HackMD
GPO觀念入門01
目錄
GPO基本
學AD的GPO,必須先從他的概念先學習,可以讓未來實作上會比較輕鬆。
層級介紹
在學習GPO觀念的時候,可以先從這個結構下手。
下面會用其屬性以及圖片顯示的名稱說明
- 網域:week7day.local
- Default Domain Policy:網域下所掛載之GPO的捷徑
- Domain Controllers:OU
- 群組原則物件(包含下面所框選之處):GPO的實體
- 群組原則結果:GPO結果精靈
簡單介紹完一些名詞之後,接下來慢慢介紹其功能、用途,詳見下圖以及文字說明。
GPO簡介
- 圖中框選處是為網域或者OU下所掛載的GPO,說明目前這個狀態、範圍之下所套用的GPO有哪一些。
- 一個OU(例如Domain Controllers)套用一個以上的GPO,GPO的效果會疊加,例如:OU_01連結了A、B_GPO,OU_01上面會有A_GPO + B_GPO的效果。
- 圖片中有一個「強制」,代表的意思為「是否強制將GPO套用到OU或者是網域上」,若是OU或者網域上有套用其他多個GPO,例如設定上,「有重複」將無視繼承關係,會直接強制GPO的設定為主。
- 「啟用連結」,你的啟用連結需要掛載在OU上GPO才會有效果,而每一OU都可以自行決定需要啟用哪些GPO,也就是每個GPO上面都可以選擇「啟用連結」與否。
- 「GPO狀態」,這個部分比較多,需要列舉說明,斯如下:
(1)已啟用:代表其對所有「套用」範圍功能都啟用
(2)使用者組態設定停用:本GPO對所有「套用」範圍都停用使用者組態設定。
(3)電腦組態設定停用:本GPO對所有「套用」範圍都停用電腦組態設定。
(4)所有設定停用:本GPO對所有「套用」範圍都停用所有的組態設定。意為本GPO到套用範圍並且啟用連結也不會有作用。
GPO影響範圍
接下來介紹一下,GPO的「套用範圍」、GPO套用「使用者和電腦權限」,參考圖如下。
- 一樣簡單介紹一下名詞,Default Domain Controllers Policy:GPO名稱;往下走,第一個框是該「GPO的套用範圍」;再往下是該「GPO的套用使用者以及電腦權限」。
- 「GPO的套用範圍」,代表目前GPO正在套用的OU或者網域。
- 「GPO的套用使用者以及電腦權限」,目前GPO生效的User或Computer範圍。
- GPO生效的條件如下:
(1)GPO要套用在OU或者網域上,連結啟用。
(2)GPO狀態為啟用。
(3)安全性篩選有權限存取;User以及Computer要丟進安全性篩選內才可以生效。
(4)User以及Computer之物件需要丟進「套用範圍內」才會有效。
(5)他們的階層關係是向上的,假設ABC.local由上至下有OU_1、OU_2、OU_3,我將某Computer放在OU_3,代表會同時包含ABC.local、OU_1、OU_2,所以這個階層以上的OU套用GPO也會生效。可以想像成一個資料夾下面再創建一個資料夾的簡單數狀概念。
喝杯水、喘口氣,下一篇介紹順序、繼承關係等等。
