【网络安全】服务基础第一阶段——第十节：Windows系统管理基础---- 组策略高级应用

一、组策略的基本概念

1.1 组策略的基本概念

1.1.1 组策略对象

1.2 配置

1.2.1 计算机配置（Computer Configuration）

1.2.2 用户配置（User Configuration）

1.3 作用范围

1.4 继承和优先级

1.4.1 继承（Inheritance）

1.4.2 优先级（Precedence）

1.5 组策略的功能

1.5.1 安全性管理（Security Management）

1.5.2 软件管理（Software Management）

1.5.3 登录/注销脚本（Logon/Logoff Scripts）

1.5.4 磁盘和用户环境管理（Disk and User Environment Management）

1.5.5 网络设置（Network Settings）

1.5.6 设备限制（Device Restrictions）

1.5.7 远程桌面服务（Remote Desktop Services）

1.5.8 系统服务管理（System Services Management）

1.5.9 模板和配置（Templates and Configuration）

1.5.10 组策略首选项（Group Policy Preferences）

1.5.11 组策略报告（Group Policy Reporting）

1.6 组策略管理工具

1.6.1 组策略管理控制台（Group Policy Management Console, GPMC）

1.6.2 组策略编辑器（Group Policy Editor, GPEdit.msc）

1.7 LSDOU

1.8 策略应用

1.8.1 默认情况

1.8.2 下级OU设置了阻⽌继承

1.8.3 上级设置了强制

实验一、计算机配置

实验二：用户配置

实验三、配置组策略下发

实验五、配置组策略阻止继承与强制

一、组策略的基本概念

组策略（Group Policy）是微软Windows操作系统中用来控制工作环境的用户和计算机账户的一种集中管理工具。通过组策略，管理员可以控制用户的工作环境，包括安全设置、软件安装、桌面设置、网络配置、用户权限等。

1.1 组策略的基本概念

1.1.1 组策略对象

定义：组策略对象（Group Policy Object，简称GPO）是组策略的核心单位，包含管理员定义的各种配置设置。GPO可以应用到特定的用户、计算机或整个单位（OU）
内容：每个GPO包含两部分：计算机配置和用户配置
存储位置：GPO被存储在AD域控制器的Sysvol文件夹中，以确保所有域控制器的组策略是同步的

1.2 配置

1.2.1 计算机配置（Computer Configuration）

应用范围：计算机配置部分的策略应用于计算机，不论登录到该计算机的用户是谁。这些策略在计算机启动时和系统启动时的背景环境中应用。
主要模块：
- 软件设置：用于部署、更新或移除软件。
- Windows 设置：包括安全设置、脚本、系统服务、设备设置等。
- 管理模板：用于配置操作系统和应用程序的详细设置。
- 网络配置：设置网络选项，如WINS、DNS、IP配置等。
- 系统服务：管理系统服务的启动类型和状态

1.2.2 用户配置（User Configuration）

应用范围：用户配置部分的策略应用于用户，不论用户登录到哪个计算机。这些策略在用户登录时应用。
主要模块：
- 软件设置：用于为用户部署软件或设置软件选项。
- Windows 设置：包括用户登录脚本、远程桌面服务设置、文件夹重定向等。
- 管理模板：用于控制用户界面和操作系统行为的设置。
- 安全设置：定义用户级别的安全策略，如账户权限、文件系统加密等。
- 配置文件：管理用户配置文件和连接设置

1.3 作用范围

域：在AD中，组策略可以应用到域内所有的用户和计算机，确保统一的配置
组织单位（OU）：组策略可以细化到某个特定的OU，管理该OU内的用户和计算机
本地计算机：即使计算机不在AD域内，Windows操作系统也支持本地组策略，但其功能比域内的组策略有限

1.4 继承和优先级

1.4.1 继承（Inheritance）

定义：组策略的继承是指子组织单位（OU）自动接收其父OU中应用的策略。这种机制允许管理员在较高层次（如域级别）设置通用策略，而这些策略会自动应用到下层的OU中。
应用：当一个GPO链接到OU时，该OU内的所有对象（用户和计算机）都会接收到该策略，除非被更具体的位置覆盖。

1.4.2 优先级（Precedence）

定义：当多个GPO应用于同一对象时，它们的优先级决定了哪些设置将被应用。优先级基于GPO应用的位置和特定的规则。
层次应用：
- 站点级别：站点级别的GPO具有最高的优先级，因为它们直接关联到网络的物理结构。
- 域级别：域级别的GPO优先于OU级别的GPO。
- OU级别：在OU级别，多个GPO可能会应用到同一对象，它们的优先级由它们在GPMC中的顺序决定，列表上方的GPO具有更高的优先级。

