄限制、鎖定、隸屬權限計算機賬號屬性—加入域=在AD中創建計算機賬號或者修改已有計算機賬號的密碼OU屬性全局組通訊組活動目錄-實例解說簡述-組策略什么是組策略組策略包含的內容組策略管理簡述-什么是組策略GroupPolicyisusedtodefineconfigurationsforgroupsofusersandcomputers.組策略是一個允許您執行針對用戶和計算機進行配置的基礎架構。組策略設定包含在組策略對象中(GPOs)，它們被鏈接到這些活動目錄服務的容器：站點，域或者組織單元(OUs)。這些GPO中的設置隨后利用活動目錄的層級性質，實施于受影響的對象。因此，組策略是部署活動目錄的一個最主要的原因之一，因為它能夠讓您方便的管理用戶和計算機對象。組策略是組管理技術之一，這些統稱為IntelliMirror?管理技術，即便用戶從網絡中脫離，仍然可以在任意被管理的計算機上向用戶提供統一的應用程序，應用程序設定，漫游用戶配置文件以及用戶用戶數據。IntelliMirror通過一組Microsoft?Windows?功能得以實現，這包括活動目錄，群組策略，軟件安裝，WindowsInstaller，文件夾重定向，脫機文件夾以及漫游用戶配置文件。簡述-什么是組策略-組策略架構簡述-什么是組策略-組策略組件組件描述服務器

(域控制器)在活動目錄森林中，域控制器是一臺包含活動目錄數據庫的拷貝，參與活動目錄復制以及控制網絡資源訪問服務器，活動目錄活動目錄，基于Windows目錄服務，存儲網絡中對象的信息，并將信息提供給用戶和網絡管理員。管理員將GPOs鏈接到諸如站點，域和OUs等包含了用戶和計算機對象的容器上，從而將組策略設置實施于組織中的用戶和計算機。

組策略對象(GPO)GPO是一個組策路設置的集合，作為一個虛擬的對象存儲在域中，由組策略容器(GPC)和組策略模板(GPT)組成。GPC，包含GPO的屬性信息，存儲在域中每臺域控制器活動目錄中。GPT包含GPO的數據，存儲在Sysvol的

/Policies

子目錄下。GPO能夠影響包含在站點，域和OU中的用戶和計算機。

SysvolSysvol是一個共享目錄，存儲了域中公用文件的副本，此副本在域中所有的域控制器之間同步。

Sysvol包含了GPO中的數據:GPT，包含了基于組策略設置，安全設置，腳本文件以及關于軟件安裝應用程序的相關信息的管理模板。它通過文件復制服務

(FRS)得以同步。本地組策略對象本地組策略對象(localGPO)存儲在每臺個人計算機上的%systemroot%\System32\GroupPolicy目錄下，具有隱藏屬性。每一臺運行Windows2000,WindowsXPProfessional,WindowsXP64-BitEdition,WindowsXPMediaCenterEdition或者

WindowsServer?2003的計算機，不論它是否處于活動目錄環境中，都設置了嚴格的localGPO。

LocalGPOs不支持某些擴展，比如文件夾重定向或者軟件安裝組策略。也不支持一些安全性設定，但組策略對象編輯器的安全設定擴展不支持localGPO的遠程管理。LocalGPOs始終在執行，但它在活動目錄環境中影響力最小，因為基于活動目錄的GPOs優先。盡管您可以在個人計算機上設置localGPO，但組策略的完整功能只有在安裝了活動目錄的WindowsServer網絡中方能得以實現。另外，一些功能和組策略設置在客戶端需要WindowsXP的支持組策略對象編輯器組策略對象編輯器是一個微軟管理控制臺(MMC)單元，用于編輯GPO。

之前是組策略管理單元，組策略編輯器或者Gpedit.簡述-什么是組策略-組策略組件服務端管理單元MMC管理單元默認情況下被組策略對象編輯器加載。當客戶端擴展在目標客戶端計算機上執行實際的策略設置的時候，服務端管理單元擴展提供用戶接口，允許您設置不同的策略設置。

