首页 > 其他分享 >学习笔记-组策略

学习笔记-组策略

时间:2022-11-05 15:16:19浏览次数:93  
标签:GPO 密码 组策略 SYSVOL 笔记 学习 Windows 本地

组策略


组策略的概念

组策略(英语:Group Policy)是微软 Windows NT 家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非域的计算机上管理组策略对象。

通过使用组策略,你可以设置策略设置一次,然后将该设置复制到多台计算机上。 例如,你可以在链接到域的 GPO 中设置多个 Internet Explorer11 安全设置,然后将所有这些设置应用到域中的每台计算机。

根据作用范围不同组策略可划分为多种,并且拥有自己的执行顺序和继承原则。

组策略应用顺序:

  • 首先应用本地组策略
  • 如果有站点组策略,则应用
  • 接着应用域策略
  • 最后应用 OU 上的策略
  • 如果同一个 OU 上链接了多个 GPO,则按照链接顺序从高到低逐个应用

本地组策略

LGP

Local Group Policy,缩写 LGP 或 LocalGPO 是组策略的基础版本,它面向独立且非域的计算机。至少 Windows XP 家庭版中它就已经存在,并且可以应用到域计算机。在 Windows Vista 以前,LGP 可以强制施行组策略对象到单台本地计算机,但不能将策略应用到用户或组。从 Windows Vista 开始,LGP 允许本地组策略管理单个用户和组,并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。

域策略

当机器安装了域环境的时候,系统管理工具会多出一个功能(组策略管理),通过它,域管理员能够很方便统一地对域内的机器和用户进行统一管理。

域管理员经常会面对一个这样的问题,域成员机子的默认本地管理员密码过于简单,想进行批量修改的时候,这个时候就可以利用组策略来进行任务的批量下发。

1.通过在域中下发脚本来执行
2.在组策略首选项 GPP 中进行设置
3.本地管理员密码解决方案:LAPS(不细说这个内容,这是解决这个问题很好的方案)

首先我们需要了解下 AD 域中两个默认的共享文件夹: SYSVOL NETLOGON

可以用 net share 查看共享文件夹

NETLOGON

NETLOGON 共享是 SYSVOL 目录中一个文件夹 Scripts 的共享名,顾名思义就是用来保存脚本信息的,是 AD 活动目录安装时候自动创建的。

挂载点: SYSVOL\domain\SCRIPTS


SYSVOL

每台 Windows 主机有一个内置的 Administrator 账户以及相关联的密码。大多数组织机构为了安全,可能都会要求更改密码,虽然这种方法的效果并不尽如人意。标准的做法是利用组策略去批量设置工作站的本地 Administrator 密码。但是这样又会出现另一个问题,那就是所有的电脑都会有相同的本地 Administrator 密码。也就是说,如果获取了一个系统的 Administrator 认证凭据,黑客就可以获取他们所有机器的管理权限。

解决办法之一是为认证数据采取 SYSVOL,SYSVOL 是 AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。SYSVOL 包括登录脚本,组策略数据,以及其他域控所需要的域数据,这是因为 SYSVOL 能在所有域控里进行自动同步和共享。

SYSVOL 在域中所有的域控制器之间复制。 Sysvol 文件夹是安装 AD 时创建的,它用来存放 GPO、Script 等信息。同时,存放在 Sysvol 文件夹中的信息,会复制到域中所有 DC 上。

所有的域组策略存储在: \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\

在域中,用户登录(计算机)时,会首先在 SYSVOL 文件查找 GPO 和启动脚本。同时,为了保证系统的正常运行,必须为 SYSVOL 保留足够的空间缓存,而且不能随意删除、改动该文件夹,要不然会出现一些组策略无法启用等报错信息。

该目录由于针对的是域内所有机器和用户,所以域内中的合法用户均可以访问和执行该目录的文件。(普通的域用户也可以)


GPO

gpmc.msc

组策略对象,GPO(Group Policy Object),实际上就是组策略设置的集合。你可以用 GPO 来存储不同的组策略信息,然后作用在指定 OU 或者指定作用范围发挥作用。

