学习黑客Active Directory 入门指南(四)
Active Directory 入门指南(四):组策略的威力与操作主机角色 📜👑
大家好!欢迎来到 “Active Directory 入门指南” 系列的第四篇。在前几篇中,我们已经构建了对AD逻辑结构、物理组件、关键服务以及核心对象(用户、组、计算机)管理的理解。
在本篇中,我们将深入探讨Active Directory中最强大和最常用的功能之一——组策略对象 (Group Policy Objects - GPOs)。同时,我们还将揭秘确保AD多主复制模型一致性与特定操作唯一性的关键机制——操作主机角色 (Operations Master Roles / FSMO Roles)。
7. 组策略对象 (Group Policy Objects - GPOs) 📜
组策略是Active Directory的核心功能,允许管理员对域中的用户和计算机进行集中化的配置管理和强制执行。通过GPO,管理员可以定义范围广泛的设置,从桌面外观到安全选项,再到软件部署。
-
什么是GPO?
- 一个GPO是一个虚拟的对象集合,包含了各种策略设置。
- 实际上,一个GPO由两部分组成:
- 组策略容器 (Group Policy Container - GPC):这是一个存储在Active Directory域分区中的AD对象。它包含了GPO的元数据,如版本信息、状态以及指向组策略模板的链接。
- 组策略模板 (Group Policy Template - GPT):这是一个存储在域控制器SYSVOL共享中的文件夹结构。它包含了GPO中定义的实际策略设置文件(如
.pol文件、脚本、管理模板.admx/.adml文件等)。
- GPC和GPT通过GPO的GUID(全局唯一标识符)相关联。
-
GPO如何工作?
- 创建和配置:管理员使用组策略管理控制台 (GPMC) 创建GPO,并在其中配置所需的策略设置。这些设置分为两大部分:
- 计算机配置 (Computer Configuration):这些设置在计算机启动时应用,并影响计算机本身,无论哪个用户登录。例如,操作系统安全设置、启动脚本、已部署的软件。
- 用户配置 (User Configuration):这些设置在用户登录时应用,并跟随用户,无论用户登录到哪台计算机(域内)。例如,桌面设置、文件夹重定向、用户特定的应用程序设置。
- 链接GPO:创建并配置好GPO后,需要将其链接到Active Directory容器,才能使其生效。GPO可以链接到以下级别的容器:
- 站点 (Site)
- 域 (Domain)
- 组织单位 (Organizational Unit - OU)
- GPO应用顺序 (LSDOU):当用户登录或计算机启动时,GPO会按照特定的顺序应用和继承。这个顺序通常被称为 LSDOU:
- L - 本地策略 (Local Group Policy):首先应用计算机本地配置的策略。
- S - 站点 (Site):接着应用链接到计算机所在站点的GPO。
- D - 域 (Domain):然后应用链接到计算机所在域的GPO。
- O - 组织单位 (Organizational Units):最后应用链接到计算机或用户账户所在OU的GPO。如果存在嵌套OU,则从最顶层的OU(离域最近的OU)开始,逐级向下应用到对象所在的直接OU。
- 冲突解决:如果不同GPO中的设置发生冲突,默认情况下,最后应用的GPO(通常是最接近对象的OU的GPO)的设置会胜出。
- 继承与强制:
- 继承 (Inheritance):默认情况下,子容器(如子OU)会继承链接到父容器(如父OU、域)的GPO设置。
- 阻止继承 (Block Inheritance):可以在OU级别设置“阻止继承”,以防止来自上层容器的GPO设置应用到该OU及其子OU。
- 强制/强制执行 (Enforced / No Override):可以在GPO链接级别设置“强制”。被强制的GPO设置将覆盖子容器的阻止继承设置以及任何冲突的设置(除非有另一个更高级别的强制GPO)。
- 创建和配置:管理员使用组策略管理控制台 (GPMC) 创建GPO,并在其中配置所需的策略设置。这些设置分为两大部分:
-
GPO处理和刷新:
- 计算机配置在计算机启动时应用。
- 用户配置在用户登录时应用。
- 默认情况下,组策略会在后台定期刷新(DC上默认5分钟,成员服务器和工作站默认90分钟,加上一个随机偏移量以避免所有客户端同时刷新)。
- 可以使用命令
gpupdate /force手动触发组策略刷新。
-
常见GPO用途:
- 安全设置:强制执行密码策略、账户锁定策略、审核策略、用户权限分配、防火墙配置。
- 软件部署:自动安装、升级或删除应用程序。
- 桌面配置:标准化桌面背景、屏幕保护程序、开始菜单、任务栏。
- 脚本执行:运行登录/注销脚本(用户配置)和启动/关机脚本(计算机配置)。
