「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」
以下將 Active Directory 簡稱為 AD

Group Policy

• 群組原則功能可以掌控使用者的工作與電腦管理環境
• 功能
  1. 帳戶原則：設定密碼長度、密碼使用期限、帳戶鎖定原則
  2. 本機原則：稽核原則設定、使用者的權限、安全性的設定
  3. 指令碼設定：登入、登出、啟動、關機指令碼
  4. 使用者工作環境設定
  5. 軟體安裝、移除
  6. 限制軟體執行
  7. 限制存取隨身碟(其他卸除式儲存裝置)
  8. 自動信任 CA
  9. 限制安裝裝置驅動程式

Group Policy Objects (GPO)

• 群組原則物件
  • GPO 一 link 到指定伺服器、網域、組織單位
    • GPO 設定就會影響
• 內建的 GPO
  1. Default Domain Policy
  2. Default Domain Controller Policy
  • 隨意亂動兩值內容會影響系統運作
• 內容
  • GPT Group Policy Template
    • 儲存 SPO 設定值與相關檔案
    • 是資料夾
  • GPC Group Policy Container
    • GPC 儲存在 AD DS 資料庫內
    • 紀錄 GPO 屬性與版本