常用AD组策略设置
AD域用户常用组策略设置
已经要放在这个组策略对应User\Scripts\Logon
再点击添加
点击浏览
AD域用户常用组策略设置
通过
第一步:创建共享文件夹-userdisk
第二步:创建用户登陆时,在共享userdisk目录下个人文件夹组策略
在域组策略下,viewuser组下创建GPO
域组策略-用户配置-首选项-Windows设置-文件夹
\\10.10.0.66\viewdata\userdisk\%LogonUser%
域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop
域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用
\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg
设置用户登陆后自动修改时间格式为
第一步:做修改时间格式为yyyy-mm-dd批处理
第二步:创建用户登陆时,挂载共享userdisk目录下个人文件夹组策略
域组策略-用户配置-首选项-Windows设置-驱动器映射
\\10.10.0.66\viewdata\userdisk\%username%
设置域用户统一桌面背景图
第一步:将桌面背景图放到共享目录下
第二步:创建用户登录后修改桌面背景组策略
新建记事本文件data-扩展名改p; title
reg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /dyyyy-MM-dd/f
exit
第二步:创建用户登陆时自动运行批处理组策略
域组策略-用户配置-策略-Windows设置
常用AD组策略设置
常用AD组策略设置利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。
根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。
相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。
下面是实际操作演示:⏹AD域控制器:Windows Server 2003/2008⏹以域管理员权限运行“Active Directory 用户和计算机”1. 设置屏保程序打开“”域下组织单位“北京”的属性(如下图):可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的C:\Windows\SYSVOL\sysvol\\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup该setscr.bat脚本的内容是:copy bssec.scr c:\windows\system32即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。
作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。
打开“”域的属性(如下图):可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“用户配置”-“管理模板”-“控制面板”-“显示”,启用右侧的“屏幕保护程序”,启用“可执行的屏幕保护程序的名称”,填入屏幕保护文件名:bssec.scr,(如下图):同时启用右侧的“密码保护屏幕保护程序”,设置屏保超时(如下图):屏保设置完毕。
企业ad域控组策略
企业ad域控组策略
AD域控组策略是Active Directory域控制器中用于批量管理计算机和用户设置的强大工具。
通过组策略,管理员可以集中管理计算机和用户的配置,以减少管理成本、减少用户单独配置错误的可能性,并针对特定对象设置特定的策略。
组策略对象(GPO)是存储组策略所有配置信息的一个特殊对象。
默认情况下,有两种主要的组策略对象:默认域策略和默认域控制器策略。
这些策略对象可以在域或组织单元级别上应用,以控制计算机和用户的策略设置。
在AD域控中,组策略的设置可以通过计算机策略、用户策略、脚本策略和首选项策略四种方式实现。
计算机策略在用户启动时执行,具有管理员权限,但需要考虑权限问题。
用户策略在用户登录时执行,自带权限,但只有Users的权限。
脚本策略既可以在计算机策略中也可以在用户策略中使用,具有很大的灵活性,但需要运维人员具备相应的技能。
首选项策略是微软提供的简化版策略实施方式,方便简单灵活,但不能处理过于复杂的策略。
当在域中应用组策略时,一些关键点需要注意。
例如,本地安全策略与默认域策略有冲突时,以默认域策略优先,本地设置无效。
此外,组策略的设置在本地计算机重启时、DC每5分钟自动应用、不是DC每隔90-120分钟
会自动应用、所有计算机每隔16小时强制应用,即使无更改。
如果需要手动应用域策略,可以使用gpupdate或gpupdate /force命令。
总的来说,企业AD域控组策略是一种强大的工具,可以帮助管理员更好地管理和控制计算机和用户的配置。
