域组策略--+域控中组策略基本设置
域控 组策略-详细解释说明
域控组策略-概述说明以及解释1.引言1.1 概述概述部分的内容可以介绍域控和组策略的基本概念,以及它们在网络管理中的重要性。
概述部分的内容参考如下:概述在网络管理和组织架构中,域控和组策略是两个非常关键的概念。
域控(Domain Controller)是一种服务器,它在Windows域中负责认证用户身份、授权访问和分发安全策略等功能。
而组策略(Group Policy)则是一种集中管理和配置网络中计算机和用户设置的技术。
域控作为网络中的核心设备,建立了一个集中化的用户认证和权限控制的环境。
它可以集中管理用户账号、用户组、计算机对象等,并提供了统一的访问管理、资源分配和权限控制等功能。
通过域控,网络管理员可以更加方便地管理和维护整个网络系统,提高了网络的可管理性和安全性。
组策略则是建立在域控基础上的一种重要管理工具。
通过组策略,管理员可以向域中的计算机和用户应用一系列的设置和配置,如安全策略、账号策略、软件安装、桌面设置等。
组策略可以实现集中管理和自动化配置,大大减少了管理员的负担,提高了网络管理的效率和一致性。
域控和组策略之间存在着密切的关系。
域控提供了组策略的基础环境,并作为组策略的执行者和分发者。
通过域控,组策略可以被应用到特定的用户或计算机上,并实施相关的配置和规则。
域控和组策略的结合,使得网络管理更加便捷和高效。
在现代网络管理中,域控和组策略越发显得重要。
随着网络规模的不断扩大和复杂化,有效的网络管理变得尤为关键。
域控和组策略的实施能够极大地提升网络的安全性、可管理性和灵活性,减少因人为操作而导致的错误和安全风险。
同时,随着技术的不断发展,域控和组策略也在不断创新和进化,以适应新的网络环境和需求。
总之,域控和组策略是网络管理中的重要概念。
它们的结合和有效应用,将为网络管理员提供强大的管理工具,保障网络的正常运行和安全性。
文章结构部分是介绍本篇长文的组织结构和内容安排。
通过明确文章的结构,读者可以更好地理解文章内容的组织和逻辑关系。
server2008域控组策略
server2008域控组策略Server 2008域控组策略是Windows Server 2008操作系统中用于管理和配置域内计算机和用户的一种强大工具。
通过域控组策略,系统管理员可以集中管理和控制域中的计算机和用户,确保网络的安全性和合规性。
本文将介绍Server 2008域控组策略的基本概念、功能和使用方法。
一、基本概念1.1 域控制器域控制器是指在Windows Server操作系统中运行域服务(Active Directory)的服务器。
域控制器存储和管理域中的所有用户账户、计算机账户、组策略等信息。
1.2 组策略组策略是一种在域控制器上创建和配置的一组设置,用于控制域中计算机和用户的行为。
组策略可以在域的不同层次上进行配置,如域级别、站点级别和组织单位级别。
二、功能2.1 安全性配置通过域控组策略,管理员可以配置密码策略、用户权限、网络安全性等设置,以确保域中计算机和用户的安全性。
例如,可以设置密码复杂度要求、账户锁定策略、防火墙设置等。
2.2 软件部署域控组策略还支持软件的自动部署和更新。
管理员可以通过组策略将特定的软件程序自动安装到域中的计算机上,或者更新已安装的软件。
这样可以提高软件的管理效率和一致性。
2.3 网络资源管理通过域控组策略,管理员可以配置网络资源的访问权限和管理策略。
例如,可以设置共享文件夹的访问权限、打印机的安装和配置、网络驱动器的映射等。
2.4 用户配置域控组策略还可以配置用户的桌面环境、任务栏设置、桌面壁纸等个性化设置。
管理员可以通过组策略为用户提供统一的工作环境,提高工作效率。
三、使用方法3.1 打开组策略管理器在域控制器上,可以通过“开始”菜单中的“管理工具”找到“组策略管理器”并打开。
3.2 创建和配置组策略在组策略管理器中,可以创建和配置不同的组策略对象。