强制策略（Enforced Settings）

定义：在GPO中，可以设置为“强制”，这意味着即使子OU的GPO设置了“阻止继承”，该GPO也会被应用。
应用：通常用于确保关键策略在组织中被执行，无论它们位于OU结构的哪个部分。

阻止继承（Block Inheritance）

定义：OU可以设置为“阻止继承”，这意味着从父OU继承的GPO将不会应用到该OU及其子OU。
应用：用于创建一个“隔离区”，在该区域内可以应用特定的策略，而不会受到上级OU策略的影响。

阻止策略应用（Block Policy Inheritance）

定义：在OU级别，可以设置为“阻止策略应用”，这意味着从上级OU继承的GPO将不会应用到该OU。
应用：用于确保某个OU只应用特定的GPO，而不会受到其他GPO的影响

1.5 组策略的功能

1.5.1 安全性管理（Security Management）

账户策略：定义密码策略、账户锁定策略和 Kerberos 策略。
本地策略：配置审核策略、用户权限分配和安全选项。
软件限制策略：控制可执行文件的运行，防止未授权的软件执行。

1.5.2 软件管理（Software Management）

软件安装：通过组策略自动安装、更新或卸载软件。
软件更新：管理Windows更新和其他应用程序的自动更新。
应用程序控制：使用AppLocker或Software Restriction Policies限制用户可以运行的应用程序。

1.5.3 登录/注销脚本（Logon/Logoff Scripts）

登录脚本：在用户登录时运行的脚本，用于初始化用户环境。
注销脚本：在用户注销时运行的脚本，用于清理用户环境。

1.5.4 磁盘和用户环境管理（Disk and User Environment Management）

文件夹重定向：将用户的文档、桌面等文件夹重定向到网络位置。
磁盘配额：在NTFS文件系统上设置磁盘配额，管理用户磁盘使用。
环境变量：管理用户和系统的环境变量。

1.5.5 网络设置（Network Settings）

网络配置：配置DNS、WINS、IP设置和其他网络选项。
VPN和拨号连接：创建和管理虚拟私人网络（VPN）和拨号连接。
无线设置：配置无线网络设置和连接。

1.5.6 设备限制（Device Restrictions）

可移动存储访问：限制对可移动存储设备的访问，如USB驱动器。
设备安装：控制用户是否可以安装新设备或更改设备设置。
打印机管理：管理网络打印机的部署和权限

1.5.7 远程桌面服务（Remote Desktop Services）

远程桌面设置：配置远程桌面连接和远程协助设置。

1.5.8 系统服务管理（System Services Management）

服务控制：启动、停止或禁用系统服务。
任务调度：使用任务计划程序安排任务的执行。

1.5.9 模板和配置（Templates and Configuration）

管理模板：使用管理模板配置操作系统和应用程序的详细设置。
注册表设置：通过组策略修改注册表项。

1.5.10 组策略首选项（Group Policy Preferences）

驱动器映射：自动映射网络驱动器。
用户配置文件：管理用户配置文件的设置。

1.5.11 组策略报告（Group Policy Reporting）

结果集：查看组策略的应用结果，包括哪些策略被应用到哪些用户和计算机。
模型策略：在应用之前测试组策略的效果

1.6 组策略管理工具

1.6.1 组策略管理控制台（Group Policy Management Console, GPMC）

概述：GPMC 是一个功能强大的Microsoft Management Console (MMC) 管理单元，它提供了一个用户友好的界面来管理和配置组策略。
功能：
- 创建和管理GPOs。
- 将GPOs链接到不同的Active Directory容器，如域、组织单位（OU）和站点。
- 查看和管理GPO的继承和冲突。
- 使用“组策略结果集”工具查看GPO应用的结果。
- 备份和恢复GPOs。
- 委派管理权限，允许特定的用户或组管理特定的GPOs。
- 使用“组策略建模”工具来测试和模拟GPO的应用效果。

1.6.2 组策略编辑器（Group Policy Editor, GPEdit.msc）

概述：GPEdit.msc 是一个轻量级的工具，允许管理员直接编辑和配置GPOs的设置。
功能：
- 查看和修改计算机配置和用户配置的策略。
- 编辑安全设置，如账户策略和本地策略。
- 配置软件安装设置，包括新软件的部署和现有软件的更新。
- 管理Windows设置，如脚本、文件夹重定向和远程桌面服务。
- 编辑管理模板，这些模板包含了用于配置操作系统和应用程序的策略