通过合理地使用组策略,企业可以提高管理效率、减少错误配置的可能性,并更好地保护企业资源的安全性。
AD组策略
一、组策略基础知识1、组策略中包含两部分:1 计算机配置:针对计算机的配置,只在计算机上生效。
计算机启动的时候应用,在出现登录界面前。
2 用户配置:针对用户的配置,只在所有用户帐户上生效。
用户登录后应用。
2、根据应用范围将组策略分为三类:1 域的组策略:设置对于整个域都生效。
在“AD用户和计算机”中,右击域名-〉属性-〉组策略。
2 OU的组策略:设置对于这个的OU生效。
在“AD用户和计算机”中,右击OU名-〉属性-〉组策略。
3 站点的组策略:设置对于这个站点生效。
在“AD站点和服务”中,右击站点名-〉属性-〉组策略。
注意:“运行”中键入gpedit.msc,启动的是本地组策略,我们要的是“域组策略”!所以必须右击“AD用户和计算机”中才能进入。
3、组策略的执行顺序:1 站点-〉域-〉组织单元(OU)2 计算机配置-〉用户配置4、组策略的冲突:1 在不同组策略中的同一项目的设置相反,就是组策略冲突。
如:在站点组策略中,“隐藏桌面上的网上邻居图标”设置为“启用”,而域的组策略上设置的是“禁用”。
再如:在域的组策略中“密码长度”设置为“7”,而OU的组策略中设置的是“6”。
2 冲突的结果:后执行的是结果。
5、组策略中的设置内容:1 软件安装:自动安装应用软件。
计算机配置和用户配置下都有。
准备工作:软件的源安装文件,在安装文件中要有.msi为后缀的可执行文件。
将软件的源安装文件放到一个共享文件夹中。
(网络路径)A、已发行:由用户决定是否安装。
如果软件包是已发行方式,用户登录后,系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。
在计算机配置中不能实现。
B、已指派:强制性安装,自动安装。
2 WINDOWS设置:A、计算机配置:脚本(启动和关机),安全设置。
B、用户配置:IE维护,脚本(登录和注销),安全设置(密钥),远程安装服务(为客户机安装WIN2000 PRO),文件夹重定向(把用户的一些重要文件夹重定向到文件服务器中)。
AD域用户常用组策略设置
AD域用户常用组策略设置通过AD共享创建域用户个人共享数据盘第一步:创建共享文件夹-userdisk第二步:创建用户登陆时,在共享userdisk目录下个人文件夹组策略在域组策略下,viewuser组下创建GPO域组策略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步:创建用户登陆时,挂载共享userdisk目录下个人文件夹组策略域组策略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面背景图第一步:将桌面背景图放到共享目录下第二步:创建用户登录后修改桌面背景组策略域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步:做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入:@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步:创建用户登陆时自动运行批处理组策略域组策略-用户配置-策略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组策略对应User\Scripts\Logon再点击添加点击浏览。
AD中的组策略
转换
修补程序 zap 文件 应用程序分配脚 本
21
.mst
.msp .zap
.aas
Windows安装程序 (Windows Installer)
Windows 安装程序服务
Windows 安装程序包
自动处理软件安装和配 置的客户端服务 也可以用来修改已经安 装的软件或程序 安装时即可直接使用 CD-ROM,也可以通过 组策略方式
15
组策略的继承与处理规则
组策略配置具有继承性:
子容器继承父容器的策略配置;也可以通过“阻止策略继承”来阻止继承 子容器策略配置可以覆盖继承下来的配置值 组策略配置具有累加性
组策略处理规则:
当域、站点、“OU”之间的GPO发生冲突时,处理顺序 组策略实施的三个层次:SITE,DOMAIN,OU
准备
软件包
分发
安装软件
删除
软件删除
19
维护
软件升级
组策略及软件安装概述
软件管理将实现
域/OU中的计算机/用户 自动安装、升级或删除软件
过程:
预备:Msi、mst、zap文件 布置:设置组策略,启动/登录/激活 维护:升级、重新布置 删除:启动/登录时自动删除
20
组策略及软件安装概述
组件及角色
组
件
角
色
“组策略”管理单元的软件安装扩 展 WINDOWS安装程序 控制面板中的“添加/删除程序”
管理员用它来管理软件 在WINDOWS安装程序文件中安装 软件包 用户在自己的计算机用它管理软件
23
任务二 分发软件
任务
准备好Windows Installer package(.msi及源文件) 将软件包放在软件分发点(服务器 的共享文件夹)上 建立一个新的GPO或者找一个合适 的已有的GPO
AD组策略的设置(超详细)
