整合營銷服務(wù)商
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
CATALOG
基礎(chǔ)理解 什么是組策略
組策略與工作組沒關(guān)系,它是許多策略的集合,組策略的組代表的是一組或者說多個(gè),并不代表工作組的組。例如本地安全策略就是組策略的一部分。組策略相當(dāng)于一張任務(wù)計(jì)劃書。可以分配給不同的部門。
在同一個(gè)OU可能會被鏈接或應(yīng)用多個(gè)GPO,因此有些設(shè)置可能會產(chǎn)生沖突。在這種情況下,GPO的優(yōu)先級決定客戶端最終應(yīng)用哪個(gè)設(shè)置。具有較高優(yōu)先級的GPO將覆蓋較低優(yōu)先級的GPO。在GPMC中,數(shù)字越小表示GPO的優(yōu)先級越高。
組策略大體分為如下幾種:
組策略分類處理優(yōu)先級管理范圍功能或特點(diǎn)
本地組策略
本地計(jì)算機(jī)
vista之前每臺計(jì)算機(jī)擁有一份本地組策略,之后每隔賬戶可以擁有一份本地組策略,管理本地計(jì)算機(jī)
站點(diǎn)組策略
略
略
域組策略
域內(nèi)機(jī)器或者賬戶
管理域內(nèi)計(jì)算機(jī)或者賬戶
組織單元組策略
OU內(nèi)機(jī)器或賬戶
管理OU內(nèi)計(jì)算機(jī)或者賬戶
這里需要說的是,計(jì)算機(jī)申請執(zhí)行策略的時(shí)候確實(shí)是按照由本地組策略到組織單元組策略這個(gè)方向去申請的,但是如果同一個(gè)點(diǎn)的策略設(shè)置發(fā)生沖突,那么后申請的策略的設(shè)置會覆蓋之前申請的策略的設(shè)置,換句話說,組織單元策略是最終的會執(zhí)行的策略。
可以理解成是一個(gè)并集的關(guān)系,如果沖突則取跟高優(yōu)先級的設(shè)置。
但例外是如果有強(qiáng)制策略,那么強(qiáng)制策略優(yōu)先級最高。
域控上組策略管理的位置
組織單元組策略
綠色框中就是組織單元。
組織單元組策略是專門針對某個(gè)組織黨員設(shè)置的組策略例如:
以上的default domain policy只適用于domain 這個(gè)組織單元。
域內(nèi)組策略
在DC直接在服務(wù)器管理下面點(diǎn)的那個(gè)“組策略管理”即可管理域內(nèi)組策略,這個(gè)組策略只對域內(nèi)的主機(jī)有用。
名字為Default Domain Policy,這個(gè)組策略直接作用于域內(nèi)的每個(gè)機(jī)器。域內(nèi)一般還有一個(gè)組策略叫做Default Domain Policy,這種組策略只對域控機(jī)器有用。
命令行的命令為gpmc.msc。 它的作用是生成與管理要發(fā)行給域內(nèi)計(jì)算機(jī)的組策略,我把它叫做域內(nèi)組策略。
本地組策略
本地組策略(Local Group Policy,縮寫LGP或)是組策略的基礎(chǔ)版本,它面向獨(dú)立且非域的計(jì)算機(jī)。至少Windows XP家庭版中它就已經(jīng)存在,并且可以應(yīng)用到域計(jì)算機(jī)。在Windows Vista以前,LGP可以強(qiáng)制施行組策略對象到單臺本地計(jì)算機(jī),但不能將策略應(yīng)用到用戶或組。從Windows Vista開始,LGP允許本地組策略管理單個(gè)用戶和組,并允許使用“GPO Packs”在獨(dú)立計(jì)算機(jī)之間備份、導(dǎo)入和導(dǎo)出組策略——組策略容器包含導(dǎo)入策略到目標(biāo)計(jì)算機(jī)的所需文件。
