1、第4章 管理Active Directory组对象和组策略,组是用户或计算机账号的集合。通过使用组可以将权限分配给一组用户而不是单个用户账号。当将权限分配给组时,组的所有成员都将继承那些权限,这样可以简化网络管理。组中可以包含用户,计算机组,打印机,共享文件夹;一个用户可以是多个组的成员;新设的组的权限,用户新添加入组,所得权限须在重新登录后才有作用。,工作组中的组和域中的组,工作组中的组 创建在非DC的计算机上; 驻留在SAM数据库中; 只能访问本地资源 。 域中的工作组 只在DC上; 在AD中; 访问域中的计算机中的资源。,第一节 本地组,一、本地组类型 1. 本地组(Local Grou
2、ps) 本地组可以在任何一台基于Windows Server 2003的非DC计算机上创建,通过将用户加入到相应的本地组赋予相应的权限,就可以控制用户对本地计算机上资源的访问。本地账户信息是放置在创建该组的计算机内的数据库中,因此其作用范围只限于在创建该本地组的计算机上。,2. 内置组(Built-in Groups),在安装运行 Windows Server 2003 的独立服务器或成员服务器时,会自动创建内置组。内置组具有一些特定的事先赋予的权力,用以完成某些特定的系统任务。内置组不能被删除,其作用范围也仅限于其存在的计算机上。,二、实现本地组策略,将组、用户、资源及权限组合在一起而实现对
3、资源访问的管理称之为组策略。本地组策略就是先将具有相同属性的用户账号加入到一个本地组当中去,再针对某些资源赋予这个本地组相应的访问权限,这样就可以达到一次操作而为多个用户赋予访问资源的权限。,三、创建本地组,用本地计算机的Administrator组或Account Operators组的成员身份登录,打开“计算机管理”,新建组对话框,右击“组”,在弹出的快捷菜单中选择“新建组”,计算机管理窗口中可以看到新创建的组,组属性对话框,双击新建的组的图标,添加组对象,选择用户,组属性列表中会看到刚才添加的用户,第二节 域模式中的组,一、域模式组类型 1. 通讯组可以使用通讯组创建电子邮件通讯组列表,
4、只有在电子邮件应用程序(如 Exchange)中,才能使用通讯组将电子邮件发送给一组用户。 2. 安全组 使用安全组给共享资源指派权限。可以: 将用户权限分配到 Active Directory 中的安全组 给安全组指派对资源的权限,用户权利与用户权限的区别:,权限(permission)控制用户对资源(如文件、文件夹或打印机)所做的操作。当分配权限时,就给了用户访问资源的权利并定义了他们的访问类型。权利(right)是指可以让用户执行的系统任务,如更改计算机上的时间、备份、恢复文件或本地登录等。 3. 安全组和通讯组之间的转换组都可以从安全组转换为通讯组,反之亦然。,3. 安全组和通讯组之间
5、的转换,二、域模式中的组的作用域,作用域用来确定在域树或林中该组的应用范围。有三类不同的组作用域:全局组作用域、本地域组作用域和通用组作用域。 全局组(Global group) 全局组的成员是对网络具有相同访问权限的用户; 全局组的作用范围是整个域树 可以加到本域或其它域的本地域组、通用组中; 可以加到本域的全局组中(仅限在本机模式中有效)。,域本地组(Domain local group),混合模式下,可包括域任何域的用户账号和全局组;本机模式下,还包括通用组。 混合模式下,不能加到其它任何组中。本机模式下,可以加入到本域的域本地组中。本机模式是指域中的所有域控制器都是基于Windows
6、2000 或 Windows Server 2003 时,该模式支持所有的组类型。混合模式是指域中的域控制器包含非Windows 2000和Windows Server 2003的计算机。在该模式下不可创建通用组。,通用组(Universal group),在混合模式下不可用,只在本机模式下可用; 为多个域中的相关资源授权; 开放的成员关系:可以包含所有的用户和组(不含本地组); 可加入任何域中的域本地组或通用组。,二、规划全局组和域本地组,1. 何时使用具有本地域作用域的组具有本地域作用域的组可帮助定义和管理对单个域内资源的访问。本地域组的成员可以是:具有全局作用域的组、具有通用作用域的组、