一、编辑组策略1、允许用户登陆本计算机在OU里面→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→用户权限分配→允许在本地登陆。
用gpupdate /force 命令刷新。
2、拒绝用户访问运行、CMD、以及批处理文件。
1、在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运行菜单。
用gpupdate /force 命令刷新。
2、在要设定的域控制器点击右键→属性→组策略→编辑策略→用户配置→管理摸板→系统→阻止用户访问命令提示符→继续点击下面的的选项→是否拒绝使用批处理文件处理→选择“是”。
用gpupdate /force 命令刷新。
二、拒绝继承权限1、在下一级的OU上→属性→组策略→禁止策略的继承。
用gpupdate /force 命令刷新。
三、强制继承1、在上一级的OU上→属性→组策略→选项→禁止替代钩上。
用gpupdate /force 命令刷新。
四、过滤用户(特定的人群)1、在要设定的OU上→属性→组策略→属性→安全→添加用户→给予权限→拒绝组策略。
用gpupdate /force 命令刷新。
五、桌面管理1、在要设定的OU上→属性→组策略→编辑组策略→用户配置→管理模板→桌面→Acti ve desktop→启用Active desktop→启用Active desktop墙纸→输入对应的主机的地址和共享文件。
2、用户配置→管理模板→系统→CTRL+ALR+DEL选项。
六、密码策略1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→(1、密码策略2、帐户锁定策略)七、组策略脚本1、当用户启动时→启动脚本→登陆脚本2、当用户注销时→注销脚本→关机脚本3、wscript.echo"内容" 后缀改为“VBS”1、建立脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→用户配置(计算机配置)→WINDOWS设置→脚本→双击登陆→显示文件→把脚本文件拖进去→3、在点击添加→写入文件名就可以了。
AD域组策略规划和部署指南
AD域组策略规划和部署指南AD域(Active Directory)是一种用于管理网络资源的服务。
组策略是AD域中的一项功能,在整个域范围内为用户和计算机提供统一的安全设置和管理。
本文将提供AD域组策略规划和部署的指南,帮助管理员更好地使用此功能。
一、规划阶段1.定义需求:首先,确定组策略的主要需求和目标。
这可能包括安全性、访问控制、软件分发、用户配置等方面。
2.识别和分类对象:将AD域中的用户和计算机分组,并为每个组定义不同的策略需求。
例如,可以将用户分为管理人员、技术人员和普通员工等组别。
3.制定策略范围:确定需要部署组策略的范围。
可以选择在整个域中实施策略,也可以仅在特定的组织单位或者OU(组织单元)中实施。
二、设计策略1.定义基本策略:根据需求和目标,制定基本策略模板。
这些策略包括密码策略、帐户锁定策略、用户权限策略等。
2.定义高级策略:根据不同的组别和对象,制定更详细的策略,以满足各组的需求。
例如,可以为管理人员组设计更严格的安全设置,为技术人员组配置特定的软件等。
3.组织单位结构设计:根据分组需求,设计合适的OU结构。
这将有助于更好地管理和应用组策略,使其更符合组织的层次结构和需求。
三、实施策略1.创建组策略:在AD域中,使用组策略对象来创建和管理策略。
可以通过右键单击"组策略对象",然后选择"新建策略"来创建新的策略。
2.配置策略设置:打开组策略对象后,可以根据需求和目标,通过对不同设置进行配置来实施策略。
这些设置包括安全设置、软件安装、脚本执行、桌面设置等。
3.应用策略:设置好策略后,在AD域中的对象将自动接收到策略,并按照设置进行操作。
可以通过强制组策略更新、重启计算机等方式来确保策略被应用。
四、测试和审计1.测试策略:在实施策略后,进行测试以确保它们按预期工作。
可以选择一些测试用户和计算机,观察他们是否符合策略要求。
2.审计策略:定期审计和评估组策略的效果和安全性。
ad组策略
文件夹重定向的好处
提高了漫游用户配置文件的性能 重定向后的数据可以作为系统管理日程的一部分被 备份出来, 备份出来,而这些对于用户端是完全透明的 用户登录到网络上不同的计算机时, 用户登录到网络上不同的计算机时,都可得到相同 的文档 网络管理员可以通过组策略来设置磁盘配额, 网络管理员可以通过组策略来设置磁盘配额,来限 制用户文件夹占用的空间
可以重定向的文件夹
我的文档 Application Data 桌面 “开始”菜单 开始” 图片收藏
配置“文件夹重定向”所需的设置 配置“文件夹重定向”
使用基本文件夹重定向的对象: 使用基本文件夹重定向的对象: 使用公用区域的用户 -或使用私有数据的用户 使用高级文件夹重定向, 使用高级文件夹重定向,服务 器就可以根据组的成员关系提 供文件夹的位置
配置“文件夹重定向” 配置“文件夹重定向”
文件夹重定向 可以重定向的文件夹 配置“文件夹重定向” 配置“文件夹重定向”所需的设置 配置“文件夹重定向” 配置“文件夹重定向”时的安全注意事项 配置“文件夹重定向”的方法 配置“文件夹重定向”
