如何在Active Directory中创建和链接GPO(逐步操作)。在Active Directory管理的动态领域中,掌握Group Policy Objects(GPOs)的艺术是任何管理员的关键技能。这一逐步指南揭示了创建和链接GPO的无缝过程,提供了一个全面的路线图,以应对Active Directory的复杂性。本文确保我们不仅掌握基本原理,还能够在网络管理旅程中有效地运用GPOs,从而获得信心。
如何在Active Directory中创建和链接GPO(逐步操作)
Group Policy Objects简要概述Group Policy Objects (GPOs)是Windows Active Directory环境中集中管理的基础。本质上,GPOs是管理员定义的一组规则、配置和设置,用于管理网络中用户和计算机 的行为。通过实施GPOs,管理员可以强制执行安全策略、调整系统设置、部署软件,并简化网络管理的各个方面。
这个强大的工具不仅提高了组织的效率,还通过允许管理员在多种设备和用户之间施加控制并执行政策,确保了一致和安全的计算环境。
使用组策略对象
组策略以两种不同的方式工作:要么在本地计算机上使用本地组策略编辑器,要么在我们的企业系统上使用组策略管理控制台(GPMC)。为了维护和创建一个弹性环境,本文集中讨论企业场景,因为本地策略会先被处理(在域策略之前)。
安装组策略 RSAT 工具
经典远程服务器管理工具(RSAT)工具包的一个组件是组策略管理控制台。我们可以在 Windows 上使用当前的 Windows 设置应用程序安装这个基于 MMC(Microsoft 管理控制台)的解决方案。
我们将组策略设置保存在域控制器(DC)上的“SYSVOL”共享文件夹中,必要时,我们会将这些设置复制到域和森林中的每个其他 DC。这个过程描述了组策略基础设施的内置冗余性。
要继续,我们展示如何安装组策略管理控制台工具:
- 首先,点击开始按钮,使用关键词‘可选‘进行搜索。
- 点击‘管理可选功能‘和顶部的‘+ 添加功能‘按钮。
- 向下滚动,勾选‘RSAT: 组策略管理工具’复选框,然后点击安装。
从这一点开始,可以访问组策略管理控制台。要打开组策略管理控制台(GPMC),请按照以下步骤进行:
- 使用运行对话框:
-
- 按下 Windows + R 打开运行对话框。
- 键入gpmc.msc并按Enter键。
2. 通过开始菜单:
-
- 单击开始按钮。
- 在搜索栏中键入“组策略管理控制台”。
- 单击出现的相关结果。
3. 通过服务器管理器(Windows服务器):
-
- 如果我们使用Windows Server,我们打开服务器管理器。
- 在服务器管理器窗口中,点击右上角的“工具”。
- 从列表中选择“组策略管理”。
现在,我们看到了组策略管理控制台。在这里,我们介绍如何布置组策略以及如何针对我们组织中的特定逻辑实体。
通过组策略管理控制台,我们可以执行多个功能。例如,修改现有的组策略对象(GPOs),生成新的GPOs,调整特定GPOs的过滤设置以及使用WMI过滤来定位特定计算机。在下一部分中,我们将开始创建一个新的GPO。
创建新的组策略对象
现在,让我们尝试创建一个新的组策略对象:
- 右键单击‘域Windows计算机’,然后选择‘在域中创建GPO,并在此处链接…’
2. 让我们命名为‘开始菜单清理’,然后点击确定。
3. 编辑GPO:右键单击链接的GPO,然后选择编辑
4. 导航到策略设置:
-
- 在组策略管理编辑器中,导航到以下菜单:
- 计算机配置 -> 策略 -> Windows设置 -> 安全设置 -> 本地策略 -> 用户权限分配。
5. 修改策略设置:
-
- 查找我们想要的策略,如下面的示例:
- 双击策略,选择“定义这些策略设置”,并选择“已启用”。
6. 保存并关闭:
-
- 点击“确定”以应用更改。
- 关闭组策略管理编辑器。
强制更新或等待组策略应用
请注意,此设置在环境中是活动的;在下次刷新时,OU中的所有计算机对象都会看到它。默认情况下,域PC和服务器每90分钟处理一次组策略,并具有30分钟的随机偏移量。尽管如此,gpresult 命令是测试和故障排除的宝贵工具。
为了验证,我们观察到我们的系统现在通过右键单击开始按钮并选择关闭或注销菜单来隐藏对象。
我们通过这种相对简单的修改阻止用户重新启动或关闭他们的机器。这些设置有很多变量和应用。
链接一个组策略对象
- 将GPO链接到组织单位(OU)或域:
-
- 导航到我们想要链接GPO的目标OU或域。
- 右键单击OU或域,选择“链接现有GPO”,然后选择“域控制器安全锁定。“
2. 确认链接:
-
- A dialog box appears. Confirm our selection by clicking “Yes.”
