中财网黑冰汪静雯:活动目录、域及组策略 - Windows Server - WinOS中文技术论坛 专注微...
来源:百度文库 编辑:中财网 时间:2024/05/05 08:16:00
活动目录、域及组策略
活动目录、域和组策略在很多用户那里都有所运用,如果刚开始接触这些内容时难免会觉得很复杂,这主要是因为专业名词太多,同时也许个人心理因素上存在畏难情绪,因此,在和客户交流过程中,有些发蒙,觉得底气不足,无法和客户继续沟通下去,也就无法了解客户企业完整的网络架构,那就无法从客户的实际环境出发,帮助客户提出一个完备的解决方案。因此,今天我在这里对一些专业术语、易混淆的地方以及本人认为是难点的地方做一简单诠释,主要是做一个抛砖引玉,希望各位同仁指正。
活动目录
活动目录存储整个网络上资源的信息,便于用户查找、管理和使用这些资源。活动目录是Windows 2000网络中的目录服务。它存储关于网络资源的信息,并使用户或应用程序可以访问这些资源。活动目录使物理网络拓扑和协议透明化,这样网络上的用户可以访问任何资源,而不需要知道资源在什么地方,或物理上它是如何连接到网络上的。
以前我们访问网络资源,一是通过网上邻居,选择某个工作组,进入你所要访问的计算机,并且还需要目标计算机的用户名和密码才能访问上面的资源。或者通过IPC$,输入目标计算机的IP地址和访问盘符,但是同样需要目标计算机的用户名和密码。而通过活动目录,管理员可以把分布在网络各处各台计算机上的资源,比如打印机、共享文件,分门别类的放在一起。活动目录提供对网络资源集中控制,允许用户只登录一次就可以访问整个活动目录的资源了。用户打开网络邻居,所见到的不再是计算机,而是一个个目录文件夹形式:放着打印机资源的目录文件夹名称叫做打印机,技术部门的所有共享文件放在一个称做技术资料的目录文件夹中。这就是活动目录名字的由来。
活动目录的对象代表网络资源,如用户、组、计算机和打印机。而且,网络中所有的服务器、域和站点都作为对象。因为活动目录代表了所有网络资源,只需要一个管理员就可以管理这些资源。
名词解释:
轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)
LDAP是用于查询和更新活动目录的目录服务协议。它表明,一个活动目录对象可以由一系列域组件,OU和普通名字来代表,它们组成了活动目录中的命名路径。包括标识名和相对标识名。标识名确定了对象所在的域和可以找到对象的完整路径。比如:yanyi.technology.centerm.com就是一个标识名,在LDAP中表示为CN=yanyi,OU=technology,DC=centerm,DC=com。
名字 属性 描述
DC 域组件 DNS名字的域组件,如com
OU 组织单元 用来包容其他对象的容器
CN 普通名字 除了DC和OU的所有对象,如用户和计算机对象
域(Domain) 域是活动目录中逻辑结构的核心单元。一个域包含许多台计算机,它们由管理者设定,共用一个目录数据库。一个域有一个唯一的名字,给那些由域管理者集中管理的用户帐号和组帐号提供访问通道。
安全边界( Secutory BOUndary)
在Windows 2000网络中,域起着安全边界的作用。安全边界的作用就是保证域的管理者只能在该域里有必要的管理权限。每个域都有自己的安全策略和与其他域的安全联系方式。
复制单元(Unit of Replication)
域同时也是一个复制单元。在域中,作为域控制器的计算机包含活动目录的副本。在一个域中,所有域控制器都能够得到活动目录中的变化信息,并把这些变化复制给该域中的其它控制器。(在一个域中,一般都会有两个域控制器,称做DC)。
组织单元(Organizational Units.OU)
一个组织单元就是一个可以把对象组织到一个域内的容器对象。一个OU可以包含的对象有用户帐号,组,计算机,打印机和其它OU。
OU的引入,可以帮助建立基于管理责任的网络管理模型。例如,一个组织可以由一个管理员来负责所有用户的帐户,由另一个管理员负责所有计算机。因此,在这个事例中,可以分别建立一个用户OU和一个计算机OU。另外,我们可以对不同的OU设置不同的组策略进行管理。
组策略(Group Policy)
生产上的损失经常是由于用户错误产生的。通过使用组策略来减少用户环境的复杂性,并减小用户不正确得配置这些环境的可能性,可以提高生产率并减少网络所需的技术支持,从而,降低了物主的总体拥有成本。这也是我们推行Windows 终端一直强调的要点,所以,终端和组策略紧密配合,将提高我们工作效率,增强对客户的说服力。因此,掌握组策略,对我们而言是很重要的。
组策略可以应用在整个网络中,也可以仅将它应用在某个特定的用户或计算机小组上。
