user account和OU的Group Policy Object (GPO)

建立一般使用帳戶  

• SAM Account  → 網域名\帳戶 ex:  contoso\alex
• UPN (User Principle Name)→ 帳戶@網域名  ex: alex@contoso.com (與E-mail無關，只是形式相仿)

DC預設"Domain Admins" 不允許一般使用者登入

·         系統管理工具→群組原則→contoso.com→Domain Controllers→Default Domain Controllers Policy→右鍵→編輯→電腦設定→原則→Windows設定→安全性設定→本機原則→使用者權力指派→允許本機登入  (DC)  加入User

·         命令提示字元#gpupdate /force

尋找使用者或電腦詳細資料

AD使用者和電腦→檢視→進階功能

AD使用者和電腦→Domain名稱→右鍵→尋找→輸入字串→立即尋找→滑鼠雙擊物件

子公司   (xyz.com)

建立UPN尾碼

1.       系統管理工具→Active Directory 網域及信任→AD網域和信任→右鍵→內容→新增 xyz.com

2.       AD使用者和電腦→double-click帳戶→帳戶 

3.       修改為@xyz.com   使用者就可以使用  @xyz.com登入

組織頁籤資料

1.       協助搜尋物件

2.       組織有使用Exchange Server，讓使用者在Exchange中查詢

停用帳戶 (停用帳號圖案會出現向下的箭號)

1.       不允許登入

2.       離職、退休、留職停薪(刪除帳戶前先停用1~3個月，避免軟體相依)

重設密碼

只要不是使用者自己變更密碼，管理者變更的後遺症→

1.       EFS加密檔案打不開

2.       IE儲存資料會清除

3.       Windows中的個人設定會清除

限定登入電腦

其他電腦的驗證不允許登入，必須加入可登入的電腦名稱

雙向複寫

·         同一site

·         ws2000/2003的DC需5mins

·         ws2008/2012的DC需15sec.

·         加速同步→AD站台及服務→立即複寫

大量新增帳戶 (指令#csvde)

DN,objectClass,SAMAccountName,UserPrincipalName,DisplayName,UserAccountControl

"CN=Charlie,OU=老師,DC=contoso,DC=com",user,Charlie,Charlie@contoso.com,Charlie,514

"CN=Daniel,OU=老師,DC=contoso,DC=com",user,Daniel,Daniel@contoso.com,Daniel,514

命令提示字元#csvde -i -k -f c:\csvde.txt

●相關資料http://tomfloor.wordpress.com/2011/09/04/easily-add-bulk-users-why-dsadd-csvde-and-ldifde-are-outdated/

網域群組(Group)

群組類型

安全性(security)                               發佈(Distribution)

●可設權限                                     ●只作為Exchange Server的Distribution list

●可作為Exchange Server的Distribution list

群組類型

網域本地(Domain Local)、全域(Global)、萬用(Universal)

見下圖比較：作用範圍、存放位置、設定權限、查詢速度

系統內建群組的作用

Builtin→Account Operators可以新增修改帳號

Builtin→Administrators

Builtin→Backup Operators

Builtin→Guests預設為關閉

Builtin→Network Configuration Operators設定網路

Builtin→Performance Monitor Users在Server上監視效能

Builtin→Pre-Windows 2000 Compatible Access安全相容性

Builtin→Print Operators

Builtin→Remote Desktop Users

Builtin→Server Operators權限僅次於Administrators

Container “Users”

Domain Admins管理各自的Domain 不能管理下面Domain

Enterprise Admins管理所有Domain

給予權限

l   最快作法Account→Permission

l   一般作法Account→Group→Permission

l   微軟的建議做法AGDLP  Account→Global Group→Domain Local Group→Permission

群組原則管理

→contoso.com→Domain Controllers→Default Domain Controller Policy→右鍵→編輯

→電腦設定→原則→Windows設定→安全性設定→本機原則→使用者權限指派

允許本機登入→群組LogonDC

允許關機→群組ShutdownDC

命令提示字元#gpupdate /force

遠端RSAT下，需使用PsTool的PSEXEC呼叫DC執行gpupdate /force

(http://www.windowsecurity.com/articles-tutorials/windows_2003_security/How-Force-Remote-Group-Policy-Processing.html)