文件夹重定向
文件夹重定向允许用户和计算机重定向文件夹到新 的位置 新的位置可以在本地计算机的文件夹或网络上 的共享文件夹 文档用户访问服务器上的文件夹就如同在本地 访问
禁用和启用的组策略设置
启用/禁用 启用 禁用 多值设置
实现组策略对象
组策略 用户和计算机的配置设置 设置本地计算机策略设置 课堂练习 设置本地计算机策略设置
组策略
组策略
组策略设置定义了系统管理员需要管理的用户桌 面环境中各种组件 用户可用的程序 用户桌面上出现的程序以及“开始”菜单选项 为特定用户组创建特殊的桌面配置 可以使用组策略对象编辑器 指定的组策略设置包含在组策略对象中 对象( 组策略对象与选定的 Active Directory 对象(即站 域或组织单位) 点、域或组织单位)相关联
AD安装和常用域环境策略配置(收藏)
4.当多个GPO 链接到同一个OU 时,所有GPO 的配置将被累加起来,当这些GPO 有冲突的时候,将以排在前面的GPO 配置为优先。
5.系统最先处理“计算机配置”,再处理“用户配置”,当两者的配置相冲突时,系统以“计算机配置”优先。
6.如果某个策略很重要,不想被子容器配置覆盖掉,我们可以通过父容器的GPO的“禁止替代”来强制必须继承。无论子容器是否设置了“阻止策略继承”。
按步骤安装系统兼容性—>域控制器类型—>创建一个新域—>新域名—>NetBios域名—>数据库和日志文件文件夹—>共享的系统卷—>DNS 注册诊断—>权限—>目录服务还原模式的管理员密码—>摘要—>重启
三.安装额外域控制器
配置域的额外域控制器—>数据库文件夹—>日志文件文件夹—>SYSVOL文件夹
8.全局编录(global catalog):域树内的所有域共享一个Active directory,但Active directory 的数据确是分散的存储在各个域内,并且每个域内只存该域本身的对象。因此全局编录它是为了让每一个用户、应用程序能够快速的找到其他域内的对象而设计的。
二.windows server 2003 域的建立
2.当子容器内的某个策略被配置时,此策略值就会覆盖由其父容器所传递下来的配置值。也就是系统处理GPO 的顺序是站点GPO、域GPO、 OU 的GPO。
3.组策略的配置是累加的,如果在“技术部”OU 内建立了GPO,同时在域也有GPO,则域与OU 内的所有GPO 配置值都会被累加起来,作为“技术部”的最后GPO 有效配置。
一.AD的一些基本概念
1.命名空间(Namespace):就是一个界定好的区域,在这块区域内我们可以利用某个名称来找到与这个名称有关的信息。一个电话本好象是一个“命名空间”。
ad域常用策略
ad域常用策略AD域(Active Directory)是一种由微软公司开发的用于管理网络资源的目录服务。
在企业和组织中,AD域常用策略被广泛应用于用户权限管理、安全策略、网络访问控制等方面,以确保网络的稳定运行和信息安全。
本文将介绍AD域常用策略的相关内容。
一、用户权限管理策略1. 密码策略:通过设置密码复杂度、密码过期时间等参数,确保用户的密码安全可靠。
密码复杂度要求用户使用包含大写字母、小写字母、数字和特殊字符的复杂密码,并设置密码最短使用期限和密码历史,禁止用户频繁更改密码。
2. 用户账户锁定策略:设置账户锁定阈值和锁定时间,当用户连续多次输入错误密码时,账户将被锁定一段时间,以防止密码暴力破解。
3. 用户授权策略:通过授权用户的组成员身份和所属组织单位,限制用户对资源的访问权限,确保数据的安全性和完整性。
二、安全策略1. 安全审核策略:启用安全审核策略,记录系统日志和安全事件,及时发现和处理安全漏洞和威胁。
2. 账户登录策略:限制用户登录计算机的方式和时间,设置登录失败提示信息,以防止非法用户的登录访问。
3. 文件和文件夹权限策略:通过设置文件和文件夹的权限,保护重要数据不被未授权的用户访问和修改。
三、网络访问控制策略1. 防火墙策略:设置防火墙规则,限制不同网络段之间的通信,阻止潜在的网络攻击和入侵。
2. 网络访问策略:通过设置网络访问规则和权限,限制特定用户或用户组对特定网络资源的访问,确保网络资源的安全和合规性。
四、软件安装与更新策略1. 软件安装策略:通过AD域控制器的软件分发功能,实现远程软件安装和更新,确保企业中所有计算机的软件版本一致性和安全性。
2. Windows更新策略:配置Windows更新设置,自动下载和安装操作系统和应用程序的更新补丁,及时修复安全漏洞,提高系统的稳定性和安全性。
五、域控制器策略1. 域控制器安全策略:加强对域控制器的安全管理,设置域控制器的安全审计策略、密码策略和账户锁定策略,提高域控制器的安全性。
AD组策略禁用U盘
AD组策略禁用U盘如果需要禁用U盘的使用,可以通过AD组策略来实现。