默认安装完 AD 之后,系统默认会存在两个组策略对象

Default Domain Policy

默认域策略

Windows Server 2008 为林中的每个域创建一个默认域策略 GPO。这个域是用于设置一些安全相关策略的主要方法,如密码过期和账户锁定等。

存放的路径: C:\Windows\SYSVOL\sysvol\test1.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}

唯一ID(GUID):{31B2F340-016D-11D2-945F-00C04FB984F9} (都是相同的)

Default Domain Controllers Policy

默认域控制器策略

管理目标“Domain Controllers”容器,影响“Domain Controllers”容器中的域控制器,域控制器账户单独保存在该容器中。

唯一ID(GUID):{6AC1786C-016F-11D2-945F-00C04FB984F9} (都是相同的)


GPP

在2006年,微软收购了桌面标准的“PolicyMaker”,并重新借此与 win2008 发布了 GPP(组策略首选项)用来完成很多组策略无法进行的系统及用用配置。其中 GPP 最有用的特性,是在某些场景存储和使用凭据,其中包括:

映射驱动(Drives.xml)
创建本地用户
数据源(DataSources.xml)
打印机配置(Printers.xml)
创建/更新服务(Services.xml)
计划任务(ScheduledTasks.xml)
更改本地 Administrator 密码

这对管理员非常有用,因为 GPP 提供了一个自动化机制,可以作为急需的解决方案(比如脚本)给他们。它提供了有效的方法,利用显式凭据结合组策略部署了计划任务,一次性批量更改了电脑的本地管理的密码。

组策略首选项借助了组策略对象(Group Policy Oject, GPO) 实现了对域中所有资源的管理。

GPP 里面自定义了很多操作,比如本地用户和组的密码控制、计划任务等


Source & Reference

点击关注,共同学习!
安全狗的自我修养

github haidragon

https://github.com/haidragon

标签:GPO,密码,组策略,SYSVOL,笔记,学习,Windows,本地
From: https://www.cnblogs.com/haidragon/p/16860207.html

相关文章

  • 学习笔记-ACL
    ACL什么是ACLwindows系统中的ACL(AccessControlList),用来表示组与用户权限的列表。比如文件、注册表的权限都包括ACL,它用来表示哪些组与用户具有操作权限,其实主要......
  • 学习笔记-PDB符号文件
    PDB符号文件什么是PDB文件PDB(ProgramDataBase),意即程序的基本数据,是VS编译链接时生成的文件。DPB文件主要存储了VS调试程序时所需要的基本信息,主要包括源文件......
  • 学习笔记-IPC$(Internet Process Connection)
    IPC$(InternetProcessConnection)IPC$的概念IPC$(InternetProcessConnection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名......
  • 第十周学习笔记
    第12章  块设备I/O和缓冲区管理一、主要内容1.块设备I/O缓冲区与内存访问相比,磁盘I/O速度较慢,所以不希望在每次执行读写文件操作时都执行磁盘I/O。因此,大多数文件系......
  • 学习笔记-WinRM
    WinRM什么是WinRMWindows远程管理(WinRM)是WS-ManagementProtocol的Microsoft实现。WS-Management协议是一种基于SOAP的防火墙友好协议,旨在用于系统查找和交换......
  • 学习笔记-Secure-Win
    Secure-Winwindows加固+维护+应急响应参考大纲文件可疑文件系统开机启动账号进程注册表日志系统日志日志工具第三方程序日志网络端口......
  • 学习笔记-PowerShell 笔记
    PowerShell笔记什么是PowerShellWindowsPowerShell是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用.NETFramework的强大功能.WindowsPowerS......
  • 学习笔记-Speed-Win
    Speed-Win大纲基础使用环境变量符号会话文件和目录查看创建删除查询修改链接网络管理IPC$查看网络信息网络排错工具RDP防火墙系统管......
  • 学习笔记- 角色权限
    角色权限用户帐户在Windowsvista或是windows7中,有两个级别的用户:标准用户和管理员.标准用户是计算机Users组的成员;管理员是计算机Administrators组的成员......
  • 学习笔记-内存管理
    内存管理注:笔记中拓扑图drawio源文件在其图片目录下更多内存相关知识点可见内存笔记Windows内存管理可概括为三大机制:虚拟地址空间管理;物理页面管理;......