1.7 LSDOU

“LSDOU”是指组策略的应用顺序，在域环境中，组策略按照以下顺序应用：

Local（本地组策略）
Site（站点组策略）
Domain（域组策略）
Organizational Unit（组织单位OU）

这意味着：

本地组策略：首先应用本地计算机上的组策略
站点组策略：然后应用与计算机所在站点相关联的组策略
域组策略：接着应用整个域范围内的组策略
OU组策略：最后应用与用户或计算机所在的组织单元（OU）相关的组策略

冲突解决原则：在不同层次的策略发生冲突时，后应用的策略会覆盖前面应用的策略，“后应用的后生效”

1.8 策略应用

1.8.1 默认情况

上级OU：桌⾯：aa 运⾏：删除

下级OU：桌⾯：未配置运⾏：不删除

下级OU⽤户结果：桌⾯：aa 运⾏：不删除

1.8.2 下级OU设置了阻⽌继承

上级OU：桌⾯：aa 运⾏：删除

下级OU：桌⾯：未配置运⾏：不删除

下级OU⽤户结果：桌⾯：未配置运⾏：不删除

1.8.3 上级设置了强制

上级OU：桌⾯：aa 运⾏：删除

下级OU：桌⾯：未配置运⾏：不删除

下级OU的⽤户结果：桌⾯：aa 运⾏：删除

实验一、计算机配置

需求描述：财务部员工位于OU“财务部”中，要求财务部的所有计算机都要自动下载并安装系统补丁

步骤1:在Active Directory中创建OU“财务部”并将财务部员工加入OU

打开Active Directory用户和计算机（运行dsa.msc）
在域中右键点击需要创建 OU 的位置（例如域的根目录ADtest.com），选择新建＞组织单位。命名为“财务部”，点击确定。
将财务部员工用户添加到“财务部”OU，如果财务部的用户己经存在，可以将这些用户移动到新创建的“财务部”OU（在 Active Directory 用户和计算机中，找到现有用户账户，右键点击用户并选择移动，然后选择新创建的“财务部”OU；如果需要创建新的用户，可以在“财务部”0U中右键点击新建＞用户，按照提示输入用户信息）

这里的防止容器被意外删除是为了避免配置丢失，但选中后会导致组策略无法移动更改，在本实验中我就不勾选了

步骤2:为“财务部”创建组策略以自动安装系统补丁

打开组策略管理控制台（GPMC）：打开服务器管理器，点击工具＞组策略管理。
创建新的组策略对象（GPO）：在组策略管理控制台中，展开域，找到刚才创建的“财务部”OU。
右键点击“财务部”OU，选择在此域中创建 GPO 并将其链接到此处。
为该 GPO命名，例如“财务部自动系统更新”，然后点击确定。
编辑 GPO：在组策略管理控制台中，右键点击刚才创建的 GPO，选择编辑。在组策略管理编辑器中，导航到以下路径：计算机配置>策略＞管理模板 >Windows 组件>Windows 更新
配置自动系统更新：在"Windows 更新”中，双击配置自动更新选项。
在弹出的窗口中选择已启用，然后在“配置自动更新”下拉菜单中选择合适的自动更新选项：例如，选择自动下载并按照计划安装，并设置具体的安装时间。点击确定以应用设置
其他 Windows 更新设置（可选）：指定 Intranet Microsoft 更新服务位置：如果公司有自己的 WSUS （Windows Server UpdateServices），可以通过该选项指定 WSUS服务器地址，这样计算机会从内部服务器而不是直接从互联网载更新。不自动重新启动已登录用户的计算机：可以配置策略确保更新完成后不会强制重启正在使用的计算机

选择配置自动更新，在选项中还可以配置一些设置，如更新的频率等，编辑完成后选择应用并确定

步骤3:应用和测试组策略

强制更新组策略：在客户端计算机上，以管理员身份打开命令提示符，运行以下命令以立即应用组策略：gpupdate / force
验证组策略生效：登录到财务部中的某台计算机，打开 Windows 更新设置页面，检查系统是否按照组策略配置来自动处理更新。
检查组策略是否正确应用，可以在命令提示符中运行以下命令查看应用的组策略：gpresult /r

首先在你已经加入域的客户机上登陆财务账户

以管理员身份打开CMD，强制更新组策略，并检查组策略是否正确

注意事项：

确保计算机位于“财务部”0U：这些策略仅会应用到属于“财务部”OU的计算机，因此必须确保所有财务部的计算机都在该 OU 中。如果没有，可以通过 Active Directory 用户和计算机将这些计算机对象移动到“财务部”OU
权限问题：确保您具有足够的权限（如域管理员权限）来创建 OU 和配置组策略。
网络连接要求：确保计算机能够访问 Windows 更新服务或内部 WSUS 服务器，并有合适的网络权限下载更新

