策略设置实例演练

策略设置实例演练:计算机配置

系统默认是只有某些组(例如:Administrators)内的用户,才有权限在扮演域控制器角色的计算机上登录,而普通用户在域控制器上登录时,屏幕上会出现无法登录的警告消息,除非他们被赋予"允许本地登录"的权限

假设要开放让域h2o.com内的Domain Users组内的用户可以在域控制器上登录。将默认的Default Domain Controllers Policy GPO来设置,也就是要热昂这些用户在域控制器上拥有"允许本地登录"的权限

实现步骤:

Step1:域控制器上利用系统管理员身份登录

Step2:单击左下角开始图标 -> Windows管理工具 -> 组策略管理

Step3:如图所示,展开到组织单位Domain Controllers -> 选中右侧的Default Domain Controllers Policy并右击"编辑"

Step4:如图所示,展开计算机配置 -> 策略 -> Windows设置 -> 安全设置 -> 本地策略 -> 用户权限分配 -> 双击右侧的"允许本地登录"

Step5:如图所示单击"添加用户或组"按钮 -> 输入或选择域h2o.com内的Domain Users组 -> 单击2次"确定"按钮

完成后,必须等这个策略应用到组织单位Domain Controllers内的域控制器后才有效。等应用完成后,就可以利用任何一个域用户账户在域控制器上登录,以测试"允许本地登录"功能是否正常

   

策略设置实例演练:用户配置

假设域h2o.com内有一个组织单位财务部,而且已经限制他们需要通过企业内部的代理服务器上网,而为了避免用户私自更改这些设置值,因此以下要将其Internet选项连接选项卡内更改Proxy的功能禁用

由于当前并没有任何GPO被连接到组织单位财务部,因此我们将先建立一个连接到财务部的GPO,然后通过修改次GPO设置值的方式来达到目的

具体步骤:

Step1:请到域控制器上利用系统管理员身份登录

Step2:单击左下角"开始"图标 -> Windows管理工具 -> 组策略管理

Step3:如图所示,展开组织单位"财务部" ->选中"财务部"并右击 -> 在这个域中创建GPO并在此处链接

也可以先通过选中"组策略对象"并右击 -> 新建 的方法来建立新GPO,然后再通过选中组织单位"财务部"并右击 -> 链接现有GPO 的方法来将上述GPO连接到组织单位"财务部"

Step4:如图中为次GPO命名后单击确定按钮

Step5:如图所示,选中这个GPO并右击编辑

Step6:如图所示,展开"用户配置" -> 策略 -> 管理模板 -> Windows组件 -> Internet Explorer -> 将右侧"阻止更改代理设置"改为"已启用"

Step7:利用"财务部"内的任何一位用户账户到任何一台域成员计算机上登录

Step8:按"Win"+"R"键打开运行,输入"control"后按回车 -> 网络和Internet -> Internet选项 -> 如图所示单击"连接"选项卡下的"局域网设置"按钮,从前景图可知无法更改这些设置

   

首选项设置实例演练

我们要让位于组织单位"财务部"内的用户Dick登录时,其驱动器号Z会自动连接到\\dc1\tools共享文件夹,不过童谣是位于"财务部"内的其他用户登录时不会有Z磁盘。我们要利用前面所建立的"Finance Department GPO"

具体步骤

Step1:到域控制器DC上利用系统管理员身份登录

Step2:打开"文件资源管理器",建立文件夹tools,并将其设置为共享文件夹,然后为Everyone开放"读取/写入"的共享权限

Step3:单击左下角"开始"图标 -> Windows管理工具 -> 组策略管理

Step4:如图所示选中组织单位"财务部"下的"Finance Department GPO"并右击 -> 编辑

Step5:如图所示,展开用户设置 -> 首选项 -> Windows设置 -> 选中驱动器映射,并右击 -> 新建 -> 映射驱动器

Step6:如图所示,操作处选择"更新",位置处输入共享文件夹路径\\dc1\tools,使用Z磁盘来连接共享文件夹,勾选"重新连接"以便客户端每次登录时都会自动利用Z磁盘来连接

其中的操作可以有以下的选择:

  • 创建:会在客户端计算机建立用来连接此共享文件夹的Z磁盘
  • 替换:客户端如果已经存在网络驱动器Z,则将其删除后改以此处的设置取代原来的Z磁盘。如果客户端不存在Z磁盘的话,则新建
  • 更新:修改客户端的Z磁盘设置,例如修改客户端连接共享文件夹时所使用的用户账户与密码。如果客户端不存在Z磁盘的话,则新建。此处我们选择默认的"更新"
  • 删除:删除客户端的Z磁盘

Step7:单击如图所示,"常用"选项卡,如图所示进行勾选

  • 如果发生错误,则停止处理该扩展中的项目:如果在"驱动器映射"扩展内有多个设置项目的话,则默认是当系统在处理本项目时,如果发生错误,它仍然会继续处理下一个项目,但如果勾选此选项的话,它就会停止,不再继续处理下一个项目
  • 在登录用户的安全上下文中运行(用户策略选项):客户端CSE默认是利用本地系统账户身份来处理"首选项设置"的项目,这使得CSE只能访问可供本地计算机访问的环境变量与系统资源,而此选项可让CSE改用用户的登录身份来处理"首选项"的项目,如此CSE就可以访问本地计算机无权访问的资源或用户环境变量,例如此处利用网络驱动器Z来连接网络共享文件夹\\dc1\tools,就需要勾选
  • 当不再应用项目时删除此项目:当GPO被删除后,客户端计算机内与该GPO内策略设置有关的设置都会被删除,然而与"首选项"有关的设置仍然会被保留,例如此处的网络驱动器Z仍然会被保留,如果勾选此项的话,则与此"首选项"有关的设置会被删除
  • 应用一次且不重新应用:客户端计算机默认会每隔90分钟重新应用GPO内的首选项设置,因此如果用户自行更改设置的话,则重新应用后会恢复为"首选项"内的设置值,如果希望用户能够保留自定义的设置值的话,请勾选此选项,此时它只会应用一次
  • 项目级别目标:它让你针对每一个"首选项"项目来决定此项目的应用目标,例如可以选择将其只应用到特定用户或特定Windows系统。本示例只是要将设置应用到组织单位"财务部"内的单一用户Dick,故需勾选此项

Step8:单击上图所示"常用"选项卡下的"目标"按钮,以便将此项目的应用对象指定为用户Dick,换句话说,此项目的目标为用户Dick

Step9:如图所示,单击左上角的"新建项目" -> 选择"使用户" -> 在"用户"处浏览或选择将此项目应用到域h2o.com的使用者Dick后,单击"确定"按钮

Step10:回到"新建驱动器属性"界面时单击"确定"按钮

Step11:如图所示,右侧刚建立、利用Z磁盘来连接\\dc1\tools共享文件夹的设置,这样一个设置被称为一个项目(item)

   

Step12:到任何一台域成员计算机上利用组织单位"财务部"内的用户账户Dick登录,打开资源管理器,之后将如图所示看到其Z磁盘已经自动连接到我们指定的共享文件夹。但是如果利用组织单位"财务部"内的其他用户账户登录的话,就不会有Z磁盘

   

posted @ 2022-08-31 14:46  hongliang888  阅读(142)  评论(0编辑  收藏  举报