返回首页
当前位置: 主页 > 互联网技术 > 网络管理 >

域策略应用过程详解

时间:2016-09-21 13:03来源:电脑教程学习网 www.etwiki.cn 编辑:admin

 我们知道用户在登录域客户端的时候,会去应用组策略,那么这个过程究竟是怎样去完成的呢?大体上可以分为两步,第一步是验证过程;验证通过后,客户端会去找DC查询需要应用哪些组策略,然后一一应用。下面我们就来一探究竟:
客户端查找DC并进行身份验证
客户端通过自身的netlogon服务,去向DNS服务器查找域内的PDC、GC、KDC、LADP等SRV记录;先查询站点内的前述记录,若无,则查找全局内的上述记录。
查找到相关记录之后,DNS会按照优先级和权重排序返回各项记录,客户端会按照先后顺序去连接第一个服务器的LDAP协议的389端口;若第一个不响应,则去连接第二个。
直到某一个DC响应后,客户端检查DC是否有其需要的相关信息。如果有,客户端开始登陆,哪个DC先响应请求,客户端就找其做身份验证。
客户端缓存DC的相关信息,以便在下次登录的时候直接使用。
以上是客户端查找DC验证的过程,实际上,在验证过后,顺带就会去应用组策略,那么组策略究竟是按照怎样的顺序和原则去应用的呢?
应用组策略过程 我们知道DC启动时,会向DNS宣告自己的角色,DNS服务器接受宣告后,更新DNS数据库中DC对应的资源记录。
客户机登录时会联系DNS服务器,寻找适当的DC进行身份验证,过程如上所述。验证通过后,DC告诉客户机所属的站点信息,域信息,以及OU信息。
客户机获取到这些信息后,就会找到相应的域控,会检查它所在的OU中链接了哪些组策略,就可以查询到正确的GPO列表。并去检查每一个GPO的最新版本,这部分数据存储在AD数据库的GPC数据中。
客户端知道自己应该去应用哪些组策略,并且知道这些组策略的最新版本后,就会去查找GPO的GPT部分,即每一条组策略的配置信息部分。这部分数据存储在默认域共享的sysvol文件夹中。然后根据Unique ID 找到Sysvol文件夹定位对应的组策略模板。根据组策略模板中信息检查设定了哪些策略,检测到了就执行相应的操作。
当客户端拿到组策后,其实它不是下载到本地,而是当客户端检测到该组策略后,就会将相应的配置写到相应的注册表中,即组策略生效了。如果没有权限的客户端,就不会将更改或配置写进注册表。
以上是客户端去查找组策略并且去应用组策略的整个过程。

组策略的应用顺序
组测策略执行的顺序是本地组策略-->站点-->域--> OU。简单的说,客户机应用组策略的流程有以下几个步骤:
客户机启动,执行本地安全策略。
客户机连接到网络,查询DC获取要应用的GPO列表。同样是按照站点-->域--> OU这样的一个顺序。
客户机根据GPO列表,连接到Sysvol文件夹定位对应的组策略模板。
客户机根据组策略模板中信息执行相应的操作,即将组策略中的配置写入客户端自身的注册表中。
计算机策略执行完成后,出现登录界面,用户登录。
用户验证通过后,用户查询DC获取要应用的GPO列表。下面执行步骤与计算机执行步骤类似。

------分隔线----------------------------
标签(Tag):域策略应用
------分隔线----------------------------
推荐内容
猜你感兴趣