7、具有本地域作用域的其他组的账号、上述任何组或帐号的混合体。,2. 何时使用具有全局作用域的组,使用具有全局作用域的组管理那些需要每天维护的目录对象,如用户和计算机帐号。因为有全局作用域的组不在自身的域之外复制,所以具有全局作用域的组中的帐号可以频繁更改,而不需要对全局编录进行复制以免增加额外通信量。,3. 何时使用具有通用作用域的组,使用具有通用作用域的组来合并跨越不同域的组。为此,请将帐号添加到具有全局作用域的组并且将这些组嵌套在具有通用作用域的组内。使用该策略,对具有全局作用域的组中的任何成员身份的更改都不影响具有通用作用域的组。,四、 更改组作用域,创建新组时,在默认情况下,新组配置为具
8、有全局作用域的安全组,而与当前域功能级别无关。 全局到通用:只有当要更改的组不是另一个全局作用域组的成员时,允许进行该转换。 本地域到通用:只有当要更改的组没有另一个本地域组作为其成员时,允许进行该转换。 通用到全局:只有当要更改的组没有另一个通用组作为其成员时,允许进行该转换。 通用到本地域:该操作没有限制。,五、创建域模式中的组,用Administrators组或Account Operators组的成员身份登录。“开始”“管理工具” “Active Directory用户和计算机”,新建对象组,右击Users图标,在弹出的菜单中选择“新建” “组”,Active Directory用户和
9、计算机 看到创建的组,六、管理组,添加组成员,七、 删除组,在Active Directory服务中创建的每个组对象都有一个惟一的、不可重复使用的标识符,称为security identifier(SID,安全标识符)。Windows Server 2003使用SID来标识分配给它的组和权限。当删除一个组时,Windows Server 2003将不再为该组使用相同的SID,即便创建一个与所删除组名称相同的新组。因此,不能通过重新创建组对象来恢复对资源的访问。当删除一个组时,只删除了该组和与该组相关的权限。删除一个组并不删除作为组成员的对象。,八、使用“运行方式”启动程序,为获得最优安全性,不
10、要将网络管理员每天访问使用的用户对象添加为Administrators组成员。若要运行需要以Administrator身份登录的程序,可以使用“运行方式”程序。 找到需要用管理员身份打开的程序或其快捷方式、MMC控制台或控制面板工具。按下“Shift”键,并右击,从弹出的菜单中选择“运行方式” 。,选择程序的运行身份,第三节 默认组,默认组是当创建Active Directory域时自动创建的安全组。可以使用这些预定义的组来帮助控制对共享资源的访问,并委派特定的域范围的管理角色。 一、“Builtin”容器中的组 Account Operators成员可以创建、修改和删除位于“Users”或“
11、Computers”容器中的用户、组和计算机的帐户以及该域中的组织单位,除了“Domain Controllers”组织单位。,Administrators成员具有对域中所有域控制器的完全控制。,Backup Operators成员可备份和还原该域中域控制器上的所有文件,不论其各自对这些文件的权限如何。 Domain Guests 该组没有默认的用户权利。 Network Configuration Operators成员可更改 TCP/IP 设置并续订和发布该域中域控制器上的 TCP/IP 地址。 Performance Monitor Users成员可在本地或从远程客户端监视该域中域控制器
12、上的性能计数器,Performance Log Users成员可在本地或从远程客户端管理该域中域控制器上的性能计数器、日志和警报,Pre-Windows 2000 Compatible Access成员具有对该域中所有用户和组的读取访问权。 Print Operators成员可管理、创建、共享和删除连接到该域中域控制器上的打印机。 Remote Desktop Users成员可远程登录到该域的域控制器。该组中没有默认的成员。 没有默认的用户权利。 Replicator 该组支持目录复制功能,并由该域的域控制器上的“文件复制”服务使用。,Server Operators 在域控制器上,该组的成员
13、可进行交互式登录、创建和删除共享资源、启动和停止某些服务、备份和还原文件、格式化硬盘,以及关闭计算机。,Users成员可执行大部分常见任务,如运行应用程序、使用本地和网络打印机,以及锁定服务器。,二、“Users”容器中的组,Cert Publishers成员获准为用户和计算机发行证书。 DnsAdmins(随DNS安装) 成员具有对 DNS Server 服务的管理访问权。 DnsUpdateProxy(随DNS安装)成员是可代表其他客户端(如 DHCP 服务器)执行动态更新的 DNS 客户端。 Domain Admins成员具有对该域的完全控制权。 Domain Computers包含加入
