服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何从默认域GPOinheritance?
Intereting Posts
桑巴的家庭份额和用户随机决定把大写字母放在他们的用户名中 在Red Hat上构buildKVM集群是否有很好的指导原则 我如何执行LLMNR查询? NGINX服务大型MP4文件效率极低 Ubuntu:将生产系统移植到新硬件的简单方法 SCCM如何检查已安装的软件版本? NTP中的高抖动和轮询值永远不会超过128 我可以通过OSX上的terminal创build隐藏的pipe理员帐户吗? LetsEncrypt错误:无法设置,让我们encryption AWS删除公钥/私钥 无法使用PHP和PDO从另一个CentOS7访问CentOS 7 Postgresql Server 添加磁盘以向RAID 1 + 0arrays添加更多空间 DNS错误:由父&NS报告的缺less名称服务器具有相同的SOA序列 如何通过查看系统日志来判断系统是否重新启动以及重新启动的时间? 前缀委派和路由创build

如何从默认域GPOinheritance?

我记得在某个地方阅读时,build议不要直接对默认域GPO进行更改,而是要创build一个从Defaultinheritance的新GPO。

这听起来很合理。 我是一名开发人员,所以封装的概念吸引我。

但是,我无法弄清楚如何让我的新GPO从Defaultinheritance。 我已经在域中创build并链接了它,但Default中的更改没有反映在新的中。

你误解了什么样的组策略inheritance是什么意思。 组策略对象不会相互inheritance设置。 您对一个GPO所做的更改适用于该GPO,其他GPO将不会inheritance其他GPO的设置。

我相信这里的其他人会发表关于组策略inheritance的冗长而有教育意义的答案,所以我会放弃自己的做法。 只要说一下,如果你想保持你的默认域GPO不变,但是想创build一个新的GPO,其中包含默认域GPO的所有设置,然后你可以进行更改,那么你可以简单地复制一份默认域GPO,重命名它,并将其链接到域。 然后,您可以对此新的GPO进行任何更改。

你是正确的,一般build议离开默认域GPO。

如果我正确理解了您的问题,则需要在同一级别(即到顶级域名)链接的另一个GPO,但是如果您的自定义GPO中有任何设置与默认域GPO中的设置相冲突,那么您的自定义GPO中的设置应该优先。

在这种情况下,您要查看的是GPO的链接顺序

链接顺序最低的GPO最后处理,因此优先级最高。

您可以在组策略pipe理控制台中修改GPO的链接顺序。 他们只是上下箭头,重新排列GPO。 如果您的GPO具有链接顺序1,则最后处理它,这意味着它在同一上下文(在同一级别链接)中优先于其他GPO,或者仅覆盖默认域GPO(仅在您的configuration中设置)自定义GPO。 对于您未在自定义GPO中configuration的设置,默认域GPO(已configuration的位置)中的设置仍将适用。

介绍

需要注意的一点是,除非您进入泛滥,例如阻塞inheritance的容器或安全筛选的GPO,否则在多个策略中configuration相同的设置是多余的,特别是如果两个策略都链接到相同的容器。 因此,您通常需要创build新的GPO,而不是复制现有的GPO。

除非要禁用和取消链接您的默认域策略,否则不想复制它。 保持独立,并configuration大部分设置。 创build一个只改变你想改变的新的GPO。 理想情况下,您的默认域策略不应包含任何设置(或者最多只包含标准帐户策略,本地安全策略和公钥策略)。 有关示例,请参阅我们的默认域策略设置:

默认域策略示例

其他一切都应该在您创build的基准策略中进行定义。 不要打扰在此基准策略中定义您的默认域策略已经应用的任何设置。 只需定义你决定在这里应用的任何新的设置。 更多为什么在下面。

由于我正在吃午餐,所以这是比较“快速和肮脏”,而不是“冗长和教育”,但仍然有必要对inheritance有一个很好的理解,以使您的策略设置按预期工作。 在这种情况下,“快速和肮脏”意味着“丢弃内容花费的时间更less”。 逐节进行。

关注“不要复制GPO!” 副标题。 其他部分着重介绍inheritance的实际function以及如何正确使用,为什么不应该复制GPO以及极less数例外的certificate规则的细节。

单个容器中的inheritance和链接顺序

有关inheritance如何工作的概述,请参阅图像。 这些图像来自Microsoft组策略pipe理控制台,它显示组策略设置。 不要恐慌,我会扩大形象:

组策略树视图/左侧面板

当您点击“Domain.Forest.com”(或任何容器,如“域控制器”)时,下面的图片将显示在右侧窗格中:

组策略链接订单详细信息/右侧面板

您会注意到,我们有两个configuration了比默认域策略更高的链接顺序的策略。 这些将在处理默认域策略之后应用其设置,并覆盖与其相冲突的任何设置。 如果默认域策略定义了它们没有定义的设置,那么这些设置仍然适用,因为它们没有被覆盖。

例如,假设默认域策略规定有线自动configuration和WLAN自动configuration服务都设置为“自动启动”(计算机configuration\ Windows设置\安全设置\系统服务)。 如果“域安全性”策略规定将WLAN AutoConfig设置为“禁用”,并审核所有login事件(计算机configuration\ Windows设置\安全设置\本地策略\审核策略),则这是由此产生的一组策略(RSoPpipe理):

有线自动configuration:自动启动

WLAN AutoConfig:已禁用

审核login:成功,失败

所以有线AutoConfig设置从默认域策略保留,因为它没有被覆盖。 但是,WLAN AutoConfig的新设置被覆盖,因为它已被定义为1),以及2)来自优先级较高的策略。

如果我们在第二个图像中select了“默认域策略”,并且单击了该图像左侧的单个向上箭头(更改链接顺序),则默认域策略现在具有比域更高的优先级安全策略。 RSoP现在是:

有线自动configuration:自动启动

WLAN AutoConfig:自动启动

审核login:成功,失败

不要复制GPO!

