如何在Active Directory中創建並鏈接GPO(逐步進行)。在Active Directory管理的動態領域中,掌握群組策略對象(GPO)的藝術是任何管理員的關鍵技能。這個逐步指南揭示了創建和鏈接GPO的無縫過程,提供了一個全面的路線圖,以應對Active Directory的複雜性。本文確保我們不僅掌握了基本知識,還獲得了在我們的網絡管理之旅中有效運用GPO的信心。
如何在Active Directory中創建並鏈接GPO(逐步進行)
群組策略對象簡介群組策略對象 (GPO)是Windows Active Directory環境中集中管理的支柱。基本上,GPO是管理員定義的一組規則、配置和設置,用於管理網絡中用戶和計算機 的行為。通過實施GPO,管理員可以強制執行安全策略,規範系統設置,部署軟件,並簡化網絡管理的各個方面。
這個強大的工具不僅提高了組織的效率,還通過允許管理員在眾多設備和用戶之間施加控制並執行政策,確保了一致且安全的計算環境。
與群組原則物件一起工作
群組原則對象以兩種不同方式運作:一種是在本機上使用本機群組原則編輯器,另一種是在我們的企業系統上使用群組原則管理控制台(GPMC)。為了維護和建立一個強大的環境,在本文中我們專注於企業情境,因為本機原則會優先處理(在域原則之前)。
安裝群組原則 RSAT 工具
經典遠端伺服器管理工具(RSAT)工具包的一部分是群組原則管理控制台。我們可以在 Windows 上使用目前的 Windows 設定應用程式安裝這個基於 MMC(Microsoft 管理控制台)的解決方案。
我們將群組原則設定保存在域控制器(DC)上的「SYSVOL」共享文件夾中,必要時,我們將這些設定複製到域和林中的每個其他 DC。這個過程描述了群組原則基礎設施的內建冗餘性。
為了繼續,我們展示如何安裝群組原則管理控制台工具:
- 首先,點擊開始按鈕,並使用關鍵字‘optional’進行搜索。
- 點擊‘管理可選功能’和頂部的‘+新增功能’按鈕。
- 向下滾動,勾選‘RSAT:群組原則管理工具’核取方塊,然後點擊安裝。
從這一點開始,可以訪問群組原則管理控制台。要打開群組原則管理控制台(GPMC),請按照以下步驟進行:
- 使用運行對話方塊:
-
- 按下 Windows + R 以打開 執行 對話方塊。
- 輸入 gpmc.msc 並按 Enter 鍵。
2. 透過開始功能表:
-
- 點擊開始按鈕。
- 在搜尋欄中輸入“群組原則管理控制台”。
- 點擊顯示的相關結果。
3. 透過伺服器管理員(Windows Server):
- 如果我們使用 Windows Server,我們打開伺服器管理員。
- 在伺服器管理員視窗中,點擊右上角的“工具”。
- 從列表中選擇“群組原則管理”。
現在,我們看到了群組原則管理控制台。在這裡,我們介紹如何設置群組原則以及如何針對我們組織中的特定邏輯實體進行定位。
使用群組原則管理控制台,我們可以執行多個功能。例如,修改現有的群組原則對象(GPOs),生成新的GPOs,調整特定GPOs在群組級別的篩選設置,並使用 WMI 篩選來定位特定計算機。在下一節中,我們將開始創建新的 GPO。
創建新的群組原則對象
現在,讓我們嘗試創建一個新的群組原則對象:
- 右鍵單擊‘域Windows計算機’並選擇‘在域中創建GPO,並在此處鏈接…’
2. 讓我們將其命名為‘開始菜單清理’並點擊確定。
3. 編輯GPO:右鍵單擊鏈接的GPO並選擇編輯。
4. 導航到策略設置:
-
- 在群組原則管理編輯器中,導航到這些菜單:
- 計算機配置 -> 策略 -> Windows設置 -> 安全設置 -> 本地策略 -> 用戶權利指派。
5. 修改原則設定:
-
- 尋找我們想要的原則,如下面的範例:
- 雙擊原則,選擇“定義這些原則設定”,並選擇“已啟用”。
6. 儲存並關閉:
-
- 點擊“確定”以應用更改。
- 關閉群組原則管理編輯器。
強制更新或等待群組策略應用
請注意,此設置在環境中是活動的;在下一次刷新時,該 OU 內的所有計算機對象都會看到它。預設情況下,域 PC 和伺服器每 90 分鐘處理一次群組策略,隨機偏移 30 分鐘。然而,gpresult 命令是一個用於測試和疑難排解的寶貴工具。
為了驗證,我們觀察到我們的系統現在通過右鍵單擊開始按鈕並選擇關機或登出菜單來隱藏對象。
我們通過這種相對簡單的修改防止用戶重新啟動或關閉他們的機器。這些設置有很多變量和應用程序。
鏈接組策略對象
- 將GPO鏈接到組織單元(OU)或域:
-
- 導航到我們想要鏈接GPO的目標OU或域。
- 右鍵單擊OU或域,選擇“鏈接現有GPO”,然後選擇“域控制器安全鎖定。“
2. 確認鏈接:
-
- A dialog box appears. Confirm our selection by clicking “Yes.”