组策略的设置类型包括:
管理模板。 用户可以获得访问的操作系统的组件和应用程序、控制面板的访问权限以及用户离线文件的控制。
安全性。即配置本地计算机、域以及网络安全性设置的设置。例如密码策略、IP策略等。
软件安装。即软件安装、升级、卸载的集中化管理的设置。
命令。即当Windows 2000 运行特定命令时的指定设置。当计算机开机、关机或者当用户登录或退出登录时可以指定命令。
远程安装服务。即当运行远程安装服务(RIS)的远程安装向导时控制用户可能的选项设置。
Internet Explorer维护。管理和定制基于Windows 2000计算机的Internet Explorer设置。
文件夹重定向。即在网络服务器上存储用户个性化文件夹的位置。这些设置在个性化里创建一个和网络共享文件夹的连接,但文件夹在本地显示。用户可以在网络中的任何一台计算机上对该文件夹进行访问。
组策略包括计算机的组策略设置和用户的组策略设置。计算机相关的组策略应用在操作系统初始化和周期性更新循环过程中。用户相关的组策略应用在用户登录计算机和周期性更新循环过程中。
GPO称做组策略对象。
组策略的继承性
组策略的继承性包括Windows 2000在活动目录中处理GPO的顺序,以及在连接到母容器的GPO中的组策略的继承性。
组策略的执行GPO的顺序是建立在GPO所连接的活动目录容器的基础上的。GPO首先应用于离用户和计算机最远的站点上,然后应用于域,最后是OU。因此,作为成员的用户和计算机的OU的组策略设置是最后执行的组策略设置。
默认GPO是被继承的。继承流程是沿着活动目录从站点到域然后到OU。
如果一个域中存在多个组策略,那么就很有可能出现组策略设置间存在冲突问题。大多数场合下,计算机设置高于用户设置。
当冲突发生时,确定执行哪个组策略设置的原则:
来自母容器的GPO设置和来自子容器的GPO设置冲突。这种情况下,子容器的设置后执行而发挥作用。
连接到同一容器上的不同GPO设置发生冲突。这种情况下,在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用。当然,通过改变GPO列表的顺序,可以改变最终发挥作用的GPO设置。
组策略回送处理模式(Loopback Processing Mode)
组策略以某种方式应用于用户或计算机,而这种方式取决于用户和计算机对象位于 Active Directory 中的什么位置。 但在某些情况下,用户可能需要仅根据计算机对象的位置来应用策略。 要想仅根据用户登录到哪个计算机来应用组策略对象 (GPO),可以使用组策略回送处理模式。
该策略将指示系统把该计算机的 GPO 集合应用于登录到受该策略影响的计算机的所有用户。 该策略特别适用于特殊用途的计算机,在这些地方,必须根据使用的计算机来修改用户策略,例如,位于公共场合、实验室和教室中的计算机。
当用户在自己的工作站上工作时,可能希望根据用户对象的位置来应用组策略设置。 因此,以用户帐户所在的组织单元 (OU) 为单位来配置策略设置。 但是,有可能出现这样的情况:计算机对象驻留在指定的 OU 中,而且根据计算机对象而不是用户对象来应用策略中的用户设置。
根据正常的组策略处理过程的指定,OU 中的计算机是在计算机启动期间按顺序来应用 GPO 的。 而 OU 中的用户则是在登录期间按顺序来应用 GPO 的,这与他们登录的是哪个计算机无关。
某些情况下,该处理顺序可能是不合适的,例如,一些应用程序已被指派或发布给在某些 OU 中的用户,但当他们登录到在某个特定 OU 中的计算机时,您并不想让这些应用程序安装在该计算机上。 使用组策略回送处理支持功能,可以指定采用其它方式来为这个特定 OU 中的计算机的任何用户检索出针对他们的 GPO 列表,这些方式包括:
合并模式
在该模式中,当用户登录时,将通过使用 GetGPOlist 函数正常收集用户的 GPO 列表。 然后,再次调用 GetGPOlist 函数,在这次调用中使用计算机在 Active Directory中的位置。 然后,计算机的 GPO 列表被添加到用户 GPO 的末尾。 这将导致计算机的 GPO 具有比用户的 GPO 更高的优先权。 在该例中,计算机的 GPO 列表被添加到了用户的列表中。
替代模式
在该模式中,不收集用户的 GPO 列表。 只使用基于计算机对象的 GPO 列表。
活动目录、域和组策略在很多用户那里都有所运用,如果刚开始接触这些内容时难免会觉得很复杂,这主要是因为专业名词太多,同时也许个人心理因素上存在畏难情绪,因此,在和客户交流过程中,有些发蒙,觉得底气不足,无法和客户继续沟通下去,也就无法了解客户企业完整的网络架构,那就无法从客户的实际环境出发,帮助客户提出一个完备的解决方案。因此,今天我在这里对一些专业术语、易混淆的地方以及本人认为是难点的地方做一简单诠释,主要是做一个抛砖引玉,希望各位同仁指正。
