AD_DS架构-第03部分_OU、组策略规划及部署5507.pptx

第03部分组织单位OU规划及创建组织单位OU规划及创建本章重点何谓组织单位规划组织单位管理组织单位管理组织单位的成员委派控制组织单位与委派控制组织单位（OrganizationalUnit）是从Windows 2000之后才出现的对象,在AD域的逻辑架构中担任重要的角色。组织单位是什么？它能帮我们做什么？以及如何管理组织单位。何谓组织单位在Windows NT的时代,域（Domain）是组织和管理网络的最小单位。倘若不同的部门有不同的安全需求与管理方式,往往因此得将整个公司划分成多个域。可是这种多域的架构,在管理与成本都会增加负担。为了解决这类的问题,微软公司在AD域中增加了组织单位这种对象,使得整个域的规划与管理更有弹性,能发挥分层负责、授权管理的优点。组织单位是一种容器能包含其它对象的对象便称为容器（Container）,既然组织单位是一种容器,自然也能包含其它对象。它可以包含以下9种对象：用户、计算机、组、打印机、共享文件夹联络人、组织单位、InetOrgPerson、MSMQ路由别名但是要记得一点组织单位仅能包含同域内的对象,不能包含其它域的对象！组织单位与组的差异初次接触组织单位时,许多用户会将它与组（Group）混淆,虽然两者都是应用在AD域的逻辑架构中,但是在使用上有以下的差异：一个用户可以隶属于多个组,但是只能隶属于一个组织单位。组织单位可以包含组,但是组不能包含组织单位。网络资源（例如：文件夹或打印机）的权限可以赋予组,但是不能赋予组织单位。规划组织单位如何规划组织单位的架构,是一个颇有挑战性的课题。然而并无一定的准则,主要视企业实际需求而定。以下列举几种常见的规划模式：基于功能SCMS 销售C 咨询M 市场基于混合型的示例功能组织位置功能组织位置基于组织MERM 制造业E 工程师R 研究员基于地理位置NFIN 挪威F 法国I 印尼 委派控制简单地说,所谓的委派控制（Delegation）便是授权！系统管理员可利用它来将例行的管理工作,委派给特定的对象来执行,以减轻自己的负担。执行委派控制时应注意以下3个要点：委派的范围：将多大的范围（站点、域或组织单位）委派出去。委派的对象：委派给谁。委派的内容：委派多大的权限出去。修改委派控制的内容委派控制精灵有一个缺点只能用来执行委派工作,不能删除或更改委派工作。如果要取消或更换授权的对象或工作内容,则必须直接修改该对象的ACL。以前例而言,若要修改原先委派给贾聪明的权限,或是将该委派工作改派给其它人,请先开启总管理处的权限项目交谈窗。第03部分组策略规划及创建组策略规划及创建组策略部署管理组策略对象的工具组策略对象链接组策略的应用用顺序组策略权限的继承阻止策略继承强制组策略组策略筛选组策略概述组策略在运行 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 的计算机上启用基于 Active Directory 的用户和计算机设置更改和配置管理。除了使用组策略为用户和计算机组定义配置以外，还可以配置很多服务器特定的操作和安全设置，以便使用组策略帮助管理服务器计算机。组策略组件Contains Group Policy settingsStores content in two locationsGroup Policy ObjectStored in shared SYSVOL folder Provides Group Policy settingsGroup Policy TemplateStored in Active DirectoryProvides version informationGroup Policy Container组策略对象的工具默认组策略工具Active Directory 用户和计算机域和组织单位组策略对象Active Directory 站点和服务站点组策略对象本地安全策略本地计算机安全设置附加工具组策略管理域、组织单位和站点组策略对象组策略对象链接组织单位 GPO组织单位 GPO站点 GPO域 GPO站点域OUOUOU本地策略站点策略域策略父OU策略子OU策略组策略的应用用顺序组策略权限的继承域OUOUOUOUOU用户或计算机账户OU GPO 1OU GPO 3OU GPO 2阻止策略继承 要阻止策略在域或组织单位中继承 Active Directory 用户和计算机管理工具要阻止策略在站点上继承 Active Directory 站点和服务管理工具销售生产 域组策略对象没有组策略对象设置应用强制组策略强制 链接冲突 组策略筛选销售生产域MengphKimyo组应用组策略拒绝读取和应用组策略允许GPO什么是 WMI 过滤器?500 MB free disk space?WMI FilterAdministratorInstallOffice XP?10 GB400 MB35 GB750 MBGPOWMI过滤Windows 2000Windows XPWindows XPWMI过滤域控制器只套用XP Professional查询是使用 WMI 查询语言(WQL)编写的仅运行 Windows XP Professional 的目标计算机RootCimV2;Select*from Win32_OperatingSystem where Caption=Microsoft Windows XP Professional组策略什么时候应用?Computer startsComputer settings appliedStartup scripts runRefresh IntervalUser logs onUser settings applied Logon scripts runRefresh Interval组策略处理过程同步处理异步处理管理组策略什么是COPY操作，执行COPY操作?什么是备份操作，执行备份操作?什么是恢复操作，执行恢复操作?什么是倒入操作，执行导入操作?什么是 Copy 操作?A copy of a GPO transfers only the settings within a GPO The new GPO is created unlinked DACLUser 1GPO1ReadFull ControlDACLUser 1GPO2ReadFull ControlCopy Operation什么是 Backup 操作?In a backup operation,Group Policy Management export all data in the GPO to the selected file and saves the GPT filesBackup OperationBackup ofa GPOGPO1GPO1什么是恢复操作?In a restore operation,the contents of the GPO are returned to exactly the same stateRestore OperationGPO1Backed-up GPOGPO1什么是导入操作?In an import operation,all GPO settings are copied from the source to the target GPOGPO1Import OperationGPO2GPOSettings将将组策略策略应用于新用用于新用户和和计算机算机帐户默认情况下，新用户和计算机帐户是在 CN=Users 和 CN=Computers 容器中创建的。Redirusr.exe（用于用户帐户）和 Redircomp.exe（用于计算机帐户）是 Windows Server2008 附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置，以便更轻松地为新创建的用户和计算机对象直接指定 GPO 作用域组策略和策略和 SysvolGPO 中的策略设置信息存储在以下两个位置：Active Directory 和域控制器的 Sysvol 文件夹。Active Directory 容器称为组策略容器；Sysvol 文件夹中包含组策略模板。组策略容器包含用于将 GPO 部署到域、OU 和站点的属性。组策略容器还包含组策略模板的路径，该模板存储了大多数组策略设置。管理模板组策略中提供大量的设定使管理员可以通过一次设定,管理多台计算机或者多个用户组策略中很大一部分设定实际上是改的注册表管理模板(.ADM)文件定义了组策略如何修改注册表所有基于注册表的组策略设定存为registry.pol,放在sysvol中组策略首选项组策略首选项是 Windows Server2008 操作系统中的新增功能，包括 20 多个新的组策略扩展，扩大了组策略对象(GPO)中可配置设置的范围。这些新的扩展位于组策略管理控制台(GPMC)的“组策略管理编辑器”窗口中的新首选项下面。新组策略首选项扩展的示例包括文件夹选项、映射驱动器、打印机、计划任务、服务以及开始开始菜单设置要求在客户端计算机上安装客户端扩展(CSE)集