Windows 08 R2_组策略
2016-05-05 11:57 云物互联 阅读(126) 评论(0) 编辑 收藏 举报目录
组策略
组策略分为计算机配置和用户配置两部分:
1. 计算机配置:当计算机开机时,系统会根据计算机配置的属性来设置计算机环境。例如:我们在Jmilk.com这个AD域内设置了计算机配置组策略,则此策略就会被应用到这个域内的所有计算机。
2. 用户配置:当用户登录时,系统会根据用户配置的属性来设置用户的工作环境。例如:我们对组织单位teacher配置了组策略,则组织单位下的所有用户都会应用该策略。
组策略对象GPO
组策略是通过组策略对象来设置的,在建立了组策略对象之后,将GPO和指定的站点、域、组织单位进行链接。那么这个GPO的属性值就会影响到改站点、域、组织单位。
实验一:组策略的计算机配置
在域控制器的系统中默认只有某些组内的用户才能登录,一般的用户是服务登录的。例如:域jmilk.com内的Domain Users组中的用户无法在域控制器中登录,除非为他们赋予允许本地登录的权限。我们可以通过GPO:Default Domain Controllers Policy赋予这些用户登录权限。
Step1:以系统管理员的权限登录到域控制器。
Step2:打开组策略控制器
Step3:展开Domain Controllers,并右击编辑GPO:Default Domain Controllers Policy 。
Step4:进入组策略管理编辑器,展开计算机配置至用户权限分配,找到允许本地登录策略后,双击开打。添加组JMILK\Domain Users
注意:成功将JMILK\Domain Users加入到策略后,需要等待一段时间来同步更新。或者你也可以使用指令gpupdate /force
来即使同步。在完成同步之后,我们可以在组织单位内创建
实验二:组策略的用户配置
例如:在AD域jmilk.com内有一个组织单位teacher,而我们要针对这个组织单位内所有的用户来设置,而且限定它们必须通过企业内部的代理服务器(Proxy Server)上网。假设代理服务器的网址为:proxy.jmilk.com,端口号为8080。同时我们要将其浏览器Internal Explorer的连接标签更改为代理服务器设置的功能禁用,以免防止用户私自的更改此选项。
我们需要先创建一个GPO链接到teacher,然后通过修改此GPO设置值的方式来进行操作。
Step1:以系统管理员的身份登陆到域控制器
Step2:开打组策略管理工具
Step3:展开teacher组织单位,右击,在这个组织单位中创建GPO并链接到此处
Step4:进入组策略编辑器,编辑这个GPO
Step4:选择用户配置策略下的Internal Explorer下的连接选项,再双击代理设置,将proxy.jmilk.com和8080端口填入,确定。
Step5:展开用户设置策略下的管理模板下的Windows组件下的Internal Explorer,编辑右方的禁用更改代理服务器设置的状态改为已启用。
Step6:使用指令gpupdate /force
来更新同步组策略
Step7:验证组策略。使用teacher组织单位下的任意用户登录,并查看Internal Explorer选项中代理服务器的设置已经变灰。
实验三:首选设置
组策略还可以分为策略设置和首选设置
1. 首选设置:只有域的组策略才有首选策略功能。首选设置策略的属性是可以被客户端自行改变的。因此首选设置一般用于默认值的设定。
2. 策略设置:是强制性设置,客户端应用这些设置后就无法更改策略属性的。
注意:当某一个项目,同时被首选设置和策略设置处理时,以策优略设置为优先。
同时首选设置来为组织单位teacher内的计算机win7pc自动创建一个本地用户账号Henry。
注意:首先需要HOST:win7pc是在域内的,使能够被DNS解析的。
Step1:使用系统管理员身份登陆到域控制器
Step2:将HOST:win7pc加入到AD域内时,默认会加入到Computers容器。所以需要先在Computers中国找到win7pc后点击右键,移动,选择组织单位teacher。
Step3:打开组策略管理工具
Step4:在组策略管理器中编辑组织单位teacher下原有的GPO:proxy
Step5:展开组策略管理器下的计算机配置下的首选项下的控制面板设置下的对着本地用户和组,右击,选择新建本地用户。
Step6:在弹出的新建本地用户窗口中填入需要创建的用户的信息,再点击常用选项卡