活动目录
活动目录存储整个网络上资源的信息,便于用户查找、管理和使用这些资源。活动目录是Windows 2000网络中的目录服务。它存储关于网络资源的信息,并使用户或应用程序可以访问这些资源。活动目录使物理网络拓扑和协议透明化,这样网络上的用户可以访问任何资源,而不需要知道资源在什么地方,或物理上它是如何连接到网络上的。
以前我们访问网络资源,一是通过网上邻居,选择某个工作组,进入你所要访问的计算机,并且还需要目标计算机的用户名和密码才能访问上面的资源。或者通过IPC$,输入目标计算机的IP地址和访问盘符,但是同样需要目标计算机的用户名和密码。而通过活动目录,管理员可以把分布在网络各处各台计算机上的资源,比如打印机、共享文件,分门别类的放在一起。活动目录提供对网络资源集中控制,允许用户只登录一次就可以访问整个活动目录的资源了。用户打开网络邻居,所见到的不再是计算机,而是一个个目录文件夹形式:放着打印机资源的目录文件夹名称叫做打印机,技术部门的所有共享文件放在一个称做技术资料的目录文件夹中。这就是活动目录名字的由来。
活动目录的对象代表网络资源,如用户、组、计算机和打印机。而且,网络中所有的服务器、域和站点都作为对象。因为活动目录代表了所有网络资源,只需要一个管理员就可以管理这些资源。
名词解释:
轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)
LDAP是用于查询和更新活动目录的目录服务协议。它表明,一个活动目录对象可以由一系列域组件,OU和普通名字来代表,它们组成了活动目录中的命名路径。包括标识名和相对标识名。标识名确定了对象所在的域和可以找到对象的完整路径。比如:yanyi.technology.centerm.com就是一个标识名,在LDAP中表示为CN=yanyi,OU=technology,DC=centerm,DC=com。
名字 属性 描述
DC 域组件 DNS名字的域组件,如com
OU 组织单元 用来包容其他对象的容器
CN 普通名字 除了DC和OU的所有对象,如用户和计算机对象
域(Domain) 域是活动目录中逻辑结构的核心单元。一个域包含许多台计算机,它们由管理者设定,共用一个目录数据库。一个域有一个唯一的名字,给那些由域管理者集中管理的用户帐号和组帐号提供访问通道。
安全边界( Secutory BOUndary)
在Windows 2000网络中,域起着安全边界的作用。安全边界的作用就是保证域的管理者只能在该域里有必要的管理权限。每个域都有自己的安全策略和与其他域的安全联系方式。
复制单元(Unit of Replication)
域同时也是一个复制单元。在域中,作为域控制器的计算机包含活动目录的副本。在一个域中,所有域控制器都能够得到活动目录中的变化信息,并把这些变化复制给该域中的其它控制器。(在一个域中,一般都会有两个域控制器,称做DC)。
组织单元(Organizational Units.OU)
一个组织单元就是一个可以把对象组织到一个域内的容器对象。一个OU可以包含的对象有用户帐号,组,计算机,打印机和其它OU。
OU的引入,可以帮助建立基于管理责任的网络管理模型。例如,一个组织可以由一个管理员来负责所有用户的帐户,由另一个管理员负责所有计算机。因此,在这个事例中,可以分别建立一个用户OU和一个计算机OU。另外,我们可以对不同的OU设置不同的组策略进行管理。
组策略(Group Policy)
生产上的损失经常是由于用户错误产生的。通过使用组策略来减少用户环境的复杂性,并减小用户不正确得配置这些环境的可能性,可以提高生产率并减少网络所需的技术支持,从而,降低了物主的总体拥有成本。这也是我们推行Windows 终端一直强调的要点,所以,终端和组策略紧密配合,将提高我们工作效率,增强对客户的说服力。因此,掌握组策略,对我们而言是很重要的。
组策略可以应用在整个网络中,也可以仅将它应用在某个特定的用户或计算机小组上。
组策略的设置类型包括:
管理模板。 用户可以获得访问的操作系统的组件和应用程序、控制面板的访问权限以及用户离线文件的控制。
安全性。即配置本地计算机、域以及网络安全性设置的设置。例如密码策略、IP策略等。
软件安装。即软件安装、升级、卸载的集中化管理的设置。
命令。即当Windows 2000 运行特定命令时的指定设置。当计算机开机、关机或者当用户登录或退出登录时可以指定命令。
远程安装服务。即当运行远程安装服务(RIS)的远程安装向导时控制用户可能的选项设置。
Internet Explorer维护。管理和定制基于Windows 2000计算机的Internet Explorer设置。
