域控 | 组策略

16 Mar 2018 •

活动目录域服务（Active Directory Domain Service）

标识名称（distinguished Name，DN）：它是对象在 Active Directory 内的完整路径，DN 有三个属性，分别是 CN,OU,DC

CN (Common Name)：           通用名称，一般为用户名（域账号）或计算机名（域成员机器）
OU (Organizational Unit)：   组织单位
DC (Domain Component)：      域名组件

域服务的命名与解析必须依赖DNS服务器，所以域控制器集成安装DNS服务。

创建域用户账户之后，可以直接到域内任意一台非域控制器的计算机上登录域；注意这里并没有在计算机的本地组内添加域用户，若是没有连接到域服务器，登录时会提示目前没有可用的登录服务器处理登录请求。

默认情况下，域用户可以登录域内任意一台非域控服务器的计算机，因为域管理员在新增用户时该域用户默认就会存在域用户组中（domain users），而默认加入域的域成员机器其本地的users组中包含了全局的domain users组成员，而域成员机器本地组策略中允许在本地登陆属性中包含了本地users组。

限制域用户只能登陆指定计算机有两种方法：1、设置某个域用户只能登陆到指定计算机 2、修改组策略：计算机配置–windows设置–安全设置–本地策略–用户权限分配，修改 “允许本地登陆” 中包含的组；可以在该属性中只允许本地管理员组用户登陆，然后把指定域用户加入到指定域成员机器本地管理员组。或者直接在该”允许本地登陆”中添加想要登陆的组或域成员

分配指定大小的磁盘空间：安装文件服务器，在配额模板设置限额，然后添加共享文件夹，在权限设置中将Everyone用户删除，添加域用户Domain Users，并赋予读写权限，配额选项中选择之前创建的模板；域用户属性的配置文件中添加主文件夹，选择连接，盘符可自定义，目录为服务器共享路径：

\\server\file\%username%  （server为服务器名，file为共享目录）

点应用时%username%会自动转换成域用户名称，同时在共享目录下创建一个域用户名的目录。域用户登录后可以看到一个限定配额的网络驱动盘。

管理域计算机

委派管理： Active Directory用户和计算机管理单元可以使用两种方式更新ACL来委派管理：

使用控制委派向导：它允许在域/组织单位级别委派新权限

使用“安全”选项卡：它允许委派或删除权限

打开“ADSI编辑器”，域属性列表中ms-DS-MachineAccountQuota的值为普通域用户允许添加的计算机帐户数量；如果在加域前创建计算机帐户并授权给特定域用户，则不受此限制。委派特定用户Client“将计算机加入域”权限，实质为Computers的安全选项卡权限“创建计算机对象”

普通用户将计算机加域，则此计算机帐户的”所有者”值为Domain Admins。如果是使用管理员赋予的权限加入域的，则此计算机帐户的”所有者”值就是加入域所使用的域用户帐户。假设委派了两位域用户UserA和UserB”将计算机加入域”即赋予了在Computers容器”创建计算机对象”的权限。然后，UserA成功加入了一台计算机PCA后离开，由于重装系统等原因UserB将同一计算机名加域，则会提示“拒绝访问”。因为UserA是PCA计算机帐户的”所有者”并拥有一系列在此计算机帐户上的权限（包括读取、更改密码），UserB由于不是域管理员，不能覆盖重写这个计算机帐户。

解决思路：

方法一、在Computers容器的安全选项卡权限中添加Client对“计算机对象”的一系列权限

方法二、将计算机帐户删除，再让Client去加域(如果没有委派Client加域权限，还需要重建此计算机帐户并授权)

方法三、将Client帐户添加到系统内置组Account Operators(附：这个组拥有用户、组、计算机对象的完全控制权限)

组策略（Group Policy）

组策略分为本地组策略和域组策略

Windows + R运行 gpedit.msc启动本地组策略

Windows + R运行 gpmc.msc启动域组策略；或者开始->管理工具->组策略管理

域组策略分为3类，按照执行顺序分别是站点、域名、OU；若是这3类组策略有冲突，后执行的为结果

Update Service

计算机配置->管理模板->Windows组件->Windows Update->指定Intranet Microsoft更新服务位置

密码策略

计算机配置->Windows设置->安全设置->帐户策略->密码策略

计算机管理组策略

用户配置->管理模板->Windows组件->Microsoft Management Console->受限的/许可的管理单元

资源管理器

用户配置->管理模板->Windows组件->Windows资源管理器->隐藏菜单上的“管理”项目

阻止访问命令提示符 阻止访问注册表编辑工具

用户配置->管理模板->系统

软件限制策略

目标：在公用计算机对每个用户允许运行的软件进行限制；企业内部计算机只允许运行特定的软件

计算机配置或用户配置->Windows设置->安全设置->软件限制策略->其他规则

可创建证书规则、哈希规则、网络区域规则、路径规则

证书规则可根据软件（数字签名）提取厂商证书；哈希规则根据具体的软件计算；~~网络区域规则基本忽略~~；路径规则可以让我们对安装在某个路径下的软件，或者需要访问某个注册表路径的软件进行控制。

如果要创建文件路径（可以是本地路径，例如C:\Windows；或者UNC格式的网络路径，例如\\Server\Folder），请直接在路径文本框中输入，或者单击“浏览”按钮进行选择；如果要创建注册表路径，请直接在路径文本框中输入。文件路径可以使用*和?通配符，同时还可以使用环境变量。

在给文件路径规则使用通配符的时候需要注意，如果同一个路径，有不同的路径规则进行控制，那么越具体的路径设置可以获得越高的优先级。例如，我们利用文件规则对*.vbs格式的文件禁止运行，但又通过文件路径规则对\\LOGIN_SRV\Share\*.VBS设置为“不受限的”，那么这些保存在特定服务器上的.vbs文件将可以正常运行，但其他位置保存的.vbs文件就无法运行。

在输入注册表路径的时候需要注意，输入的路径必须用半角的百分号%包裹起来，同时必须输入完整的根键名称，不能输入缩写。路径格式举例：

%HKEY_LOCAL_MACHINE\Software\Microsoft%

Usb限制

Bios/UEFI 禁用，同时设置管理密码。主板CR2032钮扣电池断电可重置。

计算机配置->Windows设置->安全设置->文件系统，添加以下文件以限制访问

%SystemRoot%\Inf\Usbstor.pnf 和 %SystemRoot%\Inf\Usbstor.inf

设备管理器查看“便携设备”以及“通用串行总线控制器->USB 大容量存储设备”的硬件ID。配置组策略：计算机配置->管理模板->系统->可移动存储访问或设备安装