在定义策略设置时记住这一点。 在链接订单3政策中定义一个设置(例如启用一个服务),然后在链接订单2政策中重新定义它,这是浪费的。 链接订单2政策是否禁用或启用服务(继续我们的示例)。 您可以自由地在策略之间拆分设置,以便于pipe理,并创build逻辑设置分组,但从不跨越多个策略在同一层次上多次定义相同的设置。

处理组策略对象也被称为向工作站注销login时间。 处理的策略越多,策略中的设置越多,login越慢。

在适当命名的策略中定义一次设置,并且不要在相同的容器级别覆盖它。

这也是为什么你想创build新的政策,而不是复制它们。 否则,策略将被处理一次。 然后,优先级较高的策略再次处理它们,唯一的收益将是您从原始策略中更改的一个或两个设置

相反,这些设置可以简单地放入新的空白GPO中。 然后,处理一个或两个额外的设置,而不是可能的数百个。 理想情况下,然后将这些设置从原始策略中取出,以便您不处理和重新处理设置。

唯一应该指定冲突的设置的情况是,较低级容器会覆盖较高级容器应用的设置。

例如,您可以在您的域安全策略中打开WLAN AutoConfig服务,但将其设置为禁用您的域控制器策略(在域控制器容器中)。 在这种情况下,较低级别策略优先,您的域控制器不会尝试自动configuration无线局域网。 但是,您的工作站和笔记本电脑(从域根inheritance而来,不属于“域控制器”容器)仍然会收到设置以打开WLAN AutoConfig,并尝试连接无线networking(如果可用,则使用您的策略定义的WLANconfiguration文件。

再次,这不是复制组策略对象的原因。 只需在层次结构中的适当级别创build一个新的GPO,并且只定义您想要覆盖的那些设置。

跨多个容器的inheritance和链接顺序

回到pipe理inheritance,“链接组策略对象”是可编辑的,但只显示链接到当前容器的组策略(域根目录作为此目的的容器)。 每个容器都有自己的链接顺序。 “组策略inheritance”为您提供了完整的视图,这对于域根来说看起来几乎相同(请注意未链接策略“密码策略”不显示):

组策略继承详细信息/右侧面板

但是,如果你从树下的容器(又称域层次结构)查看inheritance窗口:

组策略继承详细信息/右侧面板

请注意,较低级容器的策略优先级较高。 来自较低级别容器的策略将始终在来自较高级别容器的策略之后运行,并覆盖其设置。 链接顺序只与当前容器的上下文有关,低级容器总是会胜过更高级的容器,而不pipe链接顺序如何。 和以前一样,如果下级策略没有指定设置,则上级策略的设置不会被覆盖,仍然适用。

不要复制,将同一个GPO链接到多个位置

当你不应该复制GPO的时候,我们已经走遍了所有的时代。 假设你想创build一个阻塞inheritance的容器。 在这种情况下,只有直接链接到这个容器的策略才会适用。 容器下方的阻塞inheritance容器仍然inheritance“inheritance阻塞”容器的策略(就像它是域根),除非它们本身被configuration为阻止inheritance。

在这种情况下,如果您需要删除大量企业策略,但仍需要层次结构中更高级别的某些特定GPO的大部分设置,只需将组策略链接添加到更高级别的GPO即可。 右键单击具有阻止inheritance的容器,然后select“链接现有的GPO”。 从列表中select您需要的GPO。

好的,有时会复制(和迁移)GPO

假设您有一个阻塞inheritance的容器,并且您需要来自层次结构中较高GPO的几百个设置。 您还需要在同一策略中更改几十个设置。 在这种情况下,可以复制策略,重命名策略,进行更改,然后将其链接到阻塞inheritance的容器中。

在这种情况下,由于您的inheritanceconfiguration的方式,客户端不处理原始策略及其副本。 他们只处理一个或另一个,取决于他们在层次结构中的位置。 如果您使用安全过滤的组,则适用相同的规则。

如果您决定将安全筛选与环回处理混合在一起, 请阅读 。 首先尝试使用安全筛选或回送。 否则,尝试使用replace模式。 如果使用合并模式,则需要使用高级安全设置才能读取计算机帐户,但不能将权限应用于组策略。 不要只是将它们添加到安全筛选 – 这意味着适用以及阅读!

最后,如果运行“testing”或“预生产”环境,则通常需要在域之间迁移GPO。 有些方法可以使用GPO迁移表执行此操作。 如果您的策略设置不引用任何域安全主体(不必担心GPO本身的安全设置),更简单的方法就是使用PowerShell 。

在源域中的机器上创build一个新的空文件文件夹。 在同一台机器上,运行这些命令: 

import-module grouppolicy backup-GPO -GUID "<aka Unique ID from GPMC including parenthesis - select the GPO in the left-hand pane and then select the Details tab>" -path "<Backup Path>"

将您的文件夹从源域复制到目标域上的一台机器。 记下从上面的备份path的新子文件夹 – 它将有一个括号括起来的数字看起来像一个GUID。 我将其称为“唯一ID文件夹”。 确保'manifest.xml'也存在。

在目标域上创build一个新的空白GPO,记下其唯一标识并运行以下命令: 

 import-module grouppolicy import-gpo -targetGUID "<Unique ID from GPMC of new policy in target domain>" -backupID "<Unique ID folder name from your backup path>" -path "<The parent folder, under which your unique ID folder sits>"

源域中的GPO的所有设置现在都将包含在目标域上的GPO中。