3. 驗證連結:
-
- 在GPMC中,在目標OU或域下,確認“域控制器安全鎖定” GPO現在已列為已連結。
4. 強制更新或等待群組政策應用:
-
- 在命令提示字元中使用gpupdate /force強制更新域控制器上的群組政策,或在下一次刷新期間等待政策應用。
現在GPO和域控制器已連接。我們的DC在下次檢查群組政策修改時處理該GPO中的設置。創建並設置一組設置後,迅速將其連結或部署到我們環境中的容器中。
修改現有的群組原則對象
我們預計在大型企業的單一域中找到數百甚至數千個 GPO。處理子 OU、本地 GPO 以及本地政策的混合,以及繼承特定 GPO 並使用 WMI 來針對特定 OS 系統的複雜性令人生畏。此外,由於我們域中 GPO 的數量之多,當 PC 啟動並且使用者登錄時會有一般性的性能懲罰。
群組原則對象範圍
域的根目錄是我們大多數 GPO 的所在地。由於這個程序,域中的每台機器和伺服器對象都會默認查看和使用這個 GPO。再次強調,有技術可以排除特定的人員、機器、組織單位和安全組。
這個過程使我們能夠在安全篩選部分顯示已驗證使用者組。這種篩選有效地表示:“每個人“:這個 GPO 對任何在域中驗證的帳戶都是可見的。
編輯群組原則對象
現在,讓我們嘗試編輯一個當前的 GPO:
- 右鍵點擊目標 GPO,選擇‘編輯‘來啟動修改過程。
- 通過邏輯佈局導航,其中包括電腦配置和用戶配置樹。
- 要在電腦配置中找到並調整 WSUS 設置,展開 -> 政策 -> 管理模板 -> Windows 組件 -> Windows 更新。
- 識別我們想要修改的具體設置,例如“配置自動更新”。
- 深入選定設置的屬性以訪問和分析配置選項。
- 進行必要的調整以使 GPO 與我們期望的政策修改保持一致。
這個過程是一個更複雜的設置。這些是我們如何更新 Windows 更新到我的域的設置。但這裡的重點是我們集中管理所有計算機(或一部分)。
這個過程說明了群組原則物件(GPO)如何強制執行對電腦設定的限制。假設我們檢查這台工作站上的 Windows Update 下的進階選項。我們會發現初始設定「在更新 Windows 時接收其他 Microsoft 產品的更新」現在受群組原則管理。
從技術上講,這表示我們對這台電腦應用了一些群組原則,但我們無法調整這些設定。
管理群組原則物件
在建立新域時,我們的 Windows Server 會生成兩個 GPO 作為默認配置 – 分別是「默認域原則」和「默認域控制器原則」。這些 GPO 至少確定了域密碼政策、帳戶鎖定政策、Kerberos 政策、基本安全選項以及各種其他網絡安全配置的參數。
幾十年來,一直有一個做法,我們不應修改這兩個政策 – 我們應該創建新的 GPO。這樣做有幾個原因,但最基本的是,當我們為我們的域進行故障排除時,我們必須知道我們不應更改這些默認配置。
停用群組原則物件
要停用 GPO 並阻止其設置影響即將到來的電腦,右鍵點擊 GPO,然後選擇 停用連結。此操作將分離連結並將 GPO 轉換為無效或 休眠。
刪除群組原則對象
在清理和故障排除任務期間,通過右鍵點擊 GPO 並選擇刪除來完成刪除 GPO。為了全面和簡化的方法,請在樹中導航到群組原則對象視圖並啟動刪除過程。
感謝您閱讀在 Active Directory 中創建和連結 GPO 的方法(逐步)。我們將結束本文。
在 Active Directory 中創建和連結 GPO 結論
總之,精通在 Active Directory 中創建和連結群組原則對象(GPO)是管理員在網絡管理複雜環境中導航時不可或缺的技能。這個逐步指南使我們具備了知識和信心,以無縫實施 GPO,提供了一種實踐方法,使過程變得清晰易懂。當我們踏上在 Active Directory 管理的旅程時,有效利用 GPO 不僅優化系統配置,還使我們能夠在整個網絡中維護安全的計算環境。
Source:
https://infrasos.com/how-to-create-and-link-a-gpo-in-active-directory/