14、到此域的所有工作站和服务器。 Domain Controllers包含此域中的所有域控制器。,Domain Guests包含所有域来宾。,Domain Users包含所有域用户。 Enterprise Admins(仅出现在林根域中)成员具有对林中所有域的完全控制作用。 Group Policy Creator Owners成员可修改此域中的组策略。 IIS_WPG(随 IIS 安装) IIS_WPG 组是 Internet 信息服务 (IIS) 6.0 辅助进程组。 RAS 和 IAS Servers 该组中的服务器获准访问用户的远程访问属性。 Schema Admins(仅出现在林根域中)
15、成员可修改 Active Directory 架构。,第四节 组策略,组策略提供进一步控制和集中管理用户桌面环境的功能。 用户不需要设置组策略,而是由组策略管理员配置和管理。 一、 组策略简介组策略是一组配置设置,组策略管理员应用于活动目录存储中的一个或多个对象。组策略管理员利用组策略控制域中用户的工作环境。组策略也可以控制在指定OU位置上的用户的工作环境。组策略还授予用户和组权力。,1. 组策略优点,(1)保护用户环境 (2)增强用户环境 自动安装应用程序到用户的“开始”菜单。 启动应用程序分发,方便用户在网络上找到并安装相应应用程序。 安装文件或快捷方式到网络上相应位置或用户计算机上的特定
16、文件夹。 当用户登录或注销、计算机启动或关闭时自动执行任务或应用程序。 重定向文件夹到网络位置增强数据可靠性。,2. 组策略类型,软件设置:影响用户可以访问的应用程序。应用程序自动安装的策略有两种方法实现:指派应用程序,组策略直接在用户计算机上安装或升级应用程序,或为用户提供应用程序的连接,指派的应用程序用户无法删除;发布应用程序,组策略管理员通过活动目录服务发布应用程序。应用程序出现在用户的控制面板的“添加/删除程序”的安装组件列表中。用户可以卸载这些应用程序。 脚本:组策略管理员可以设定脚本和批处理文件在指定时间运行。脚本可以自动执行重复性任务 。,安全设置:组策略管理员可以限制用户访问文
17、件和文件夹 。,管理模板:包括基于注册表的组策略,可以利用它来强制注册表设置,控制桌面的外观和状态,包括操作系统组件和应用程序。 远程安装服务(RIS):当运行用户安装向导时,控制显示给用户的RIS安装选项。 文件夹重定向:可以重定向Windows Server 2003指定的文件夹从用户配置文件缺省位置到另一个网络位置,从而对这些件夹集中管理 。,二、组策略结构,组策略是应用到活动目录存储中的一个或多个对象的配置设置的集合。这些设置包含在组策略对象(GPO)中。组策略对象在两个位置存储组策略的信息:组策略容器(GPC)和组策略模板(GPT)。1. 组策略对象(GPO) GPO中包含作用于站点
18、、域和OU的组策略设置。 一个或多个GPO可以应用于站点、域或OU。 存储在GPC中的组策略数据很少并且不经常改变。而存储在GFT中的组策略数据很多并经常改变。,2. 组策略容器,组策略容器(GPC)是存储GPO属性并包含计算机和用户组策略信息子容器的活动目录对象。GPC中包含信息的版本来确保GPC中的信息同GPT中的信息同步。GPC还包含用于识别GPO是否启动的状态信息。GPC存储用于配置应用程序的Windows Server 2003类存储信息。类存储是一个作用于应用程序、接口和API的基于服务器的存储库,提供应用程序指派和发布功能。,3. 组策略模板,组策略模板(GRT)是包含在域控制器
19、的%systemroot%SYSVOLsysvolPolicies文件夹下的文件夹结构。GPT是存储管理模板、安全设置、脚本文件和软件设置的组策略设置信息的容器。,三、应用组策略,1. 创建GPO,站点属性组策略新建组策略,2. 使用组策略管理器,组策略编辑器包括计算机配置节点和用户配置节点,每个节点下包括:软件配置、Windows设置和管理模板。,计算机配置:,计算机配置包括所有与计算机相关的策略设置,它们用来指定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、指定的计算机应用选项以及应用设置。 用户配置:用户配置包括所有与用户相关的策略设置,它们用来指定操作系统行为、桌面设置、安全
