表 4 列出了 GPO 的默认安全权限设置。
表 4. GPO 的默认安全权限
安全组
Authenticated Users
ENTERPRISE DOMAIN CONTROLLERS 备注
由于管理员也属于 Authenticated Users 组,默认情况下,他们将“应用组策略”访问控制项 (ACE) 设置为“允许”。因此,如果他们位于链接了 GPO 的容器中,则也会为其应用策略设置。
读取
权限
读取(从安全筛选)
Domain Admins、Enterprise Admins、Creator Owner、SYSTEM 编辑设置,删除、修改安全性
在站点、域和 OU 上委派组策略任务
可以在 Active Directory 中针对每个容器委派以下三个组策略任务(权限):
? ? ?
将 GPO 链接到 Active Directory 容器(站点、域或 OU) 为该容器(域和 OU)中的对象执行组策略建模分析 为该容器(域和 OU)中的对象读取组策略结果数据
若要委派管理任务,您必须使用 GPMC 授予与相应 Active Directory 容器上的任务对应的权限。 默认情况下,Domain Admins 组的成员具有域和 OU 的 GPO 链接权限,Enterprise Admins 和林根域中的 Domain Admins 组的成员可以管理到站点的链接。您可以使用 GPMC 将权限委派给其他组和用户。
默认情况下,仅限 Enterprise Admins 和 Domain Admins 组具有组策略建模的访问权限以及组策略结果数据的远程访问权限。可通过在 GPMC 中设置相应权限,将此数据的访问权限委派给较低级别的管理员。
以下步骤介绍了如何通过修改 Active Directory 容器的相应权限来委派组策略管理任务。 在站点、域或 OU 上委派组策略管理任务
1. 在 GPMC 中,单击要委派组策略管理任务的站点、域或 OU 的名称。 2. 在站点、域或 OU 的细节窗格中,单击“委派”选项卡。
3. 在“权限”列表中,单击以下选项之一:“链接 GPO”、“执行组策略建模分析”或“读取
组策略结果数据”。请注意,仅“链接 GPO”适用于站点。
4. 若要将任务委派给新用户或组,请单击“添加”,然后指定要添加的用户或组。
5. 若要修改现有权限的“应用于”设置(即,更改为特定用户或组授予的权限所适用的 Active
Directory 容器),请在“用户和组”列表中右键单击该用户或组,然后单击“仅该容器”或“该容器及子项”。
6. 若要从授予了指定权限的组或用户列表中删除现有组或用户,请在“组和用户”列表中单击
该用户或组,然后单击“删除”。请注意,您必须是 Domain Admins 组的成员才能执行此操作。
7. 添加或删除自定义权限:
1. 在“安全”选项卡上单击“高级”。
2. 在“组或用户名”下面,单击要更改权限的用户或组。 3. 在“权限”下面,根据需要修改权限,然后单击“确定”。
委派创建 GPO 的权限
在域中创建 GPO 的功能是一个在每个域上管理的权限。默认情况下,只有 Domain Admins、
Enterprise Admins、Group Policy Creator Owners 和 SYSTEM 组的成员能够创建新的 GPO。 只有 Domain Admins 组的成员可以将 GPO 创建权限委派给任何组或用户。可以使用两种方法为组或用户授予此权限,这两种方法授予完全相同的权限:
?
在 Group Policy Creator Owners 组中添加组或用户。这是在 GPMC 出现之前可以使用的唯一方法。
使用 GPMC 为组或用户明确授予创建 GPO 的权限。为此,请在 GPMC 控制台树中单击“组策略对象”,单击“委派”选项卡,然后根据修改权限。
?
当 Group Policy Creator Owners 组的非管理员成员创建 GPO 时,该用户将成为 GPO 的创建者所有者,并且可以编辑和修改 GPO 的权限。不过,Group Policy Creator Owners 组的成员无法将 GPO 链接到容器,除非为这些成员单独委派了在特定站点、域或 OU 上执行此操作的权限。如果非管理员成为 Group Policy Creator Owners 组的成员,则仅为该用户授予对其所创建的 GPO 的完全控制权。Group Policy Creator Owner 成员没有对不是他们创建的 GPO 的权限。 备注
当管理员创建 GPO 时,Domain Admins 组的成员将成为该 GPO 的创建者所有者。默认情况下,Domain Admins 组的成员可以编辑域中的所有 GPO。
链接 GPO 的权限与创建 GPO 和编辑 GPO 的权限是分开委派的。请务必为要创建和链接 GPO 的组委派这两个权限。默认情况下,非 Domain Admins 无法管理链接,这可防止他们使用 GPMC 创建和链接 GPO。不过,如果非 Domain Admins 是 Group Policy Creator Owners 组的成员,则可以创建未链接的 GPO。在非 Domain Admin 创建未链接的 GPO 后,Domain Admin 或已委派将 GPO 链接到容器的权限的其他用户可以根据需要链接该 GPO。
由于 Group Policy Creator Owners 组是一个域全局组,它不能包含域外部的成员。因此,如果要为域外部的用户委派创建 GPO 的权限,您必须改用 GPMC 为这些用户明确授予相应的权限。
为此,请在域中创建一个新的域本地组(例如,“GPCO—External”),为该组授予在域中创建 GPO 的权限,然后将外部域中的域全局组添加到该组中。对于该域中的用户和组,应继续使用 Group Policy Creator Owners 组授予创建 GPO 的权限。 委派创建 WMI 筛选器的权限
可以为用户或组委派以下两个权限级别之一以创建 WMI 筛选器:
?