深入理解 組策略存儲位置
創(chuàng)建組策略其實(shí)就是創(chuàng)建組策略單元(GPO),組策略設(shè)置對時(shí)候本身就分為兩部分,分別為計(jì)算機(jī)設(shè)置與用戶設(shè)置。所以會有兩個(gè)版本號,一個(gè)代表的是計(jì)算機(jī)設(shè)置的版本號,另一個(gè)代表用戶設(shè)置的版本號。每個(gè)GPO有唯一的標(biāo)識符,標(biāo)識符上面就哦與兩組版本號,一組是用戶版本號,一個(gè)是AD數(shù)據(jù)庫中記錄的版本,一個(gè)是sysvol共享文件夾中記錄的版本:
GPO在域內(nèi)是分為兩個(gè)部分存儲的,分別是GPC與GPT。他們兩個(gè)表示活動(dòng)目錄數(shù)據(jù)庫中記錄的組策略版本(即GPC記錄的版本)和SYSVOL共享中記錄的組策略版本(即GPT的版本),AD版本號和SYSVOL版本號可能會因域控間數(shù)據(jù)同步不及時(shí)導(dǎo)致不一致。查看GPC屬性(通過ADSI編輯器)或直接查看GPT(通過gpt.ini文件)看到的版本號信息,則需要通過計(jì)算轉(zhuǎn)換。
GPC
這個(gè)版本號要轉(zhuǎn)換為二進(jìn)制,從左往右前四位代表用戶配置版本號,后四位代表計(jì)算機(jī)配置版本號。
如上圖所示,轉(zhuǎn)換后的16進(jìn)制為,因此ad上存儲的用戶配置組策略版本為0x007a,也就是122
計(jì)算機(jī)配置的版本為0x0007也就是7。我們查看真實(shí)的配置版本:
GPT
GPT通過gpt.ini文件存儲,里面的版本信息是組策略的sysvol的版本信息。用法是將其轉(zhuǎn)換為16進(jìn)制,從左往右前四位是用戶配置的sysvol版本號,右四位是計(jì)算機(jī)配置的sysvol版本號。
如上圖所示,轉(zhuǎn)換后的16進(jìn)制為,因此ad上存儲的用戶配置組策略版本為0x007a,也就是122
因此版本號為,用戶的是122,計(jì)算機(jī)的是7,都是sysvol,如下圖所示
注冊表中的組策略版本
當(dāng)前應(yīng)用的組策略信息位于State下的兩個(gè)節(jié)點(diǎn)中,分別是Machine節(jié)點(diǎn)包含了計(jì)算機(jī)配置應(yīng)用的組策略,里面的版本號就是計(jì)算機(jī)版本類型的版本號,當(dāng)前用戶SID節(jié)點(diǎn)下包含了用戶配置應(yīng)用的組策略,里面的版本號就是用戶版本類型的版本號,兩個(gè)節(jié)點(diǎn)下都包含有GPO-List,其下就是各自應(yīng)用的組策略。
ACL訪問控制列表
SACL與DACL構(gòu)成一個(gè)完整的ACL
ACL可以控制某個(gè)進(jìn)程是否可以對某個(gè)對象進(jìn)行“增刪改查”,也就是控制了某個(gè)進(jìn)程對訪問權(quán)限。windows會給沒個(gè)進(jìn)程創(chuàng)建訪問令牌(access token),而被訪問對對象在被創(chuàng)建對時(shí)候windows會給它一個(gè)安全描述符( ),ACL控制訪問權(quán)限主要跟這兩個(gè)參數(shù)有關(guān)。