下面是详细的步骤,以及一些注意事项:1.创建一个新的组策略对象(GPO):- 打开Group Policy Management Console(GPMC)- 在左侧的树形目录中选择“Group Policy Objects”,右键单击,选择“New”-输入一个描述性的名称,然后点击“OK”-在GPMC中,找到创建的新GPO- 右键单击该GPO,然后选择“Edit”选项3.配置组策略设置:-展开“系统”子节点,然后找到“可移动存储访问”-在右侧的列表中,找到“禁用USB存储设备”,双击打开设置窗口-在设置窗口中,选择“已启用”,然后点击“确定”4.更新组策略:-在GPMC中,找到域对象- 右键单击域对象,然后选择“Group Policy Update...”选项-在弹出的对话框中,选择需要更新的对象,然后点击“OK”5.验证组策略设置:-在域内的计算机上,以域管理员身份登录- 打开命令提示符,输入“gpupdate /force”命令以强制更新组策略-重新启动计算机-插入U盘,检查是否能够正常访问需要注意的是,禁用U盘使用是一种较为严格的控制措施,可能会对用户的正常操作造成一定的影响。
在实施之前,需要与用户进行充分的沟通和培训,并根据实际情况进行调整和适配。
此外,应注意以下几点:1.仅禁用U盘可能无法完全限制用户从其他途径传输文件(例如通过网络或其他外部存储设备)。
因此,在实施组策略之前,应对其他可能的数据传输途径进行评估和控制。
2.组策略设置将适用于所有用户和计算机。
如果只想限制特定用户或计算机的U盘使用,可以将GPO应用于相应的组织单元(OU)或安全组。
3.在一些情况下,可能需要允许一些特定用户或计算机使用U盘。
可以针对这些特殊情况创建不同的GPO,或者通过安全组的方式进行特权控制。
总结来说,通过AD组策略禁用U盘的使用,可以有效地增强计算机系统的安全性。
ad域组策略模板
ad域组策略模板
AD域组策略模板是指一组预定义的系统管理策略,用于控制计算机
和用户的行为和安全设置。
这些策略通常应用于一个或多个OU(组织单位)或者整个AD域中的计算机和用户账户。
下面是一些常见的AD域组策略模板:
1.安全策略模板。
安全策略模板用于控制计算机和用户的访问控制和安全设置,包括密码策略、账户锁定策略、安全日志记录等。
2.桌面设置模板。
桌面设置模板用于控制计算机屏幕保护、桌面背景、程序菜单等桌面设置。
3.软件设置模板。
软件设置模板用于限制用户或计算机对特定软件的使用,如禁止运行某些程序。
4.显示设置模板。
显示设置模板用于控制计算机的屏幕分辨率、色彩深度和其他显示设置。
5.注册表设置模板。
注册表设置模板用于修改计算机的注册表设置,例如添加、删除、修改注册表项等。
6.IE设置模板。
IE设置模板用于控制IE浏览器的常规选项、安全选项、内容选项等。
7.远程安装模板。
远程安装模板用于控制计算机的程序安装和升级,以实现远程管理。
总体来说,AD域组策略模板可以帮助管理员实现对域中各个计算机
和用户的安全、配置、管理等方面的集中控制和更好的管理。
AD安装和常用域环境策略配置
AD安装和常用域环境策略配置AD(Active Directory)是一种用于管理域网络中的用户、计算机和其他网络资源的软件服务。
安装AD并配置常用的域环境策略是企业网络管理中非常重要的一环。
以下是一份AD安装和常用域环境策略配置的指南,以帮助管理员了解如何进行操作。
一、AD安装1.准备工作首先,确认服务器满足以下基本要求:Windows Server操作系统、4GB以上RAM、100GB以上磁盘空间。
接着,更新服务器操作系统,包括安装最新的Service Packs和补丁程序。
2.安装AD角色登录服务器,打开服务器管理器,选择“添加角色和功能”,按照向导选择“基于角色或基于功能的安装”,选择当前服务器,再选择“Active Directory域服务”,点击“安装”。
完成安装后,点击“完成”。
3.配置域环境打开Windows PowerShell或命令提示符,输入“DCPromo”命令,按照向导参考以下步骤进行配置:a)在“域控制器类型”对话框中,选择“创建一个新的域树”。
b)在“完全限定的名字”对话框中,输入新域的名称。
c)在“域功能级别”对话框中,选择适当的功能级别。
d)在“附加的域控制器选项”对话框中,选择适当的选项。
e)在“布置域控制器账户”对话框中,输入管理员凭据。
f)在“证书服务”对话框中,根据需求选择是否安装证书服务。
g)在“附加的选项”对话框中,选择适当的选项。
h)配置DNS服务器,在“DNS服务器选项”对话框中选择域名系统配置选项。
i)在“附加的域控制器选项”对话框中,输入一些全局目录服务柜分区的位置。
j)在“安装配置完成”对话框中,确认设置并点击“完成”完成安装。
4. 开启Active Directory用户和计算机安装完成后,打开“管理工具”,选择“Active Directory用户和计算机”来管理用户和计算机。
二、常用域环境策略配置1.密码策略配置a)打开“组策略管理”,右键点击“默认域策略”。
如何使用AD组策略
用AD组策略------控制客户端本地组从安全的角度来说是不建议大家把域用户加入到本地Power Users,写这篇文章的目的是告诉大家,可以通过组策略把域用户和域组自动加入到客户端的本地组,实现对客户端本地组的控制。
如果善用此策略可以增加系统的安全性,本地Administrators组中仅存账户应该是本地Administrator以及来自其所在域的Domain Admins组。