管理單元擴展包括管理模板，腳本，安全性設定，軟件安裝，文件夾重定向，遠程安裝服務，InternetExplorer維護，磁盤配額，無線網絡策勒以及QoSPacketScheduler.管理單元可以被擴展，比如安全設置管理單元包括幾個擴展管理單元。開發者也可以創建他們自己的MMC擴展管理單元，使得足策略對象編輯器提供附加的組策略設置。

客戶端擴展客戶端擴展(CSEs)在動態鏈接庫

(DLLs)中運行，為組策略在客戶端計算機上的執行負責。缺省狀態下WindowsServer2003裝載如下CSE:管理模板，無線網絡策略，文件夾重定向，磁盤配額，

QoSPacketScheduler，腳本，安全，

InternetExplorer維護，EFS恢復，軟件安裝以及IP安全

組策略管理控制臺

(GPMC)GPMC是一個新的進行組策略單一化執行和管理工具。它由一個新的管理單元和組策略管理的腳本集合組成。組策略管理控制臺提供：

?

一個基于如何定制使用和管理組策略的用戶界面，這比之前基于技術如何構建要來的好。

?

導入/導出，復制/粘貼和GPO的搜索?

組策略相關安全的單一化管理

?

對于GPO和策略結果集

(RSoP)數據的報表(對于GPO的打印，保存，只讀訪問)?

GPO的備份/恢復?

用此工具查看GPO操作腳本

(但不能查看GPO中設置的腳本).策略結果集管理單元(RSoP)策略結果集

(RSoP)管理單元是一個單一的組策略執行和錯誤排查的MMC管理單元。RSoP使用Windows管理規范

(WMI)測定組策略設定是如何被應用到用戶和計算機商的。對于RSoP功能性來說，它建議在GPMC中使用此報表功能。

WinlogonWindows操作系統中提供交互式登陸支持的組件，Winlogon是組策略引擎運行的服務。.組策略引擎組策略引擎是一個擴越客戶端擴展，包括組策路運作排程，從相關設置定位中獲取GPO以及GPO的排序和過濾，處理共處理公用功能性的框架。文件系統存在于客戶端計算機上的NTFS文件系統簡述-什么是組策略-組策略組件注冊表一個關于計算機設置信息的存儲數據庫，注冊表包含系統操作期間Windows不斷設計的信息，比如：

1.

每個用戶的配置文件。

2.

安裝在計算機上的程序和每個能夠創建的文檔類型。

3.

文件夾和程序圖標的屬性設置。

4.

系統硬件

5.

使用中的端口注冊表是樹狀層級組織，它由鍵及其子鍵，配置單元以及注冊項構成。注冊表引擎對于注冊表具有讀寫權限。注冊表設置可以通過組策略管理模板擴展來控制。

事件日志事件日志是一個服務，處于事件查看器，在系統，安全和應用程序日志中記錄事件。組策略引擎對于客戶端和域控制器上的事件日志具有寫訪問。

幫助和支持中心幫助和支持中心是一個存在于每臺計算機上的組件，為作用于計算機上的組策略設置提供HTML報表。

策略結果集

(RSoP)基礎結構所有的組策略執行信息被收集、儲存在本地計算機上的共用信息模型對象管理(CIMOM)數據庫中，這個信息，例如列表、目錄和每個GPO處理的詳細記錄，可以被使用WMI的工具訪問。

在日志模式(組策略結果)，RSoP查詢目標計算機上的CIMOM數據庫，獲取關于策略的相關信息并將其顯示在GPMC中。在規劃模式(組策略模型),RSoP虛擬出域控制器上使用組策勒目錄訪問服務(GPDAS)的策略運作環境，由GPDAS模仿GPO運作，并將它們傳遞給域控制器上的虛擬客戶端擴展，這個模擬過程的結果在回傳并顯示在GPMC之前，存儲在本地CIMOM數據庫中。WMIWMI是一個管理的基礎架構，它支持通過一組公用界面實施系統資源的監視和控制，同時提供一個邏輯上有組織的，一致的Windows操作、配置信息和狀態模型。

