Windows 08 R2_组策略

Windows 08 R2_组策略

目录

​​目录​​​​组策略​​

​​组策略对象GPO​​​​实验一组策略的计算机配置​​​​实验二组策略的用户配置​​​​实验三首选设置​​​​实验四组策略更改计算机桌面​​​​常用的组策略管理模块策略​​

​​限制用户运行指定的Windows程序​​​​隐藏或显示在控制面板内指定的项目​​​​删除开机功能中的部分命令​​​​通过账户策略来设置密码密码的使用准则密码的锁定​​

组策略

组策略分为​计算机配置​和​用户配置​两部分：

1. 计算机配置：当计算机开机时，系统会根据计算机配置的属性来设置计算机环境。例如：我们在Jmilk.com这个AD域内设置了计算机配置组策略，则此策略就会被应用到这个域内的所有计算机。

2. 用户配置：当用户登录时，系统会根据用户配置的属性来设置用户的工作环境。例如：我们对组织单位​teacher​配置了组策略，则组织单位下的所有用户都会应用该策略。

组策略对象GPO

组策略是通过​组策略对象​来设置的，在建立了组策略对象之后，将GPO和指定的站点、域、组织单位进行链接。那么这个GPO的属性值就会影响到改站点、域、组织单位。

实验一：组策略的计算机配置

在域控制器的系统中默认只有某些组内的用户才能登录，一般的用户是服务登录的。例如：域jmilk.com内的Domain Users组中的用户无法在域控制器中登录，除非为他们赋予​允许本地登录​的权限。我们可以通过​GPO：Default Domain Controllers Policy​赋予这些用户登录权限。

​Step1​：以系统管理员的权限登录到域控制器。

​Step2​：打开​组策略控制器​

​Step3​：展开​Domain Controllers​，并右击编辑​GPO：Default Domain Controllers Policy​ 。

​Step4​：进入​组策略管理编辑器​，展开​计算机配置​至​用户权限分配​，找到​允许本地登录​策略后，双击开打。添加组​JMILK\Domain Users​

​注意​：成功将​JMILK\Domain Users​加入到策略后，需要等待一段时间来同步更新。或者你也可以使用指令​​gpupdate /force​​来即使同步。在完成同步之后，我们可以在组织单位内创建

实验二：组策略的用户配置

例如：在AD域​jmilk.com​内有一个组织单位​teacher​，而我们要针对这个组织单位内所有的用户来设置，而且限定它们必须通过企业内部的代理服务器(Proxy Server)上网。假设代理服务器的网址为：proxy.jmilk.com，端口号为8080。同时我们要将其浏览器Internal Explorer的​连接标签​更改为代理服务器设置的功能禁用，以免防止用户私自的更改此选项。

我们需要先创建一个GPO链接到​teacher​，然后通过修改此GPO设置值的方式来进行操作。

​Step1​：以系统管理员的身份登陆到域控制器

​Step2​：开打组策略管理工具

​Step3​：展开​teacher​组织单位，右击，在这个组织单位中创建GPO并链接到此处

​Step4​：进入组策略编辑器，编辑这个GPO

​Step4​：选择用户配置策略下的Internal Explorer下的连接选项，再双击​代理设置​，将proxy.jmilk.com和8080端口填入，确定。

​Step5​：展开用户设置策略下的管理模板下的Windows组件下的Internal Explorer，编辑右方的​禁用更改代理服务器设置​的状态改为​已启用​。