创建者所有者:允许用户或组在域中创建新的 WMI 筛选器,但不授予管理其他用户所创建的 WMI 筛选器的权限。
完全控制:允许用户或组创建 WMI 筛选器,并授予对域中的所有 WMI 筛选器的完全控制权,其中包括在为用户授予此权限后创建的新筛选器。
?
可以使用 GPMC 来委派这些权限。在 GPMC 控制台树中,单击“WMI 筛选器”。在细节窗格中,单击“委派”选项卡,然后根据需要委派权限。 委派管理各个 WMI 筛选器的权限
可以为用户或组委派以下两个权限级别之一以管理单个 WMI 筛选器:
? ?
编辑:允许用户或组编辑选定的 WMI 筛选器。
完全控制:允许用户或组编辑、删除和修改选定 WMI 筛选器的安全性。
可以使用 GPMC 来委派这些权限。在 GPMC 控制台树中,单击要委派权限的 WMI 筛选器。在细节窗格中,单击“委派”选项卡,然后根据需要委派权限。
请注意,所有用户都具有所有 WMI 筛选器的“读取”访问权限。GPMC 不允许删除此权限。如果删除了“读取”权限,目标计算机上的组策略处理将会失败。
定义组策略操作步骤
为便于将来的组策略管理,应拟定操作步骤以确保按授权和可控制的方式对 GPO 进行更改。尤其是,确保在部署到生产环境之前,正确暂存所有新 GPO 以及现有 GPO 中的更改。还应该定期创建 GPO 备份。
在某些组织中,可能由不同团队负责管理组策略的不同内容。例如,软件部署团队通常关注“用户配置\\策略\\软件设置\\软件安装”和“计算机配置\\策略\\软件设置\\软件安装”下面的策略设置。该团队不太可能会对与项目有关的其余策略设置(如脚本和文件夹重定向)感兴趣。
为降低复杂性并最大限度降低出现错误的可能性,请考虑为不同管理员组创建单独的 GPO。或者,也可以将管理员的访问权限限制为他们有权更改的组策略部分。可以使用“受限的/许可的管理单元\\扩展管理单元”策略设置来限制管理员可以访问的管理单元。在“用户配置\\策略\\管理模板\\Windows 组件\\Microsoft 管理控制台”下面编辑 GPO 时,可以使用此策略设置。“受限的/许可
的管理单元\\扩展管理单元”策略设置与可使用 GPMC 附带的编辑器访问的 UI 有关。请注意,某些团队可能需要访问多种类型的扩展管理单元。 备注
MMC 策略设置仅影响可使用 MMC 访问的 UI;如果使用编程方法编辑组策略,则可以编辑任何 GPO 设置。
要了解这些设置和其他组策略设置的详细信息,请在编辑 GPO 时双击详细窗格中的策略设置,然后在策略的“属性”对话框中单击“说明”选项卡。请注意,如果启用了“扩展的视图”,在单击策略设置时,将始终显示此信息。默认情况下,将启用该视图。
指定域控制器以编辑组策略
在每个域中,GPMC 使用相同域控制器执行该域中的所有操作。这包括对位于该域中的 GPO 以及该域中的所有其他对象(如 OU 和安全组)的所有操作。
GPMC 还使用相同域控制器执行站点上的所有操作。该域控制器用于读取和写入任何给定站点上存在的 GPO 链接的相关信息,但 GPO 本身的相关信息是从 GPO 所在的域的域控制器中获取的。 默认情况下,在控制台中添加新域时,GPMC 使用在该域中具有主域控制器 (PDC) 模拟器操作主机角色的域控制器来执行该域中的操作。默认情况下,GPMC 使用用户域中的 PDC 模拟器来管理站点。 为避免发生复制冲突,选择域控制器是管理员的一个重要考虑事项。这是特别重要的,因为 GPO 数据位于 Active Directory 和 Sysvol 中,而它们依靠独立的复制机制将 GPO 数据复制到域中的不同域控制器。如果两个管理员在不同域控制器上同时编辑同一 GPO,一个管理员写入的更改可能会被另一个管理员覆盖,具体取决于复制延迟。
为避免出现此情况,GPMC 将每个域中的 PDC 模拟器作为默认域控制器。这有助于确保所有管理员使用相同的域控制器,并防止造成数据丢失。不过,您可能并非始终希望管理员使用 PDC 编辑 GPO。例如,如果管理员位于远程站点上,或者 GPO 针对的用户或计算机大多位于远程站点上,则管理员可以选择使用远程位置的域控制器。例如,如果您是在日本的管理员,而 PDC 模拟器在纽约,则依靠 WAN 链接访问纽约 PDC 模拟器可能是很不方便的。 重要事项
如果多个管理员管理一个公共 GPO,则在编辑特定 GPO 时,所有管理员应使用同一个域控制器以避免在 FRS 中发生冲突。
若要指定用于林中的给定域或所有站点的域控制器,请使用 GPMC 中的“更改域控制器”命令。在任一情况下,都可以使用以下四个选项:
? ?
具有 PDC 模拟器操作主机令牌的域控制器(默认选项) 任何可用的域控制器