WMI收集目標計算機的相關數據用于管理用途，這些數據包括硬件和軟件列表，設置和配置信息。例如：WMI公開諸如CPU，內存，磁盤空間，內存和廠商等硬件信息，從注冊表，驅動程序，文件系統，活動目錄，WindowsInstaller服務，網絡配置和應用程序數據中獲取軟件信息。WindowsServer2003上的WMI過濾允許您給予這些數據創建查詢，這些查詢（也稱為WMI過濾器）檢測，在您創建顧慮其的地方，用戶和計算機將會接受到的所有的策略設置。GPO的容器路徑：paicdom.local/System/PoliciesGPO存放使用的為GUID，而不是“友好名稱”NamedbyGUID,notbyfriendlyname簡述-組策略對象(GPOs)的存放GroupPoliceTemplate的存放位置：\\paicdom.local\SYSVOL\paicdom.local\Policies本地策略的存放路徑為：Windows\System32\GroupPolicy簡述-組策略對象(GPOs)的存放組策略對象的繼承：默認下級OU會繼承上級OU的組策略。當各級OU之間的策略有沖突時，請參考下頁簡述-組策略對象的繼承組策略的優先級，確定了設置生效的級別：組策略的應用次序是本地->站點->域->OU，如果策略有沖突，則后應用的生效。簡述-組策略的優先級計算機策略：對應計算機配置，對計算機的相應設置，原則上無論是哪些用戶在這些計算機上登錄，都將加載此設置。一般對應注冊表HKLM用戶策略：對應用戶的相應設置。原則上無論這些用戶在那些計算機上登錄，都將加載這些設置。對應注冊表HKCR簡述-用戶策略和計算機策略gpmc.msc請下載安裝組策略管理控制臺:《MicrosoftGroupPolicyManagementConsole》下載鏈接：/downloads/details.aspx?displaylang=zh-cn&FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887簡述-組策略的管理工具運行rsop.msc可以得到本機和用戶應用的策略結果集合通過該工具可以很清晰的看到本機已應用的各項設置：簡述-組策略的策略結果集-rsop.mscgpresult:DisplaysGroupPolicysettingsandResultantSetofPolicy(RSoP)forauseroracomputer.簡述-組策略的策略結果集-gpresult組策略應用的系統日志：事件查看器應用程序組策略執行的詳細日志：C:\WINDOWS\security\logs\diagnosis.logC:\WINDOWS\security\logs\winlogon.log簡述-組策略的執行日志管理員權限控制管理權限的控制是通過“受限制的組”實現。在【計算機配置】【Windows設置】【安全設置】【受限制的組】已有組策略解釋-管理員權限控制USB存儲設備禁用USB存儲設備禁用的原理如下：拒絕系統賬號和其他賬號對%systemroot%\inf\usbstor.pnf和usbstor.inf兩個文件的訪問權限，阻止系統安裝usb存儲類設備的驅動設置注冊表HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\start=4，控制已驅動的U盤設備的啟動。Start=3為允許啟動，Start=4為拒絕啟動設置注冊表HKLM\SYSTEM\CurrentControlSet\Control\storagedevicepolicies\writeprotect=1，控制U盤設備的讀寫。writeprotect=1為寫保護，writeprotect=0為可讀寫拒絕管理員組對注冊表HKLM\SYSTEM\CurrentControlSet\Control\storagedevicepolicies\和HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\的修改權限，阻止管理員隨意開啟U盤權限。已有組策略解釋-USB存儲設備WSUS補丁升級WSUS補丁升級設置的原理如下：默認的系統管理模板有對應的設置選項，可直接修改?！居嬎銠C配置】【管理模板】【Windows組件】【WindowsUpdate】已有組策略解釋-WSUS補丁升級組策略模板展示：初步