但是不时会有一些管理员“监时”因为将某个用户的帐户提升到Administrators组中,并怀着“当事情一结束”再把它从Administrators组里删掉,但因为工作太忙经常忘了造成了系统的不安全,还有一些别有用心的黑客提升系统权限把自己加入到Administrators组。
善用此策略可以保证只有Administrator 和Domain Admin组位于本地的Administrators组中,其它成员都会被踢出去。
此策略可以精确的控制客户端的本地组成员。
1、我建了一个Workstations的OU把所有的客户端计算机都放入到了这个OU里面。
在DC上新建一条组策略针对Workstations这个OU的;2、编辑这条组策略,找到“计算机配置”——“Windows设置“——”安全设置“——“受限制的组”,按鼠标右键,选择”添加组“;3、输入Power Users,点击”确定“4、弹出如下图对话框,点击”浏览“5、输入Domain Users,点击”检查名称“按”确定“6、这样就把Domain Users组添加到Power Users组里了,点击“确定”7、接下来是刷新组策略,gpupdate /force8、到客户端刷新组策略,或重新启动计算机,再验证策略是否成功,看下图客户端已经成功举一反三,我们还可以用同样的方法把客户端的本地组加入其它的域成员或域组。
AD与策略方案
AD与策略方案AD(Active Directory)是Microsoft Windows操作系统中的目录服务,它可以用来管理运行Windows Server操作系统的用户和计算机的身份验证和授权。
AD可以帮助企业建立安全可靠的网络环境,并支持重要的任务,如身份管理、权限管理、组织管理等。
在大型企业和组织中,AD通常被用作企业IT管理策略的核心。
一个好的AD设计应该是有策略性的,这样才能满足实际需求以及未来需求的变化。
以下是与AD相关的一些策略方案:一、密码策略AD管理系统中密码策略是非常重要的,因为密码安全关系到系统安全。
密码策略包括密码长度、复杂度、修改周期和锁定尝试次数等。
采用合理的密码策略可以降低系统被黑客攻击的风险。
二、网络连接策略在AD管理系统中,网络连接策略是必不可少的,因为网络连接可以控制谁可以访问网络。
这包括无线网络和有线网络的访问控制。
采用合理的网络连接策略可以保护网络免受未经授权的访问、不良软件和未知恶意代码的攻击,提高系统安全性和保密性。
三、用户管理策略用户管理策略与AD系统的安全性、效率和可靠性密切相关。
这包括用户帐户、授权接口、加密和用户访问等方面。
采用有效的用户管理策略可以确保系统只授权给有权限的用户和工作人员,保护系统免受未经授权的访问和攻击。
四、安全审核策略安全审核策略是使用AD的关键。
安全审核策略可以帮助企业防止恶意攻击和数据泄漏,它可以记录所有系统和应用程序的变化、修改、访问和运行。
采用有效的安全审核策略可以将风险最小化,并且确保系统运作得非常平稳。
五、访问权限控制策略访问权限控制策略是安全性措施之一,可以限制系统资源(文件和文件夹)的访问范围。
这可以确保用户和工作站只能访问和共享他们有权限访问的资源。
采用合理的访问权限控制策略可以保护企业资源免受未经授权的访问、攻击和泄漏。
六、备份策略备份策略可以确保AD的高可用性、恢复性和数据保护。
备份策略包括备份的频率、备份时使用的媒体和备份的数据集等。
AD组策略的设置(超详细)
为何不能交互式登陆前一段时间做了一个win2000的终端网,采用win2000 application server终端服务模式+citrix(sp3),客户机上出现登陆窗口,以域用户账号登陆便会出现提示:"计算机不允许交互式登陆",而用administrator登陆却没有问题,开始有点呐闷,这个问题怎么同NT或win2000的非本地账号登陆域服务器出现的问题一样,后来查了一查资料,顿时明白过来。
在这里我必须讲一讲NT和win2000的身份验证机制。
NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协议,用户通过提供登陆信息(如用户名和密码),服务器将这些信息发送到服务器上的验证机构,验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性,如果通过,就会向用户发送一个令牌,此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的,不可传递的,所以一个域用户要获得另一个域的资源访问权限,必须手工建立信任关系,授权该用户的访问权限。
而在现在的win2000模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的,他是由每域的RID主机(相对关系主机)来分配的。
SID在每个域中是独一无二的,但在其他域中也可能出现同样的SID,但是由于域ID的不同,所以二者的GUID就不可能相同。
但这必须建立在Kerberos协议的基础上,kerberos提供了域之间可传递的,双向的信任关系,即A信任B,B信任A;A信任B,B信任C,A信任C。