文件夹重定向。即在网络服务器上存储用户个性化文件夹的位置。这些设置在个性化里创建一个和网络共享文件夹的连接,但文件夹在本地显示。用户可以在网络中的任何一台计算机上对该文件夹进行访问。
组策略包括计算机的组策略设置和用户的组策略设置。计算机相关的组策略应用在操作系统初始化和周期性更新循环过程中。用户相关的组策略应用在用户登录计算机和周期性更新循环过程中。
GPO称做组策略对象。
组策略的继承性
组策略的继承性包括Windows 2000在活动目录中处理GPO的顺序,以及在连接到母容器的GPO中的组策略的继承性。
组策略的执行GPO的顺序是建立在GPO所连接的活动目录容器的基础上的。GPO首先应用于离用户和计算机最远的站点上,然后应用于域,最后是OU。因此,作为成员的用户和计算机的OU的组策略设置是最后执行的组策略设置。
默认GPO是被继承的。继承流程是沿着活动目录从站点到域然后到OU。
如果一个域中存在多个组策略,那么就很有可能出现组策略设置间存在冲突问题。大多数场合下,计算机设置高于用户设置。
当冲突发生时,确定执行哪个组策略设置的原则:
来自母容器的GPO设置和来自子容器的GPO设置冲突。这种情况下,子容器的设置后执行而发挥作用。
连接到同一容器上的不同GPO设置发生冲突。这种情况下,在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用。当然,通过改变GPO列表的顺序,可以改变最终发挥作用的GPO设置。
组策略回送处理模式(Loopback Processing Mode)
组策略以某种方式应用于用户或计算机,而这种方式取决于用户和计算机对象位于 Active Directory 中的什么位置。 但在某些情况下,用户可能需要仅根据计算机对象的位置来应用策略。 要想仅根据用户登录到哪个计算机来应用组策略对象 (GPO),可以使用组策略回送处理模式。
该策略将指示系统把该计算机的 GPO 集合应用于登录到受该策略影响的计算机的所有用户。 该策略特别适用于特殊用途的计算机,在这些地方,必须根据使用的计算机来修改用户策略,例如,位于公共场合、实验室和教室中的计算机。
当用户在自己的工作站上工作时,可能希望根据用户对象的位置来应用组策略设置。 因此,以用户帐户所在的组织单元 (OU) 为单位来配置策略设置。 但是,有可能出现这样的情况:计算机对象驻留在指定的 OU 中,而且根据计算机对象而不是用户对象来应用策略中的用户设置。
根据正常的组策略处理过程的指定,OU 中的计算机是在计算机启动期间按顺序来应用 GPO 的。 而 OU 中的用户则是在登录期间按顺序来应用 GPO 的,这与他们登录的是哪个计算机无关。
某些情况下,该处理顺序可能是不合适的,例如,一些应用程序已被指派或发布给在某些 OU 中的用户,但当他们登录到在某个特定 OU 中的计算机时,您并不想让这些应用程序安装在该计算机上。 使用组策略回送处理支持功能,可以指定采用其它方式来为这个特定 OU 中的计算机的任何用户检索出针对他们的 GPO 列表,这些方式包括:
合并模式
在该模式中,当用户登录时,将通过使用 GetGPOlist 函数正常收集用户的 GPO 列表。 然后,再次调用 GetGPOlist 函数,在这次调用中使用计算机在 Active Directory中的位置。 然后,计算机的 GPO 列表被添加到用户 GPO 的末尾。 这将导致计算机的 GPO 具有比用户的 GPO 更高的优先权。 在该例中,计算机的 GPO 列表被添加到了用户的列表中。
替代模式
在该模式中,不收集用户的 GPO 列表。 只使用基于计算机对象的 GPO 列表。
活动目录组策略应该
什么是Windows域,集群,活动目录?
WINDOWS活动目录的作用?
活动目录和域
在windows活动目录中有几种服务器
AD(活动目录的安装及设置及问题点?
windows组策略问题。谢谢。
安装活动目录后,所有策略都变成没有定义,请问高手,怎么解决
活动目录
活动目录
windows xp 如何安装Active Directory(活动目录)?
活动目录和域的关系
这个组策略的文件目录在什么地方
关于windows xp组策略的问题
如何恢复windows 2000中的组策略
windows MS是不是没有组策略?
windows 2003 Server 恢复组策略
怎么进入windows的“组策略”
Windows xp 家庭版组策略的问题
windows xp怎么进组策略编辑器
使用WINDOWS XP组策略修改系统配置
“通用组、全局组、域本地组”怎么理解?关于活动目录的。
什么是活动目录
什么是活动目录???急~~~