3. 验证链接:
-
- 在GPMC中,在目标OU或域下,确认“域控制器安全锁定”GPO现在已列为已链接。
4. 强制更新或等待组策略应用:
-
- 在命令提示符中使用gpupdate /force强制更新域控制器上的组策略,或者等待策略在下次刷新期间应用。
现在GPO和域控制器已连接。我们的DC在下次检查组策略修改时处理该GPO中的设置。创建和制定一组设置后,快速将其链接或部署到我们环境中的容器中。
修改现有的组策略对象
我们预计在较大企业的单个域中会找到数百或数千个组策略对象。处理子组织单位、本地组策略以及继承特定组策略和使用WMI定位特定操作系统系统的复杂性是令人生畏的。此外,由于我们域中存在大量组策略对象,启动PC和用户登录时会出现性能下降问题。
组策略对象的范围
域的根是我们大多数组策略对象所在的位置。因此,每个域内的计算机和服务器对象都默认查看和使用此组策略对象。再次强调,有一些技巧可以排除特定的人员、计算机、组织单位和安全组。
这个过程允许我们在安全筛选部分显示“已验证用户”组。这种筛选有效地表示:“所有人”:此组策略对象对于使用域身份验证的任何账户都可见。
编辑组策略对象
现在,让我们尝试编辑一个现有的组策略对象:
- 右键单击目标组策略对象,选择“编辑”以开始修改过程。
- 浏览逻辑布局,其中包括计算机配置和用户配置树。
- 要在计算机配置中找到并调整WSUS设置,请展开 -> 策略 -> 管理模板 -> Windows 组件 -> Windows 更新。
- 确定我们要修改的特定设置,如“配置自动更新”。
- 深入选择设置的属性以访问和分析配置选项。
- 进行必要的调整,以使GPO与我们期望的策略修改保持一致。
这个过程是一个更复杂的设置。这些是我们如何更新Windows更新到我的域的设置。但这里的重点是我们集中管理所有计算机(或一个子集)。
这个过程说明了组策略对象(GPO)如何强制执行对计算机设置的限制。假设我们检查此工作站上Windows更新的高级选项。在那种情况下,我们观察到初始设置“在更新Windows时接收其他Microsoft产品的更新”现在由组策略管理。
从技术上讲,它说明我们对这台计算机应用了一些组策略,但我们无法调整这些设置。
管理组策略对象
在创建新域时,我们的Windows服务器会生成两个默认配置的GPO,即“默认域策略”和“默认域控制器策略。”这些GPO至少确定了域密码策略、账户锁定策略、Kerberos策略、基本安全选项以及各种其他网络安全配置的参数。
几十年来,一直有一个做法,即我们不应修改这两个策略 – 我们应该创建新的GPO。这样做有几个原因,但最基本的是,在排除我们域的故障时,我们必须知道不应更改这些默认配置。
禁用组策略对象
禁用 GPO 并阻止其影响即将到来的计算机,右键单击 GPO 并选择 禁用链接。此操作将断开链接并将 GPO 转换为无效或 休眠。
删除组策略对象
在清理和故障排除任务期间,通过右键单击 GPO 并选择删除来删除 GPO。为了全面和简化的方法,导航到树中的组策略对象视图并启动删除过程。
感谢您阅读在 Active Directory 中创建和链接 GPO 的方法(逐步)。我们将结束本文。
在 Active Directory 中创建和链接 GPO 结论
总之,掌握在 Active Directory 中创建和链接组策略对象(GPO)是管理员在网络管理复杂环境中不可或缺的技能。这一逐步指南为我们提供了知识和信心,使我们能够无缝实施 GPO,提供了一种实用方法,揭开了这一过程的神秘面纱。当我们踏上 Active Directory 管理之旅时,有效利用 GPO 不仅优化了系统配置,还使我们能够在网络中维护安全的计算环境。
Source:
https://infrasos.com/how-to-create-and-link-a-gpo-in-active-directory/