Step7:在常用标签里,选择应用一次且不重复更新。同时选择项目级目标后点击目标按钮。以便将此想项目的应用对象指定到计算机win7pc
Step8:指定策略目标计算机,再点击所有窗口的确定
Step9:更新同步gpupdate,再登陆到HOST:win7pc后打开管理用具下的计算机管理查看henry用户是否存在。
实验四:组策略更改计算机桌面
在某些企业要求每一位员工在使用域账号登陆到计算机时,要使用带有企业Logo的桌面壁纸。
Step1:以系统管理员的身份登陆到域控制器。
Step2:打开AD计算机和用户管理工具并创建一个组织单位shareDesktop
Step3:在组织单位shareDesktop下创建你需要管理的用户,或者将需要管理的用户移动到这个组织单位下。
Step4:确保用户具有远程登陆和本地登录权限
远程登陆:
- 在组策略管理器中,打开Domain Controllers组织单位里的组策略
- 在组策略编辑器中,定位到计算机配置->Windows设置->安全设置->本地策略->用户权限分配
- 在允许在本地登陆”中中加入Remote Desktop Users组
- 在允许通过远程桌面服务登录中也加入Remote Desktop Users组
- 将需要远程服务的用户加入remote desktop users组
- 更新组策略:gpupdate /target:computer /force
本地登录:
- 我们在实验一中已经将属于Domain Users组的账号赋予了本地登录的权限。所以任何属于Domain Users组的用户都能够本地登录到域控制器中。
Step5:打开组策略管理器,在组织单位shareDesktop下新建并链接GPO:desktop
Step6:编辑GPO:desktop
6.将用户配置下的管理模板下的Active Desktop设置为启用active desktop,同时确保禁用Active Desktop选项保持未配置状态。
Step7:共享你希望分享的桌面壁纸的文件夹,同时保证everyone 和administrator有完全控制权限
右击希望共享的文件夹,选择属性。点击高级共享,弹出窗口斌勾选共享此文件,再点击权限
确保everyone 和administrator有完全控制权限
共享完成
Step8:测试共享文件
在win7pc中以chihiro的身份登陆,并Run –> \dns1.jmilk.com\image
Step9:启用桌面壁纸策略然后设置你壁纸的共享路径
Step10:确保GPO:desktop已经链接到你需要的组织单位上
Step11:11.执行指令gpupdate /force
强制更新同步组策略。然后用你在这个组织单位下的域用户登录域下的计算机。
注意:如果在控制面板中的桌面背景能够获取图片路径,但是桌面壁纸却没有改变的话,需要将桌面壁纸的源文件改为.bmp格式就好了。
常用的组策略管理模块策略
我们已用户配置中的管理模块为例。
限制用户运行指定的Windows程序
限制用户只可以或不可以运行指定的Windows程序
双击系统策略 –> 选择只运行指定的Windows应用程序或不运行指定的Windows应用程序 –> 编程此策略,并输入希望处理的应用程序的可执行文件名称,例如:Powershell.exe
隐藏或显示在控制面板内指定的项目
用户在控制面板内将看不见被隐藏起来的项目或只能看见指定显示的项目。
双击控制面板 –> 双击右边的隐藏指定的控制面板或显示指定的控制面板 –> 编辑此策略,并填入希望处理的控制面板项目名称,例如:鼠标、用户账户
删除开机功能中的部分命令
删除开机功能中的关机、重启、睡眠和休眠
双击“开始”菜单和任务栏 –> 双击删除并阻止访问”关机”、”重新启动”、”睡眠”和”休眠”命令 –> 将此此策略设为启动。这样在用户的开始菜单里就不会再有这些选项。
通过账户策略来设置密码、密码的使用准则、密码的锁定。
注意:账户策略只针对域用户有效,而且所设置的账户策略必须通过域级别的GPO来设置才有效。如果你针对某个组织单位来设置账户策略,则这个账户策略只会被应用到位于此组织单位内计算机的本地账户而已,但不能影响此组织单位的域用户。
设置账户策略:编辑域级别的GPO(这里以Default Domain Policy为例) –> 展开计算机配置下的策略 –> Windows设置 –> 安全设置 –> 账户策略
- 密码策略:
- 账户锁定策略: