发现什么是组策略以及它是如何工作的(详细介绍)

教程

组策略。几乎所有Windows管理员都熟悉的服务。但组策略是什么?组策略是一种在成千上万的活动目录(AD)域加入的计算机上应用配置设置、安装软件、运行脚本等的常见方法。

扩展组策略的功能并简化管理细粒度密码策略。使用Specops Password Policy 的词典和密码短语设置目标任何GPO级别、组、用户或计算机。免费试用!

组策略由许多不同的服务和工作流程组成。大多数管理员可能甚至不知道它是如何工作的!在本文中,我们的目标是改变这一点。

如果你对了解什么是组策略并了解它是如何工作的感兴趣,那么请继续关注,因为我们将不遗漏任何细节!

什么是组策略对象(GPOs)

GPOs是组策略的关键。GPOs是包含许多不同设置以在域加入计算机上执行的单个策略。

在Windows 10/2019 Server中,有超过五千个设置,涵盖了Windows的所有相关方面。此外,您甚至可以为特定应用程序导入更多设置:Office、Microsoft Edge、Google Chrome、LAPS-E 只是其中的一部分。您还可以创建自己的设置。

将GPO视为简单的单一策略;它是一个包含执行任务指令的清单,比如设置登录脚本、更改用户桌面、安装软件以及成千上万的其他任务。

Active Directory将GPO存储在Active Directory数据库中,这些GPO在域控制器(DCs)之间进行复制。

GPO有两种“类别”设置;一种用于计算机,一种用于用户。这些“类别”定义了GPO内部设置如何应用于计算机。例如,如果您需要更改用户的背景,则属于用户设置。如果您需要安装全系统软件,则属于计算机设置。

创建GPO后,您将其定位到OU中的一组计算机或用户。计算机然后定期查找新的GPO并应用这些设置(稍后详细介绍)。

什么是组策略模板

如果GPO是组策略的主要组成部分,组策略模板(GPT)则是下一个重要的概念。GPT与GPO紧密相连。

Active Directory将GPO存储在SYSVOL中,这是域控制器上的文件共享,用于分发文件。GPO包括注册表设置、安全文件、应用程序、脚本和安装程序、快捷方式、XML文件、图形文件等,具体取决于您在相应GPO中定义的设置类型。

使用GPMC管理组策略

组策略通过组策略管理控制台(GPMC)进行控制。此控制台已安装在所有域控制器上,并作为远程服务器管理工具包(RSAT)的一部分。GPMC连接到持有主域控制器模拟器(PDCe)角色的域控制器,以对组策略进行更改。

相关:如何安装和导入Active Directory模块

在GPMC中,您可以创建和分配组策略对象(GPO)到Active Directory组织单位(OU)、Active Directory站点等。

组策略复制的工作原理

如前所述,GPO 和 GPT 是 AD 的一部分。因此,它们是典型的 Active Directory 复制过程的一部分。

A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.

  1. 一旦通过 GPMC 更改了 GPO,GPMC 就会连接到 PDCe DC。
  2. 然后,GPMC 在 Active Directory 数据库中创建或修改 GPO,并在 SYSVOL 中创建/更新 GPT。
  3. 修改后,AD 复制接管并根据 AD 复制计划将 GPO 和 GPT 复制到其他 DC。如果您的“本地”DC 和 PDCE 在同一站点,则复制通常需要多达 5 分钟,如果它们在不同站点,则需要更长的时间。

DCs 也会通过名为 DFS-R 的单独复制机制复制 SYSVOL 中创建的 GPT。SYSVOL 的复制计划与 AD 数据库的复制计划相同。GP 的两个组件应该在本地 DC 上大致同时到达。

如何应用 GPO

因此,GPMC 已创建了 GPO/GPT,并已将其复制到您 AD 环境中的所有 DC。现在呢?现在客户端需要获取策略。此时,客户端负责检查 DC 是否有新的/更改的策略。

客户坚持按照定义的组策略刷新间隔这是他们定期检查与域控制器变化的间隔。默认情况下,刷新间隔设置为90分钟,再加上0到30分钟之间的随机偏移。

如果某个域控制器被应用策略,刷新间隔默认为仅五分钟。

一旦刷新间隔到期,客户端上的组策略客户端服务将与域控制器检查是否有新的或更改的策略。如果找到,它将下载这些策略并开始在客户端计算机上执行相应的指令。

组策略客户端服务可能不会立即应用新的设置。有些设置无法立即应用,例如在下次登录、重定向文件夹、在下次重启之后等。

即使自上次应用以来没有更改,仍然会有一些组策略生效。一个很好的例子是安全设置,在计算机启动时和在计算机在此期间没有重新启动的情况下,每16小时重新应用一次。这很重要:如果有人对特定的安全配置进行了更改,它们将在下次刷新时恢复(想象一下在Windows防火墙中打开的防火墙端口,或者添加到/从受限组中添加或删除的成员)。

其他设置可能会被重新应用,即使GP没有更改。您可以通过注册表或通过GP来控制GP客户端在特定类型的设置上的行为。

强制执行合规性要求,在Active Directory中阻止超过30亿个被 compromise 的密码,并帮助用户创建更强的密码,提供动态的最终用户反馈。今天就与我们联系,了解有关Specops密码策略的信息!

结论

如果你曾经问过自己,“什么是组策略?”,我希望本教程能够回答这个问题。组策略是一个存在已久且仍然被成千上万的组织使用的系统。对于许多需要在其Windows计算机环境中应用更改的人来说,它是一个基本工具。

如果您需要对一个、十个或一千个加入域的计算机执行更改,请确保您知道什么是组策略。

Source:
https://adamtheautomator.com/what-is-group-policy/