本文最后更新于 2024-07-26,文章内容可能已经过时。

域渗透——组策略

前置环境搭建:

https://windeskyblog.love/archives/34f8a421-150c-4025-8521-f918d65396df

winServer2008 (域控主机)

winServer2003 (域内主机)

win7 (域内主机)

域组策略

在一个域中,只有域控主机,才能设置域组策略。(安全策略)

1、组策略介绍
  • 一组策略的集合,用于统一修改系统、设置程序
2、组策略优点
  • 减小管理成本、减小用户单独配置错误的可能性、可以针对特定对象设置特定的策略
3、组策略对象GPO

例如:域内主机统一安装一个程序,每一个策略就是一个GPO对象。

  • 存储组策略的所有配置信息,是AD中的一种特殊对象
  • 默认GPO
    • 默认域策略:影响域中所有的用户和计算机
    • 默认域控制器策略:影响组织单位“Domain Controllers”中所有的用户和计算机
  • GPO链接应用:只能链接到站点、域、OU(组织单位)上

二、域组策略应用案例

1、域组策略基本操作
  • 打开域控制器上的组策略管理

在win2008域控主机的开始--》管理工具--》组策略管理

image-20240621013635078

默认组策略

image-20240621013749964

查看管理中心的Computer,可以发现有两台主机加入

image-20240621013929080

将两台主机移动到xiaoe888

image-20240621014047031

案例一:配置统一桌面

将选取的桌面背景拷贝到域控主机中

image-20240621014424721

打开组策略管理,在xiaoe888的组下右击--》在这个域中创建GPO并在此处连接(c)

image-20240621014611690

image-20240621014633793

右击xiaoe888-->"编辑"-->“用户配置”-->"管理模板"-->“桌面”-->Active desktop,打开如下界面后,编辑启用桌面壁纸。壁纸名称处指定使用本地图片或者网络分享的图片,后者可以将图片在DC的共享文件夹中

image-20240621015137344

image-20240621021053045

单机确定即可,前提是这个桌面壁纸文件或者文件夹需要开启共享。

文件夹开启共享:

到文件路径,右击文件夹--》“属性”--》共享--》添加-->查找用户--》输入用户名--》检查名称--》确定

image-20240621015555679

image-20240621015803775

可以在这一步设置用户的读取或者写入权限。

测试

域内主机win7访问图片

\\web\puies\test.png

image-20240621020712505

域内主机win2003访问图片

image-20240621020858318

设置完组策略后,重启主机会发现,win7和2003的桌面壁纸被改成了相应图片。

image-20240621022055813

案例二(用户配置)

  • 实验环境:已部署Windows Server 2016域,销售部员工用户位于OU“销售部”中

  • 实验需求:销售部员工使用统一的桌面背景

    编辑“财务部”中创建的“组策略对象(GPO)”,点击”用户配置“->”管理模板“->”桌面“->”桌面“,打开如下界面,编辑启用桌面墙纸。墙纸名称处指定使用本地图片或是网络中分享的图片,后者可以将图片在DC的共享文件夹中。

    image-20230301145909521

C:\tools\images\a.jpg

案例三(软件分发)

  • 实验环境:已部署Windows Server 2016域,销售部员工用户位于OU“销售部”中
  • 实验需求:将软件MBSA统一分发给销售部所有员工,用户可以选择是否进行安装
  • 注意
    • 只能针对 “.msi” 格式文件进行分发(可以使用VERITAS Discover和Advanced Installer等第三方软件将.exe格式文件转换为.msi格式文件)
    • 分发是分配和发布(分配:将程序分配到用户或计算机、发布:将程序发布给用户,用户可选择是否安装;分配比发布更具有强制性)
    • 软件分发点是服务器上的共享文件夹,应采用 “\服务器名或IP地址\共享名” 方式访问

案例四:配置登录次数

  • 实验环境:已部署Windows Server 2016域,“财务部”组中包含财务部员工用户账户UserC
  • 实验需求:财务部的员工设置密码的长度为9,允许登陆尝试次数为3次,一旦账户被锁定,必须由管理员手动解锁该账户

三、组策略应用规则

1、策略继承与阻止

  • 下级容器默认会继承来自上级容器的GPO

  • 子容器可以阻止继承上级容器的GPO

    image-20210730172447975

2、策略强制生效和筛选

  • 强制生效

    • 上级容器强制下级容器执行其GPO设置

      image-20210730172403826

    • “强制生效”会覆盖“阻止继承”设置

      image-20210730173206977

  • 筛选

    • 可阻止一个GPO应用于容器内的特定计算机或用户

      image-20210730172604885

3、组策略应用顺序
  • LSDOU(本地、站点、域、组织单位)
    • 首先应用本地组策略
    • 如果有站点组策略,则应用
    • 接着应用域策略
    • 最后应用OU上的策略
    • 如果同一个OU上链接了多个GPO,则按照链接顺序从高到低逐个应用

小结

AD域环境主要应用于将网络中的计算机逻辑的组织在一起实现集中管理,在整个域环境中有对应的域用户及计算机,想要针对用户及计算机进行策略设定,可以依据与域组策略应用,在站点、域、OU上创建对应的GPO对象从而影响对应的用户和计算,实现统一配置

monica-code-tools

monica-code-tools