群組原則 \sysvol

\sysvol實際上為文字檔，增加群組原則數量，只會讓Clients執行較久

·         如果還有XP_clients，要安裝KB943729，XP才能執行AD中群組原則新功能

·         XP還需安裝User Profile Hive Cleanup Service (解決關機很久，Win7預設已安裝)

Group Policy套用順序

contoso.com

    └---Sales

        └---PC1

1.       本機原則(gpedit.msc)──電腦設定

2.       到DC下載後Site Policy──電腦設定

3.       Domain Policy──電腦設定

4.       Sales OU Policy──電腦設定

使用者登入

1.       本機原則(gpedit.msc)──使用者設定

2.       Site Policy──使用者設定

3.       Domain Policy──使用者設定

4.       OU Policy──使用者設定

Group Policy

    ├---電腦設定   開機時套用

    └---使用者設定   登入時套用

             ├---原則(Policies)強制執行

             └---喜好設定(Preferences)XP預設不支援(所以剛剛要安裝KB943729)

              │                初始設定，使用者可以更改

  ↓減少Script編寫

實驗

contoso.com

    └---Sales→Sales GPO

             └---Server1

訊息標題一定要有內容，不輸入無法顯示

群組原則設定上有所衝突

contoso.com→Default DOmain Policy   IE的首頁tw.yahoo.com

    └---Sales→Sales GPO   IE的首頁www.google.com

             └---Server1

·         多個Group Policy的相同設定項目有衝突時，以較後面執行的Policy為準

回送處理模式

Group Policy

    ├---電腦設定   1.11:00使用者登入系統

    └---使用者設定   2.11:30修改

●Server&Client，每90~120mins自動檢查Group Policy是否變更

  ●DC，5minss之內生效

→手動觸發立即生效

·         #gpupdate 只套用變更的部分

·         #gpupdate /force所有Group Policy重新套用一次

·         所有的Server都是被動等Clients來更新，沒有直接控制Clients

到Clients執行#gpresult /r，檢查有執行那些Policies

contoso.com→Default DOmain Policy   IE的首頁tw.yahoo.com

    └---Sales→Sales GPO   IE的首頁www.google.com

             └---Server1

    └---Finance→Finance GPO   IE的首頁www.google.com

             └---Ben

回送模式(Lookback processing mode)分為

·         取代(Replace)模式 只參考電腦帳戶位置

·         合併(Merge)模式  先參考使用者位置，再參考電腦位置

                Server1開機

1.       Server1本機原則(gpedit.msc)──電腦設定

2.       到DC下載後Site GPO──電腦設定

3.       Default Domain GPO──電腦設定

4.       Sales OU GPO──電腦設定

使用者Ben登入

1.       Server1本機原則(gpedit.msc)──使用者設定

2.       Site GPO──使用者設定

3.       Default Domain GPO──使用者設定

4.       取代模式下  執行Finance OU GPO──使用者設定

5.       Sales OU GPO──使用者設定

GPO的例外：帳戶原則

Domain的User只參考設定在Default Domain Policy→電腦設定→原則→Windows設定→安全性設定→帳戶原則

在OU的Policy設帳戶原則，則只會影響OU電腦的本機器帳戶

密碼原則

•       使用可還原的加密來存放密碼  (不建議)
• 
•          錯誤的Policy組合：密碼最長使用期限(7天) + 強制執行密碼歷程記錄(default:24組)→25組輪替造成使用上的安全性漏洞

·         Microsoft密碼Hash，每七個字做編碼，安全性考量，最小密碼8個字較佳

·         WinOS自動重試3~4次 + DC密碼鎖定為3次→Microsoft建議至少7~8次

·         內建Administrator不受密碼鎖定影響，加入Domain Admins的帳戶會受影響

·         PS C:\Users\Administrator> whoami /user

·         USER INFORMATION

·         ----------------

·         使用者名稱                         SID

·         ===================== ==========================================

·         contoso\administrator              S-1-5-21-944477060-736531334-630789690-500

·         user SID =  Domain SID + RID

·         內建AdministratorRID一定是500

·         Hacker心態找成就感，心態正向   給Honey Pot

·         Administrator 1.改名  2.建立偽Administrator且無權限