組:權限相同的用戶集合
- 組的類型:
安全組:可以用於權限分配也可以用於郵件發佈
分佈組:只能用於右鍵分佈
- 作用範圍
本地域組:包含任意域內的用戶,全局組,通用組,本地域內的本地域組,只能訪問本域
全劇組:主要用於組織用戶,包含相同域內的用戶與全局組可以訪問所有域
通用組:主要用於組織用戶,包含所有域內的用戶,全局組,通用組,可以訪問所有域
- 組與用戶的管理原則
A:用戶賬號 G:全局組 DL:本地域組 P:權限
權限管理原則:
共享權限:限制用戶通過網絡訪問時的權限
安全權限:限制用戶通過本地以及網絡訪問時的權限
累加性:當一個用戶同時屬於多個組時,權限是累加的
繼承性:子文件夾會繼續繼承上級文件夾的權限
拒絕權限:當一個用戶同時屬於多個組時,一個允許一個拒絕,則拒絕優先
文件服務器:
組策略:主要是用於系統管理員管理和控制用戶賬號以及終端的功能。其目的是提升工作效率,減少工作負載。
組策略功能:
賬號策略: 密碼、賬號鎖定等
本地策略: 用戶權限、安全性的設備等
腳本策略: 開機、關機、登錄、註銷
軟件安裝與刪除: 軟件的安裝、更新、刪除
用戶的工作環境: 用戶的桌面、 系統設置等
其他: 移動介質、重定向等。
組策略可以設置到計算機,也可以設置用戶上
計算機策略: 當計算機開機時生效,DC5分鐘生效,非DC15生效。90-120分鐘自動刷新。
用戶策略: 當用戶登錄時生效,90-120分鐘自動刷新
強制刷新: gpupdate /force
/Target:{Computer | User}
只刷新用戶:gpupdate /target:user
組策略對象:GPO
GPO又包含 GPT、GPC
GPT:組策略模板,實際配置信息
GPC:組策略容器,屬性值(版本)
GPO可以放置在站點上、域上、OU上
應用到
組策略的規則:
1. 繼承性: 子對象繼承父對象的策略,子對象有權限拒絕繼承,也可以強制繼承。
2. 累加性: 父對象策略和子對象累加生效
3. 衝突: 站點<域<OU
實例: 針對域中所有用戶允許設置簡單密碼。
服務器管理器——工具——組策略——default domain policy——右鍵——編輯
設置最小密碼長度(值爲0),密碼複雜性(禁用)和密碼歷史(值爲0)
驗證:新建用戶jerry,密碼爲1
新建成功
實例: 針對域中HR的用戶,密碼錯誤三次後,鎖定15分鐘
組策略管理——HR——右鍵——第一個
右鍵——編輯
設置鎖定時間和閾值
更新組策略
使用jerry用戶輸入三次錯誤密碼,之後用戶既被鎖定
使用管理員登陸查看用戶的屬性
注:也可更改default domain policy的賬號策略實現以上實驗