策略设置实例演练

策略设置实例演练：计算机配置

系统默认是只有某些组(例如：Administrators)内的用户，才有权限在扮演域控制器角色的计算机上登录，而普通用户在域控制器上登录时，屏幕上会出现无法登录的警告消息，除非他们被赋予"允许本地登录"的权限

假设要开放让域h2o.com内的Domain Users组内的用户可以在域控制器上登录。将默认的Default Domain Controllers Policy GPO来设置，也就是要热昂这些用户在域控制器上拥有"允许本地登录"的权限

实现步骤：

Step1：域控制器上利用系统管理员身份登录

Step2：单击左下角开始图标 -> Windows管理工具 -> 组策略管理

Step3：如图所示，展开到组织单位Domain Controllers -> 选中右侧的Default Domain Controllers Policy并右击"编辑"

Step4：如图所示，展开计算机配置 -> 策略 -> Windows设置 -> 安全设置 -> 本地策略 -> 用户权限分配 -> 双击右侧的"允许本地登录"

Step5：如图所示单击"添加用户或组"按钮 -> 输入或选择域h2o.com内的Domain Users组 -> 单击2次"确定"按钮

完成后，必须等这个策略应用到组织单位Domain Controllers内的域控制器后才有效。等应用完成后，就可以利用任何一个域用户账户在域控制器上登录，以测试"允许本地登录"功能是否正常

   

策略设置实例演练：用户配置

假设域h2o.com内有一个组织单位财务部，而且已经限制他们需要通过企业内部的代理服务器上网，而为了避免用户私自更改这些设置值，因此以下要将其Internet选项中连接选项卡内更改Proxy的功能禁用

由于当前并没有任何GPO被连接到组织单位财务部，因此我们将先建立一个连接到财务部的GPO，然后通过修改次GPO设置值的方式来达到目的

具体步骤：

Step1：请到域控制器上利用系统管理员身份登录

Step2：单击左下角"开始"图标 -> Windows管理工具 -> 组策略管理

Step3：如图所示，展开组织单位"财务部" ->选中"财务部"并右击 -> 在这个域中创建GPO并在此处链接

也可以先通过选中"组策略对象"并右击 -> 新建 的方法来建立新GPO，然后再通过选中组织单位"财务部"并右击 -> 链接现有GPO 的方法来将上述GPO连接到组织单位"财务部"

Step4：如图中为次GPO命名后单击确定按钮

Step5：如图所示，选中这个GPO并右击编辑

Step6：如图所示，展开"用户配置" -> 策略 -> 管理模板 -> Windows组件 -> Internet Explorer -> 将右侧"阻止更改代理设置"改为"已启用"

Step7：利用"财务部"内的任何一位用户账户到任何一台域成员计算机上登录

Step8：按"Win"+"R"键打开运行，输入"control"后按回车 -> 网络和Internet -> Internet选项 -> 如图所示单击"连接"选项卡下的"局域网设置"按钮，从前景图可知无法更改这些设置

   

首选项设置实例演练

我们要让位于组织单位"财务部"内的用户Dick登录时，其驱动器号Z会自动连接到\\dc1\tools共享文件夹，不过童谣是位于"财务部"内的其他用户登录时不会有Z磁盘。我们要利用前面所建立的"Finance Department GPO"

具体步骤：

Step1：到域控制器DC上利用系统管理员身份登录

Step2：打开"文件资源管理器"，建立文件夹tools，并将其设置为共享文件夹，然后为Everyone开放"读取/写入"的共享权限

Step3：单击左下角"开始"图标 -> Windows管理工具 -> 组策略管理

Step4：如图所示选中组织单位"财务部"下的"Finance Department GPO"并右击 -> 编辑

Step5：如图所示，展开用户设置 -> 首选项 -> Windows设置 -> 选中驱动器映射，并右击 -> 新建 -> 映射驱动器

Step6：如图所示，操作处选择"更新"，位置处输入共享文件夹路径\\dc1\tools，使用Z磁盘来连接共享文件夹，勾选"重新连接"以便客户端每次登录时都会自动利用Z磁盘来连接

其中的操作可以有以下的选择：

• 创建：会在客户端计算机建立用来连接此共享文件夹的Z磁盘
• 替换：客户端如果已经存在网络驱动器Z，则将其删除后改以此处的设置取代原来的Z磁盘。如果客户端不存在Z磁盘的话，则新建
• 更新：修改客户端的Z磁盘设置，例如修改客户端连接共享文件夹时所使用的用户账户与密码。如果客户端不存在Z磁盘的话，则新建。此处我们选择默认的"更新"
• 删除：删除客户端的Z磁盘

Step7：单击如图所示，"常用"选项卡，如图所示进行勾选

• 如果发生错误，则停止处理该扩展中的项目：如果在"驱动器映射"扩展内有多个设置项目的话，则默认是当系统在处理本项目时，如果发生错误，它仍然会继续处理下一个项目，但如果勾选此选项的话，它就会停止，不再继续处理下一个项目
• 在登录用户的安全上下文中运行(用户策略选项)：客户端CSE默认是利用本地系统账户身份来处理"首选项设置"的项目，这使得CSE只能访问可供本地计算机访问的环境变量与系统资源，而此选项可让CSE改用用户的登录身份来处理"首选项"的项目，如此CSE就可以访问本地计算机无权访问的资源或用户环境变量，例如此处利用网络驱动器Z来连接网络共享文件夹\\dc1\tools，就需要勾选
• 当不再应用项目时删除此项目：当GPO被删除后，客户端计算机内与该GPO内策略设置有关的设置都会被删除，然而与"首选项"有关的设置仍然会被保留，例如此处的网络驱动器Z仍然会被保留，如果勾选此项的话，则与此"首选项"有关的设置会被删除
• 应用一次且不重新应用：客户端计算机默认会每隔90分钟重新应用GPO内的首选项设置，因此如果用户自行更改设置的话，则重新应用后会恢复为"首选项"内的设置值，如果希望用户能够保留自定义的设置值的话，请勾选此选项，此时它只会应用一次
• 项目级别目标：它让你针对每一个"首选项"项目来决定此项目的应用目标，例如可以选择将其只应用到特定用户或特定Windows系统。本示例只是要将设置应用到组织单位"财务部"内的单一用户Dick，故需勾选此项

Step8：单击上图所示"常用"选项卡下的"目标"按钮，以便将此项目的应用对象指定为用户Dick，换句话说，此项目的目标为用户Dick

Step9：如图所示，单击左上角的"新建项目" -> 选择"使用户" -> 在"用户"处浏览或选择将此项目应用到域h2o.com的使用者Dick后，单击"确定"按钮

Step10：回到"新建驱动器属性"界面时单击"确定"按钮

Step11：如图所示，右侧刚建立、利用Z磁盘来连接\\dc1\tools共享文件夹的设置，这样一个设置被称为一个项目(item)

   

Step12：到任何一台域成员计算机上利用组织单位"财务部"内的用户账户Dick登录，打开资源管理器，之后将如图所示看到其Z磁盘已经自动连接到我们指定的共享文件夹。但是如果利用组织单位"财务部"内的其他用户账户登录的话，就不会有Z磁盘