- 文件夹重定向:将用户的“我的文档”、“桌面”等文件夹重定向到网络服务器上的集中位置,便于备份和漫游。
- Internet Explorer/Edge设置管理:配置主页、安全区域、代理设置。
- 打印机部署:自动为用户或计算机部署网络打印机。
- 管理模板 (Administrative Templates):提供大量基于注册表的策略设置,用于配置操作系统组件和应用程序的行为。
8. 操作主机角色 (Operations Master Roles / FSMO Roles) 👑
Active Directory采用多主复制模型 (multi-master replication model),这意味着域中的任何域控制器(DC)原则上都可以接收目录更改,并将这些更改复制给其他DC。这种模型提供了高可用性和容错性。
然而,对于某些特定的、敏感的操作,如果允许多个DC同时进行更改,可能会导致冲突和数据不一致。为了解决这个问题,Active Directory定义了五种特殊的操作主机角色,也称为灵活单主机操作 (Flexible Single Master Operations - FSMO) 角色。这些角色确保某些关键操作只能由林或域中唯一指定的DC执行。
FSMO角色分为两类:
-
林范围角色 (Forest-Wide Roles):每个林中只有一个DC持有这些角色。
- 架构主机 (Schema Master):
- 职责:负责处理对Active Directory架构的所有更新和修改。例如,当安装需要扩展AD架构的应用程序(如Exchange Server)时,它会联系架构主机。
- 重要性:架构是整个林的基础,对架构的更改非常敏感。
- 域命名主机 (Domain Naming Master):
- 职责:负责处理在林中添加或删除域的操作,以及添加或删除跨林信任关系。
- 重要性:确保林中域名的唯一性。
- 架构主机 (Schema Master):
-
域范围角色 (Domain-Wide Roles):每个域中只有一个DC持有这些角色。
- RID主机 (Relative ID Master):
- 职责:负责为域中的每个DC分配唯一的相对ID (RID) 池。当DC创建一个安全主体(如用户、组或计算机账户)时,它会从自己的RID池中取出一个RID,并与域的SID组合成该对象的唯一SID。
- 重要性:确保域中所有安全主体的SID都是唯一的。
- PDC模拟器 (Primary Domain Controller Emulator - PDCE):
- 职责:这是最繁忙和最重要的FSMO角色之一。它承担多种职责:
- 密码更改处理:当用户更改密码时,该更改会优先复制到PDC模拟器。如果用户尝试使用新密码登录时,其DC上的密码副本尚未更新,该DC会联系PDC模拟器验证密码。
- 账户锁定处理:PDC模拟器处理账户锁定。
- 时间同步:PDC模拟器通常是域中权威的时间源。林根域的PDC模拟器是整个林的权威时间源(通常与外部时间源同步)。
- 向后兼容:模拟旧版Windows NT PDC的行为,以支持旧版客户端和应用程序。
- 处理某些组策略更新:GPMC默认连接到PDC模拟器进行GPO编辑。
- 职责:这是最繁忙和最重要的FSMO角色之一。它承担多种职责:
- 基础结构主机 (Infrastructure Master):
- 职责:负责更新和维护跨域对象引用,即一个域中的对象引用了另一个域中的对象时(例如,一个组的成员是来自不同域的用户)。它将其他域中对象的已更改信息(如名称或位置)复制到本地域。
- 放置建议:不应该将基础结构主机角色放在同时也是全局编录 (GC) 服务器的DC上,除非林中的所有DC都是GC服务器,或者林只有一个域。原因是GC服务器已经拥有林中所有域对象的部分信息,如果基础结构主机也是GC,它可能不会正确更新跨域引用,因为它认为自己已经拥有最新信息。
- RID主机 (Relative ID Master):
管理FSMO角色:
- 可以使用图形界面工具(如AD用户和计算机、AD域和信任关系、AD架构管理单元)或
ntdsutil.exe命令行工具或PowerShell来查看和转移 (transfer) FSMO角色。 - 转移 (Transfer):是一种计划内的、平稳的角色移动过程,当前角色持有者和目标DC都必须在线且正常工作。
- 夺取 (Seize):是一种强制的角色移动过程,当当前角色持有者永久性故障且无法恢复时使用。夺取角色可能会导致数据丢失,应仅在必要时进行。
在本篇中,我们深入了解了组策略的强大功能及其在集中管理用户和计算机配置中的核心作用。同时,我们也学习了FSMO角色如何确保AD目录服务在多主复制环境下的关键操作的一致性和唯一性。
在下一篇,也是本系列的最后一篇 Active Directory 入门指南(五) 中,我们将介绍常用的AD管理工具,探讨AD安全的基础知识,并提供一些开始学习和实践AD的建议。敬请期待!