当然也可手工调整,一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限,而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。
ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表,而ACE(Access control entry)是具体的访问类型(如read,write 等等).说了这么多,我再谈一谈针对win2000域环境下本地交互登陆的机制,众所周知,win2000对于用户登陆的验证采用的是kerberos协议,当一个本地用户登陆到域服务器,GINA(Graphical identification and authentication)图形标示符及身份验证Dll收到登陆请求,就会将其转发到LSA(本地权威机构),而在WIN2000下由于Kerberos是默认的验证机制,所以就请求kerberos来验证身份,而kerberos收到身份验证请求之后,便会出现错误信息,因为kerberos是用来验证域用户账号而非本地账号,此时LSA收到错误信息,会将其转发到GINA,GINA在将指定了MSV1_0协议的LSA来验证身份,如果通过则完成本地交互式登陆。
AD域用户常用组策略设置
AD域用户常用组策略设置通过AD共享创建域用户个人共享数据盘第一步:创建共享文件夹-userdisk第二步:创建用户登陆时,在共享userdisk目录下个人文件夹组策略在域组策略下,viewuser组下创建GPO域组策略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步:创建用户登陆时,挂载共享userdisk目录下个人文件夹组策略域组策略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面背景图第一步:将桌面背景图放到共享目录下第二步:创建用户登录后修改桌面背景组策略域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步:做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入:echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /fexit第二步:创建用户登陆时自动运行批处理组策略域组策略-用户配置-策略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组策略对应User\Scripts\Logon再点击添加点击浏览。
AD域用户常用组策略设置
AD域用户常用组策略设置在Active Directory(AD)域环境中,组策略是用于管理和配置用户和计算机的集中策略工具。
组策略允许管理员通过在域中创建和应用组策略对象(GPOs)来定义用户和计算机的设置。
以下是AD域用户常用的组策略设置:1.密码策略:通过密码策略,管理员可以设置密码的复杂性要求、密码过期时间以及密码历史保留的数量。
这有助于增加密码的安全性。
2.帐户锁定策略:通过帐户锁定策略,管理员可以配置登录失败尝试的次数和锁定持续时间。
这有助于防止恶意用户通过暴力破解密码来获取访问权限。
3.账户密码策略:管理员可以配置密码重置和更改密码的要求。
这包括要求用户更改密码的频率、提供密码重置选项和密码复杂性要求。
4. 安全选项:管理员可以配置安全选项,包括启用或禁用自动管理员登录、禁用Guest帐户、强制使用加密方式进行网络通信等。
5.审核策略:通过审核策略,管理员可以配置要审计的事件类型以及要记录的日志信息。
这有助于保护系统免受安全威胁并进行安全审计。
6.应用程序控制:管理员可以配置允许或拒绝运行的应用程序列表,以帮助防止使用未经授权的应用程序。
7.注册表设置:管理员可以配置注册表设置,以控制计算机上注册表项的访问权限和配置。
8.文件和文件夹权限:管理员可以使用组策略设置来定义共享文件和文件夹的权限,确保只有经过授权的用户可以访问和修改文件。
9.桌面设置:管理员可以通过组策略设置来配置桌面背景、屏幕保护程序、任务栏、桌面图标等,以统一组织内工作站的外观和体验。
10.网络设置:管理员可以使用组策略设置来配置网络接口卡、防火墙、代理服务器等网络设置,以保护网络安全并优化网络性能。
11.程序安装和升级:管理员可以使用组策略设置来自动安装和升级特定的应用程序,以减轻用户手动操作的负担。
12.远程桌面设置:管理员可以配置远程桌面访问权限,限制哪些用户可以远程访问计算机。
13. Internet Explorer设置:管理员可以使用组策略设置来配置Internet Explorer的安全性、高级选项和首选项,以确保一致的浏览器体验。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
常用AD组策略设置
利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。
根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。