ACL相當(dāng)于是一種計(jì)算機(jī)內(nèi)進(jìn)程想要訪問數(shù)據(jù)的時(shí)候都要遵守的約定。每當(dāng)一個(gè)進(jìn)程想要操作一個(gè)對象的時(shí)候,操作系統(tǒng)就查詢這個(gè)對象的安全描述符,然后再記錄下這個(gè)進(jìn)程的訪問令牌。現(xiàn)在操作系統(tǒng)就有兩種數(shù)據(jù),一個(gè)安全描述符,一個(gè)訪問令牌。這時(shí)候安全描述符就相當(dāng)于是一個(gè)手冊,訪問令牌就相當(dāng)于是程序的身份證,操作系統(tǒng)會在安全描述符里面查詢當(dāng)前程序的訪問令牌具有何種操作權(quán)限,ACL工作原理大概如此。
訪問令牌(access token)
當(dāng)用戶登陸成功時(shí),系統(tǒng)將為該用戶創(chuàng)建訪問令牌,每一個(gè)以該用戶權(quán)限運(yùn)行的進(jìn)程都會使用該訪問令牌的副本。訪問令牌中包含有 (SID),這個(gè)sid代表用戶的身份。操作系統(tǒng)根據(jù)進(jìn)程的訪問令牌來確定此進(jìn)程是否有進(jìn)行某項(xiàng)操作的權(quán)限。
根據(jù)維基百科的解釋,訪問令牌的內(nèi)容如下:
1.用戶帳戶的安全標(biāo)識符(SID)
2.用戶帳戶所屬的用戶群的SIDs
3.一個(gè)logon SID,標(biāo)識當(dāng)前登錄會話
4.用戶或用戶群的特權(quán)清單
5.所有者的SID
6.基本群的SID
7.當(dāng)用戶創(chuàng)建可安全對象( object)且沒有給出安全描述符時(shí),系統(tǒng)使用的缺省的自主訪問控制列表(DACL)
8.訪問令牌資源
9.是否為primary或 token
10.限制性SIDs的可選列表
11.當(dāng)前級別
12.其他統(tǒng)計(jì)
安全標(biāo)識符SID
SID分為兩種:
內(nèi)置SID
自動(dòng)分配SID
一般只需要了解內(nèi)置SID即可,內(nèi)置SID有:
格式:S-[修訂級別]-[權(quán)值]-[標(biāo)識符]
S-1-5-18 ()
S-1-5-19 ()
S-1-5-20 ()
S-1-5-32-544 ()
S-1-5-32-545 (Users)
S-1-5-32-550 ()
相對標(biāo)識符RID
一般指的是sid的最后一部分,也就是500,501等,不同的RID代表不同的身份。舉例如下:
格式:S-[修訂級別]-[權(quán)值]-[標(biāo)識符]-[相對標(biāo)識符]
S-1-5-21-xxxx-xxx-500 () 本地管理員
S-1-5-21-xxxx-xxx-501 (Guest) 本地來賓用戶
S-1-5-21-xxxx-xxx-1004 () 本地工作站、
安全描述符SD
安全描述符里存儲著對應(yīng)訪問令牌所具有的權(quán)限信息,說得簡單點(diǎn)就是有點(diǎn)類似于一個(gè)字典,不同的安全令牌對應(yīng)著不同的權(quán)限,這些是一一對應(yīng)的且都存儲在安全描述符內(nèi),而這個(gè)安全描述符在對象被創(chuàng)建的時(shí)候就生成了。
安全描述符大概有四個(gè)部分:
1.對象所有者 (SID) 的安全標(biāo)識符
2.對象的默認(rèn)組的 SID(一般沒啥用)
3.SACL 規(guī)定進(jìn)程對此對象執(zhí)行了某個(gè)操作(讀寫執(zhí)行)所記錄的日日志類型。
4.DACL 指出了允許和拒絕某用戶或用戶組對對象的某種操作。如果一個(gè)對象沒有DACL,那么就是說這個(gè)對象是任何人都可以擁有完全的訪問權(quán)限。
附錄:
gpedit.msc 打開本地組策略
/force 同步組策略
gpmc.msc 打開域內(nèi)組策略(只能在域控上執(zhí)行)
*請認(rèn)真填寫需求信息,我們會在24小時(shí)內(nèi)與您取得聯(lián)系。