​Step6​：使用指令​​gpupdate /force​​来更新同步组策略

​Step7​：验证组策略。使用​teacher​组织单位下的任意用户登录，并查看Internal Explorer选项中代理服务器的设置已经变灰。

实验三：首选设置

组策略还可以分为​策略设置​和​首选设置​

1. 首选设置：只有域的组策略才有首选策略功能。首选设置策略的属性是可以被客户端自行改变的。因此首选设置一般用于默认值的设定。

2. 策略设置：是强制性设置，客户端应用这些设置后就无法更改策略属性的。

​注意​：当某一个项目，同时被首选设置和策略设置处理时，以策优略设置为优先。

同时​首选设置​来为组织单位​teacher​内的计算机win7pc自动创建一个本地用户账号Henry。

​注意​：首先需要HOST：win7pc是在域内的，使能够被DNS解析的。

​Step1​：使用系统管理员身份登陆到域控制器

​Step3​：打开组策略管理工具

​Step4​：在​组策略管理器​中编辑组织单位​teacher​下原有的GPO：proxy

​Step5​：展开​组策略管理器​下的计算机配置下的首选项下的控制面板设置下的对着本地用户和组，右击，选择新建本地用户。

​Step9​：更新同步gpupdate，再登陆到HOST：win7pc后打开​管理用具​下的​计算机管理​查看henry用户是否存在。

实验四：组策略更改计算机桌面

在某些企业要求每一位员工在使用域账号登陆到计算机时，要使用带有企业Logo的桌面壁纸。

​Step1​：以系统管理员的身份登陆到域控制器。

​Step2​：打开​AD计算机和用户​管理工具并创建一个组织单位​shareDesktop​

​Step3​：在组织单位​shareDesktop​下创建你需要管理的用户，或者将需要管理的用户移动到这个组织单位下。

​Step4​：确保用户具有远程登陆和本地登录权限

​远程登陆​：

在组策略管理器中，打开Domain Controllers组织单位里的组策略在组策略编辑器中，定位到计算机配置->Windows设置->安全设置->本地策略->用户权限分配在​允许在本地登陆”中​中加入Remote Desktop Users组在​允许通过远程桌面服务登录​中也加入Remote Desktop Users组将需要远程服务的用户加入remote desktop users组更新组策略：gpupdate /target:computer /force

​本地登录​：

​Step5​：打开组策略管理器，在组织单位​shareDesktop​下新建并链接GPO：desktop

​Step6​：编辑GPO：desktop

6.将​用户配置​下的​管理模板​下的​Active Desktop​设置为​启用active desktop​，同时确保​禁用Active Desktop​选项保持​未配置​状态。

​Step7​：共享你希望分享的桌面壁纸的文件夹，同时保证everyone 和administrator有完全控制权限

确保everyone 和administrator有完全控制权限

共享完成

​Step8​：测试共享文件

在win7pc中以chihiro的身份登陆，并Run –> \dns1.jmilk.com\image

​Step9​：启用​桌面壁纸策略​然后设置你壁纸的共享路径

​Step10​：确保GPO：desktop已经链接到你需要的组织单位上

​Step11​：11.执行指令​​gpupdate /force​​强制更新同步组策略。然后用你在这个组织单位下的域用户登录域下的计算机。

​注意​：如果在控制面板中的桌面背景能够获取图片路径，但是桌面壁纸却没有改变的话，需要将桌面壁纸的源文件改为​.bmp​格式就好了。

常用的组策略管理模块策略

我们已用户配置中的管理模块为例。

限制用户运行指定的Windows程序

限制用户只可以或不可以运行指定的Windows程序

双击​系统​策略 –> 选择​只运行指定的Windows应用程序​或​不运行指定的Windows应用程序​ –> 编程此策略，并输入希望处理的应用程序的可执行文件名称，例如：Powershell.exe

隐藏或显示在控制面板内指定的项目

用户在控制面板内将看不见被隐藏起来的项目或只能看见指定显示的项目。

双击​控制面板​ –> 双击右边的​隐藏指定的控制面板​或​显示指定的控制面板​ –> 编辑此策略，并填入希望处理的控制面板项目名称，例如：鼠标、用户账户

删除开机功能中的部分命令

删除​开机​功能中的​关机​、​重启​、​睡眠和休眠​

双击​“开始”菜单和任务栏​ –> 双击​删除并阻止访问”关机”、”重新启动”、”睡眠”和”休眠”命令​ –> 将此此策略设为​启动​。这样在用户的开始菜单里就不会再有这些选项。

通过账户策略来设置密码、密码的使用准则、密码的锁定。

​注意​：账户策略只针对域用户有效，而且所设置的账户策略必须通过​域级别的GPO​来设置才有效。如果你针对某个组织单位来设置账户策略，则这个账户策略只会被应用到位于此组织单位内计算机的本地账户而已，但不能影响此组织单位的域用户。

​设置账户策略​：编辑域级别的GPO(这里以Default Domain Policy为例) –> 展开​计算机配置​下的​策略​ –> Windows设置 –> 安全设置 –> 账户策略

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。