实验二：用户配置

需求描述：销售部员工禁止访问控制面板和PC设置

步骤1：确保销售部员工在“销售部”OU中

创建0U（如果尚未创建）：打开 Active Directory 用户和计算机（dsa. msc）
在你的域中，右键点击你希望创建“销售部”0U的容器（例如根域名），选择新建＞组织单位，命名为”销售部”，点击确定。
将销售部员工添加到“销售部”OU：在“销售部”0U中右键选择新建＞用户来创建新的用户，或者将现有用户从其他 OU 移动到“销售部”OU中。
如果是现有用户，可以在域的用户列表中找到这些用户，右键点击并选择移动，将他们移到“销售部”OU

步骤2:创建并配置组策略对象（GPO）

打开组策略管理控制台（GPMC）：打开服务器管理器，点击工具＞组策略管理
创建新的 GPO：在组策略管理控制台中，找到你的域，在“域”下展开，找到“销售部”0U
右键点击“销售部”OU，选择在此域中创建 GPO 并将其链接到此处。
为新 GPO 命名，例如“禁止控制面板和PC设置”
编辑组策略：创建好 GPO后，右键点击该 GPO，然后选择编辑。
在组策略管理编辑器中，导航到以下路径：用户配置＞策略>管理模板＞控制面板
配置禁止访问控制面板和PC设置：在控制面板设置页面，双击禁止访问控制面板和 PC设置，选择已启用，然后点击确定。
此策略将阻止销售部 OU 中的用户访问控制面板和PC设置

步骤3:应用并测试策略

强制更新组策略：在客户端计算机上，打开命令提示符并运行以下命令以强制刷新组策略：
gpupdate / force
测试策略：登录为销售部中的用户，尝试访问控制面板和PC设置。你应该会看到访问被禁止的提示，无法打开控制面板和PC设置

注意：

策略作用范围：确保该GPO仅应用于“销售部”OU，这样不会影响到其他部门的用户
策略优先级：如果你有其他组策略应用到更高层级的OU或域，确保“销售部”OU的策略优先级合适。可以通过组策略继承规则或者强制继承来调整

实验三、配置组策略下发

需求：创建OU架构：北京总部--销售部，实现对北京总部下发桌面背景并验证，实现对销售部下发桌面背景并验证，实现对北京总部下发禁止开始运行功能并验证

步骤1:创建“北京总部”OU并将“财务部”OU移动到“北京总部”

打开 Active Directory 用户和计算机管理控制台（dsa.msc）：在域控制器上，按下 Win + R，输入 dsa. msc，然后按 Enter
创建“北京总部”OU：在左侧的目录树中，右键点击你的域名（例如 hanhan.com），选择新建＞组织单位
命名为北京总部，然后点击“确定”
将“财务部”0U 移动到“北京总部”0U 下：在目录树中，找到现有的财务部 OU，右键点击它，选择“移动”
在弹出的窗口中，选择北京总部 OU 作次目标，然后点击“确定”

在移动的时候可能会报出无法移动的问题，这可能是你之前在新建销售部的时候勾选了下面的防止容器被意外删除，导致现在无法移动，取消勾选即可（进入财务部的属性，选择对象，取消勾选）

步骤2:实现对北京总部下发桌面背景

打开组策略管理控制台（gpmc. msc）：在域控制器上，按下 Win + R，输入 gpmc.msc，然后按 Enter
创建并链接 GPO 到“北京总部”OU：在 GPMC 中，找到并右键点击北京总部 OU，选择创建并链接一个 GPO 到此域，命名为北京总部桌面背景策略
编辑 GPO 设置桌面背景：右键点击北京总部桌面背景策略，选择“编辑”
在组策略管理编辑器中，导航到：用户配置->管理模板->桌面->桌面，找到并双击“桌面壁纸”，设置为“己启用”，然后指定要使用的桌面背景图片的路径（网络路径或本地路径），点击“确定”
验证策略的应用：在北京总部 OU 中添加一个用户，并使用这个用户登录一台计算机
使用命令 gpupdate /force 强制刷新组策略，然后确认桌面背景是否已更改为指定的背景

