北京看白癜风的医院有哪些 https://wapjbk.39.net/yiyuanzaixian/bjzkbdfyy/ffxbdf/组策略介绍
组策略(英语:GroupPolicy)是微软WindowsNT家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非域的计算机上管理组策略对象。
通过使用策略,你可以设置策略设置一次,然后将该设置复制到多台计算机上。例如,你可以在链接到域的GPO中设置多个InternetExplorer11安全设置,然后将所有这些设置应用到域中的每台计算机。
组策略分类
本地组策略
本地组策略(LocalGroupPolicy,缩写LGP或LocalGPO)是组策略的基础版本,它面向独立且非域的计算机。至少WindowsXP家庭版中它就已经存在,并且可以应用到域计算机。在WindowsVista以前,LGP可以强制施行组策略对象到单台本地计算机,但不能将策略应用到用户或组。从WindowsVista开始,LGP允许本地组策略管理单个用户和组,并允许使用“GPOPacks”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。
开始-运行-键入"gpedit.msc"-本地组策略编辑器-window设置(system)-脚本-启动-属性
显示文件
/p>
C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup
把我们的后门程序复制到这个路径,然后这个脚本开机就会自动加载执行了
域组策略
当机器安装了域环境的时候,系统管理工具会多出一个功能(组策略管理),通过它,域管理员能够很方便统一地对域内的机器和用户进行统一管理。
域管理员经常会面对一个这样的问题,域成员机子的默认本地管理员密码过于简单,想进行批量修改的时候,这个时候就可以利用组策略来进行任务的批量下发。
通过在域中下发脚本来执行
在组策略首选项GPP中进行设置
本地管理员密码解决方案
APS(不细说这个内容,这是解决这个问题很好的方案)
这里需要了解下AD域中两个默认的共享文件夹:SYSVOLNETLOGON
NETLOGON目录
挂载点:SYSVOL\domain\SCRIPTS主要存放的是一些脚本信息,是AD活动目录安装时候自动创建的,是在sysvol下面的一个子目录文件夹
SYSVOL目录
SYSVOL目录是AD域中的一个共享文件夹,该文件夹在AD活动目录安装时候被创建。通常用来存放组策略数据和一些脚本配置文件,这些策略和脚本将用于传递给域成员机器。
此外,域控机器之间因为要自动同步域数据,SYSVOL文档允许该域内的所有DC机之间进行复制,并且所有的AD用户都可以访问它
在域中,用户登录(计算机)时,会首先在SYSVOL文件查找GPO和启动脚本。同时,为了保证系统的正常运行,必须为SYSVOL保留足够的空间缓存,而且不能随意删除、改动该文件夹,要不然会出现一些组策略无法启用等报错信息
该目录由于针对的是域内所有机器和用户,所以域内中的合法用户均可以访问和执行该目录的文件。(普通域用户也可以)
如果更改权限,这个地方会显示拒绝访问
*组策略链接
以DefaultDomainPolicy为例,在右边的作用域里面,可以看到它链接到demo.
