概述
背景
域控多用于办公桌面环境,或者采用域控进行身份验证的环境;这里就以典型的桌面应用环境来梳理,当用户使用功能桌面客户端或浏览器访问桌面时,桌面连接服务器会去访问域控,查找响应域策略,写到自己的注册表里,然后应用组策略,那么这个过程大体上可以分为两步,第一步是验证过程;验证通过后,客户端会去找DC查询需要应用哪些组策略,然后应用。
过程分析
1、 客户端查找DC并进行身份验证
-
客户端通过自身的netlogon服务,去向DNS服务器查找域内的PDC、GC、KDC、LADP等SRV记录;先查询站点内的前述记录,若无,则查找全局内的上述记录。
-
查找到相关记录之后,DNS会按照优先级和权重排序返回各项记录,客户端会按照先后顺序去连接第一个服务器的LDAP协议的389端口;若第一个不响应,则去连接第二个。
-
直到某一个DC响应后,客户端检查DC是否有其需要的相关信息。如果有,客户端开始登陆,哪个DC先响应请求,客户端就找其做身份验证。
-
客户端缓存DC的相关信息,以便在下次登录的时候直接使用。
以上是客户端查找DC验证的过程,实际上,在验证通过后,就会去DC上查找应用相应域策略;
2、 应用域策略过程
-
DC启动时,会向DNS宣告自己的角色,DNS服务器接受宣告后,更新DNS数据库中DC对应的资源SRV记录。
-
客户端登录时会联系DNS服务器,寻找适当的DC进行身份验证,验证通过后,DC告诉客户端所属的站点信息,域信息,以及OU信息。
-
客户端获取到域和口令信息后,就会找到相应的域控,会检查它所在的OU中链接了哪些组策略,就可以查询到正确的GPO列表。并去检查每一个GPO的最新版本,这部分数据存储在AD数据库的GPC数据中。
-
客户端按照域策略管理界面中的配置去应用相应组策略,其获取到这些组策略的最新版本后,就会去查找GPO的GPT部分,即每一条组策略的配置信息部分。这部分数据存储在默认域共享的sysvol文件夹中。然后根据Unique ID 找到Sysvol文件夹定位对应的组策略模板。根据组策略模板中信息检查设定了哪些策略,检测到了就执行相应的操作。
-
当客户端拿到域策略后,其实它不是下载到本地,而是当客户端检测到该域策略后,就会将相应的配置写到相应的注册表中,即组策略生效了。如果没有权限的客户端,就不会将更改或配置写进注册表。
3、组策略的应用顺序
组策略包含两种配置对象:计算机配置和用户配置,计算机配置是针对计算机所有用户的配置生效,用户配置是针对当前域用户配置生效。如果组策略针对计算机配置需要客户端重启系统才能生效,如果组策略针对用户配置需要客户端注销才能生效。其中,GPO组策略对象)是由GPC(组策略容器)和GPT(组策略模板)组成的。GPC存储在活动目录数据库中,提供版本,状态及相关属性信息,而GPT模板存储在域控上的SYSVOL共享目录下,对组策略的相关配置数据存储在这里。
1>查看GPC,需要打开ADUC(ad用户和计算机)后,选择“查看”—高级功能后,可以展开如下所示:
2>查看GPT需要打开AD的共享共享,在这里可看到对应的GPT:
3>用户或计算机总会属于某一个容器,如OU或域,如果用户属于域,那么在它登录到域的过程中,它要检查该域(容器)的属性值中gplink的内容,看该容器链接了几个GPO,如下图所示:
知道链接了哪几个GPO后,就会按照LSDOU的顺序去找这几个GPO,通过GPLink的属性值我们知道具体应用的GPO了,我们就在如下图所示,右击该GPO的GPC的属性,找versionnumber值,该用户会把自己versionnumber和它作比较,如果这里的新,就会通过找该GPC的属性中的gPCFileSysPath属性值来应用具体的GPT的设置。如下面两个图所示:
如果该用户所在的容器链接的有GPO,并且在其GPT里有相应的“用户配置”,就会应用该用户配置;如果用户登录的计算机所在的容器链接的有GPO,并且在其GPT里有相应的“计算机配置”,就会应用该计算机配置。二者全部应用也有可能,即同时加载用户配置和计算机配置。
要想让用户或计算机能按你的要求加载其相应的组策略,有两点必须满足:
A、计算机和用户必须位于GPO有链接的SDOU容器内。
B、必须对GPO要有读取和应用组策略的权限。(authenticated users默认包括所有计算机和用户,具有此权限)。任意一个GPO,所有authenticated users组的用户或计算机均可读取并应用。如果我们不想让一个用户应用此GPO的设置,我们可以通过上面的委派项,进行详细的设置,给这个用户“拒绝读取组策略”的权限就可以了。
4>组测策略执行的顺序是本地组策略–>站点–>域–> OU。简单的说,客户机应用组策略的流程有以下几个步骤:
-
客户机启动,执行本地安全策略。
-
客户机连接到网络,查询DC获取要应用的GPO列表。同样是按照站点–>域–> OU这样的一个顺序。
-
客户机根据GPO列表,连接到Sysvol文件夹定位对应的组策略模板。
-
客户机根据组策略模板中信息执行相应的操作,即将组策略中的配置写入客户端自身的注册表中。
-
计算机策略执行完成后,出现登录界面,用户登录。
-
用户验证通过后,用户查询DC获取要应用的GPO列表。同以上步骤,最后执行应用用户策略。
当计算机开机或用户登录时,组策略的应用顺序:Local—>site—>domain—>OU—>子OU ; GPO只能链接到容器上(即LSDOU:Local、Site、Domain、OU),只能对容器里面的计算机或用户生效,而对组无效。如果在同一个容器上用多条GPO,则处于列表最高位的最后加载。最后加载的优先级最高,即如果多条策略设置冲突,则这些冲突的组策略中,最后加载的设置生效。
默认状态下,GPO会应用在authenticated users组(即所有域用户和域计算机,默认下此组用户可以读取和应用组策略);还原默认的两条组策略对象GPO执行:dcgpofix;
5>组策略的生效时间:
a. 计算机策略设置:计算机启动、手动刷新(gpupdate /force)、90-120分钟后台周期性刷新。
b. 用户策略设置:用户登录、手动刷新(gpupdate /force)、90-120分钟后台刷新。
c. DC的策略设置:5分钟后台周期刷新。
6>组策略对象的继承:
默认下继承顺序LSDOU。即下级容器会继承上级容器的组策略。也就是说如果各级组策略的设置不冲突,则最终用户或计算机将应用所有组策略的设置(在默认情况下)。
7>GPO的冲突处理,总体原则:后执行的优先级最高。
a、 计算机策略覆盖用户策略(如果同一条策略,计算机和用户策略冲突)
b、 不同容器上的策略产生冲突,子容器上的GPO优先级高。
c、 同一容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高。
8>调整组策略的应用顺序:
阻止继承:在子容器上启用(将阻止掉所有上级容器的策略,只应用本容器的GPO设置)
强制(禁止替代):在父容器的某个GPO上启用(此GPO优先级最高,如果冲突,以此为准,其它不冲突的将累加)
“阻止继承”不能阻止上级容器所做的“强制”的GPO。(即若二者同时启用,以强制的为准)
若多个容器的GPO设为“强制”时,以先被应用的为准。
9>组策略的安全过滤:如果一个用户帐号位于一个GPO相连的容器里,但不在security filtering里,则该用户不受到该GPO的影响。
10>.WMI筛选:如果在一个GPO上连接了一个WMI过滤器,则该GPO的设置将只能作用于所连容器中符合WMI要求的计算机。
11> LOOPBACK模式:如果对一个容器的GPO设置了Loopback模式,则无论一个用户帐号来自何处,则只要在该容器的计算机登录到域,一定会受到该容器GPO的用户策略的影响。(replace/merge两种方式)
12>组策略的委派管理:(为指定的域或OU指定相应的组策略管理员)
三种权限的管理员:
可以为OU创建并链接,并编辑、删除(完全权限)–》domain admins
可以为OU创建并链接、编辑、删除(自己创建的)–》将用户加入到Group Policy Creator Owners组
可以为指定OU链接已有GPO,并可以删除GPO的链接,但不能编辑
13>如果父子域中,子域如果要用父域的GPO,应该在父域上备份,然后导入到子域或通过复制和粘贴方式处理。不要做直接链接。
4、验证:
1)在客户机cmd中输入gpresult可获取到客户机当前应用了哪些策略。
gpresult /r //列出所有当前客户机和当前用户应用到的域策略,官方解释r参数就是显示 RSoP的统计信息的。
gpresult /z //详细显示有关组策略的所有可用信息。这包括优先级为1或更高的详细设置。
帮助链接:https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/gpresult
2)利用rsop.msc(result set of policy)工具,图形化查看:
计算机或用户配置,右键属性里查看应用的组策略:
最后
以上就是迷路百褶裙为你收集整理的域环境策略应用过程理解梳理的全部内容,希望文章能够帮你解决域环境策略应用过程理解梳理所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复