步骤3:实现对销售部下发桌面背景

创建并链接GPO 到“销售部”OU：在 GPMC 中，找到并右键点击销售部 OU，选择创建并链接一个 GPO 到此域
命名为销售部桌面背景策略
编辑 GPO 设置桌面背景：右键点击销售部桌面背景策略，选择“编辑”
在组策略管理编辑器中，导航到：用户配置 >管理模板>桌面>桌面
找到并双击“桌面壁纸”，设置为“已启用”，并指定要使用的桌面背景图片的路径（不同于北京总部的背景），点击“确定”
验证策略的应用：在销售部 OU 中添加一个用户，并使用这个用户登录一台计算机
使用命令 gpupdate /force 强制刷新组策略，然后确认桌面背景是否已更改为指定的背景

步骤4:实现对北京总部下发禁止“开始运行”功能

在北京总部 OU 中创建并链接新的 GPO：在 GPMC 中，找到并右键点击北京总部 OU，选择创建并链接一个 GPO 到此域，命名为北京总部运行命令限制策略
编辑 GPO 禁用“开始运行”功能：右键点击北京总部运行命令限制策略，选择“编辑”
在组策略管理编辑器中，导航到：用户配置-＞管理模板-＞“开始”菜单和任务栏，找到并双击“删除运行菜单”，设置为“已启用”，点击“确定”
验证策略的应用：使用北京总部 OU 中的用户登录一台计算机
使用命令 gpupdate /force 强制刷新组策略，然后尝试打开“开始”菜单并确认“运行”选项是否已被移除

实验五、配置组策略阻止继承与强制

需求描述：创建OU架构：北京总部----销售部；实现对北京总部下发禁止“开始运行功能”，并验证；实现对北京总部下发桌面背景，并验证；实现对销售部下发桌面背景，并验证；对销售部做组策略阻止继承，验证观察销售部最终结果；对北京总部做强制继承，验证观察销售部最终结果

步骤1:创建OU 架构：北京总部->销售部

打开 Active Directory 用户和计算机管理控制台（dsa.msc）：在 Windows Server 2019 域控制器上，按下 Win + R，输入 dsa. msc，然后按 Enter
创建“北京总部”OU：在左侧的目录树中，右键点击你的域名（例如 hanhan.com），选择新建＞组织单位，命名为北京总部，点击“确定”
在“北京总部”0U 下创建“销售部”OU：在刚创建的北京总部 OU 上右键点击，选择新建＞组织单位，命名为销售部，点击“确定”

步骤2:对“北京总部”下发禁止“开始运行功能”并验证

打开组策略管理控制台（gpmc.msc）：在域控制器上，按下 Win + R，输入 gpmc.msc，然后按 Enter
创建并链接 GPO 到“北京总部”OU：在 GPMC 中，找到并右键点击北京总部 OU，选择创建并链接一个 GPO 到此域，命名为北京总部运行命令限制策略
编辑 GPO 禁用“开始运行”功能：右键点击北京总部运行命令限制策略，选择“编辑”
在组策略管理编辑器中，导航到：用户配置-＞管理模板-＞〝开始”菜单和任务栏
找到并双击“删除运行菜单”，设置为“己启用”，点击“确定”
验证策略的应用：使用在“北京总部”OU 中的用户登录 Windows 7 客户端虚拟机
在客户端运行 gpupdate /force 命令，强制刷新组策略
尝试通过“开始”菜单打开“运行”，验证是否被禁用
对“北京总部”下发桌面背景并验证：步骤参考上个实验
对“销售部”下发桌面背景并验证

步骤3:对销售部做组策略阻止继承并验证

启用“阻止继承”：在 GPMC 中，右键点击销售部 OU，选择“阻止继承”，这样，“销售部”OU 将不会继承从“北京总部”OU传递下来的任何组策略
验证策略的应用：使用在“销售部”OU 中的用户登录 Windows 7 客户端
运行 gpupdate /force，强制刷新组策略
验证结果：此时，尽管“北京总部”OU 的策略（如桌面背景和禁止运行命令）会被阻止，但“销售部”0U 自己的策略依然会生效（如“销售部桌面背景策略”）

步骤4:对“北京总部”做强制继承并验证

启用“强制继承”：在 GPMC 中，找到并右键点击北京总部 OU 中的 GPO（如北京总部桌面背景策略或北京总部运行命令限制策略），选择“强制”，这样，即使“销售部”OU 设置了“阻止继承”，这些强制应用的策略仍然会生效
验证策略的应用：使用在“销售部”OU 中的用户登录 Windows 7 客户端
运行 gpupdate /force，强制刷新组策略
验证结果：此时，尽管“销售部”OU 设置了“阻止继承”，但“北京总部”OU 的强制策略仍然会覆盖并生效。例如，“北京总部”的桌面背景和禁用运行命令功能将强制应用到“销售部”的用户