20、设置、指定和发布的应用选项、应用设置、文件夹重定向选项、用户登录与注销脚本等。,3. GPO权限,创建一个GPO,一组安全组会添加到这个对象并且每个安全组被配置一组属性。,修改GPO权限,打开包含相应的GPO的站点、域或OU的属性对话框,选择“组策略”,右击“新建组策略对象”,选择“属性”,并选择“安全”选项卡。,组策略的继承性,通常情况下,组策略从父容器向子容器向下继承。如果在高层的父容器上设定组策略,这个组策略将作用于父容器下面的所有子容器,包括每一个容器中的用户和计算机对象。但是,如果明确在子容器指定组策略设置,子容器的组策略设置覆盖父容器的组策略设置。,四、管理组策略,1. 管理软件设
21、置 使用组策略可以集中管理软件分发。可以为一组用户或计算机安装、指派、发布、升级、修复和卸载软件。 在使用组策略管理器配置软件之前,要求应用程序具有Microsoft Windows Installer(.msi)软件包。 可以为计算机和用户指派应用程序,也可以为用户发布应用程序。,指派应用程序,在指派应用程序到用户时,应用程序向下次登录到工作站上的用户广播。应用程序跟随用户进行广播而不管用户实际使用的物理计算机。该应用程序在用户第一次触发计算机上的应用程序时进行安装,这种触发可以是在“开始”菜单选择该应用程序,或是激活与该应用程序相关的文档。在指派应用程序给计算机时,应用程序广播并在安全的情
22、况下执行安装。一般情况下在计算机启动时进行,从而计算机上没有竞争的进程。,发布应用程序,在发布应用程序到用户时,应用程序在用户的计算机上不显示为安装。在桌面和“开始”菜单没有快捷方式可见,用户计算机的本地注册表没有修改。相反,发布的应用程序在活动目录保存发布属性。然后,应用程序名称和文件触发的信息对活动目录容器中的用户可见。所以用户可以使用控制面板中的“添加/删除程序”安装应用程序或通过点击与应用程序相关的文件触发安装。,指派或发布应用程序的步骤:,(1)首先创建一个共享文件夹并将应用程序文件和软件包文件复制到该文件夹下。 (2),选择要指派的软件包,部署软件,组策略编辑器里可以看到指派的程序
23、,2. 管理脚本,Windows Server 2003组策略在指定脚本时有很大的灵活性。可以为计算机指派启动和关机脚本,在Windows Server 2003启动和关机时执行。还可以为用户指派登录和注销脚本,Windows Server 2003在用户登录或注销时执行。可以使用的脚本包括Windows NT批处理文件(.bat成cmd),Windows Scripting Host的VBScript(.vbs)或Jscripts(.js)文件。,指派脚本,添加脚本,3. 管理安全设置,计算机安全策略包括不同的策略范围、管理权力和用户权限。在Windows Server 2003中定义两种安
24、全策略类型:域安全策略和计算机安全策略(即本地安全策略)。不属于Windows Server 2003域中的计算机只受计算机安全策略影响。而对于域中的计算机,计算机安全策略首先生效,然后是域安全策略生效。,安全策略的配置类型,账户策略 本地策略 事件日志 受限制组 系统服务注册表 公钥策略 在活动目录服务上的IP安全策略,4. 管理管理模板,在Windows Server 2003中,组策略管理器中的管理模板扩展使用管理模板文件(.adm)指定可以通过组策略管理单元修改的注册表设置。每一个策略列出相应的策略设置,作用于相应的站点、域或OU。在管理模板下面列出的策略表示基于注册表的组策略设置。管
25、理模板可以控制Windows Server 2003操作系统及其应用程序、组件的多种行为。这些设置写入到注册表数据库的 HYEY_LOCAL_MACHINE或HKEY_CURRENT_USER部分。,管理模板文件介绍,.adm文件是一个Unicode文本文件(Windows Server 2003支持Unicode.adm文件)。这个文件指定一个类别和子类别的层次结构,表现各部件是如何组织在一起的。它还表示选项更改的具体注册表位置,选项关联的相应的选项和限制,有时还表明活动选项缺省的值。缺省情况下,3个.adm文件:System.adm、Inetres.adm和Conf.adm,一起包含了对应于Windows Server 2003操作系统客户的450多个设置,这3个文件被安装在组策略控制台上。Inetres.adm包含有对于Internet Explorer的设置,System.adm有广泛范围的设置,Conf.adm则包含有对于Microsoft NetMeeting设置,在缺省情况下它将不被加载。,