相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。
下面是实际操作演示:
⏹AD域控制器:Windows Server 2003/2008
⏹以域管理员权限运行“Active Directory 用户和计算机”
1. 设置屏保程序
打开“”域下组织单位“北京”的属性(如下图):
可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的
C:\Windows\SYSVOL\sysvol\\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup
该setscr.bat脚本的内容是:
copy bssec.scr c:\windows\system32
即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。
作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。
打开“”域的属性(如下图):
可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“用户配置”-“管理模板”-“控制面板”-“显示”,启用右侧的“屏幕保护程序”,启用“可执行的屏幕保护程序的名称”,填入屏幕保护文件名:bssec.scr,(如下图):
同时启用右侧的“密码保护屏幕保护程序”,设置屏保超时(如下图):
屏保设置完毕。
2. 设置本地管理员密码
打开“”域下组织单位“北京”的属性(如下图):
可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“计算机配置”-“Windows设置”-“脚本”,打开“启动”的属性(如下图),增加一个名为mod_lap.vbs的脚本。
脚本存放路径为域控制器的
C:\Windows\SYSVOL\sysvol\\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup
该mod_lap.vbs脚本的内容是:
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")
objUser.SetPassword "XXYYZZ"
objUser.SetInfo
强制修改本地管理员密码的另一种方法,是新建一个批处理文件admin.bat,内容为:
net user administrator XXYYZZ
这两种方法都可以把administrator的密码更改成XXYYZZ
修改管理员密码设置完毕。
3. 设置Office Communicator标签URL
编辑“Default Domain Policy”的组策略,在“计算机配置”-“管理模板”-“Microsoft Office Communicator 策略设置”-“Microsoft Office Communicator 功能策略”中,启用“标签URL”,填入:http://bs/oc/xml/octab.xml,如下图:
启用“自定义显示状态URL”,填入:http://bs/oc/xml/octab.xml,如下图:
Office Communicator标签URL设置完毕。
4. 设置可信站点
编辑“Default Domain Policy”的组策略,在“计算机配置”-“管理模板”-“Windows 组件”-“Internet Exploer”-“Internet 控制面板”-“安全页”中,启用“站点到分配域列表”,如下图所示。
再点击“显示”:
可以添加或删除已有站点列表:
Internet Explorer 包含4个安装区域,编号1至4,这些号码用于策略设置将站点与区域关联。
他们包括:
(1) Intranet 区域
(2) 受信任的区域
(3) Internet 区域
(4) 受限制的区域
在“输入要添加的项目的名称”一栏,填写站点域名(FQDN,也可以是IP地址形式):
“值”一栏填写相关的区域号,如上所述,受信任的区域号是2。
站点名称中同时可以包括协议。
如上面的
则此设置只生效于HTTP协议,其他协议不受影响。
也可以不包括协议,如下:
仅输入了,那么该站点的所有协议都受影响,包括HTTP、HTTPS、FTP等。
为了防止策略冲突,在域名之后不要输入结尾斜杠“/”或URL路径,如/或/boshi。
这两种输入设置,效果是相同的,将导致冲突。
可信站点设置完毕。
5. 其他
组策略的设置非常庞大,比如还可以设置软件安装运行限制策略:
把需要限制安装和运行的软件,加入软件限制策略中,为每一个软件命名,并加入其主程序文件的哈希散列值,用于识别该文件。
不过这种限制方法有一定的不足,如果要限制的软件很多、同一软件的版本很多,就要维护很大的列表。
而且一旦主程序文件的散列值变化,限制就失效了。
现在也有不少能改变文件散列值的工具。
6. 结束
组策略的生效一般要通过客户端系统重启,或者使用命令gpupdate /force 强制刷新一下。
还可以使用GPResult.exe命令行工具,验证特定用户或计算机的各种策略设置的有效性。