可以右键点击“组策略对象”文件夹,选择“新建”来创建新的组策略对象;也可以右键点击已有的组策略对象,选择“编辑”来配置已有的组策略。
windows域常用组策略设置
开启
提供的远程协助:使用此策略设置可以打开或关闭该计算机上的“提供远程协助”。
开启
用户策略
软件设置
软件安装:基于用户策略的软件的分发,在用户登录后,会在控制面板中显示程序列表,用户具有安装那些程序的权限。
具体软件列表待定
管理模板
是
阻止更改壁纸:阻止用户添加或更改桌面的背景设计。
是
桌面墙纸:指定在所有用户的桌面上显示的桌面背景(“墙纸”)
是否需要统一
删除桌面清理向导:防止用户使用清理桌面向导
是
禁止用户手动重定向配置文件文件夹:防止用户更改其配置文件文件夹的路径。
是
退出时不保存设置:防止用户保存对桌面进行的某些更改。
是
禁止添加、拖、放和关闭任务栏的工具栏:防止用户操作桌面工具栏。
3次
本地策略-审核策略:审核策略更改、登录时间、对象访问、进程跟踪、目录服务访问、特权使用、系统时间、账户登录和账户管理
按需要开启,不建议开启所有。
本地策略-用户权限分配
由于人员暂时不是很多,将只考虑管理员(分配用户在本地具有管理员权限)
本地策略-安全选项
不显示最后的用户名:该安全设置确定是否在Windows登录屏幕中显示最后登录到计算机的用户的
开启
从开始菜单删除:收藏夹、搜索、常用程序列表、公共程序组、游戏、帮助、所以程序、网络连接、附加的程序列表、运行等等
删除部分
从“设置”菜单删除程序:此设置防止“控制面板”、“打印机”和“网络连接”文件夹在「开始」菜单、“我的电脑”和Windows资源管理器上设置。它还阻止运行这些文件夹所代表的程序(如Control.exe)。
域控器的组策略应用设置大全
域控器的组策略应用设置大全1.密码策略设置:可以设置密码的复杂度要求,包括密码长度、大小写字母要求、数字和特殊字符要求等。
还可以设置密码过期时间和历史密码禁用策略。
2.账户策略设置:可以设置账户锁定策略,包括连续登录失败次数和锁定时间。
还可以设置强制用户注销策略,踢出空闲用户和会话时间限制等。
3.审计策略设置:可以设置哪些事件需要进行审计,以及生成审计日志的位置和大小。
还可以设置审计策略的保留时间和备份策略等。
4.软件安装策略:可以通过组策略实现软件的自动安装和卸载。
可以指定软件的安装位置、启动方式和升级方式,并设置软件的相关策略。
5.防火墙策略设置:可以设置域中计算机的防火墙策略,包括入站和出站规则的配置。
可以设置允许和禁止的端口号、应用程序等。
6.网络共享策略设置:可以设置共享文件夹和打印机的访问权限,包括读写权限和管理权限。
可以配置网络共享策略的安全性和密码保护方式等。
7.远程桌面策略设置:可以设置远程桌面连接的权限和限制。
可以设置远程桌面连接的安全性和加密方式,以及是否允许远程桌面的访问。
8. Internet Explorer 策略设置:可以限制用户对 Internet Explorer 的设置和功能的访问和修改。
可以设置主页、安全性、隐私和其他 Internet Explorer 相关的策略等。
10.端口安全策略设置:可以限制计算机上允许开放的端口和服务。
可以阻止非授权的端口访问和连接,增强网络的安全性。
总结起来,域控制器的组策略应用设置包含了密码策略、账户策略、审计策略、软件安装策略、防火墙策略、网络共享策略、远程桌面策略、Internet Explorer 策略、软件限制策略和端口安全策略等方面的配置和管理。
通过合理配置组策略,可以提高网络的安全性,统一管理和控制计算机的行为,提升网络的效率和管理能力。
域用户常用组策略设置
域用户常用组策略设置组策略是指在Windows操作系统中,通过集中管理策略和设置来控制域用户和计算机的行为。
以下是一些常用的组策略设置,适用于Windows Server上的域环境。
1.密码策略密码策略设置用于控制用户密码的复杂度和安全性。
可以设置密码的最短长度、密码的复杂性要求,如必须包含大写字母、小写字母、数字和特殊字符等。
还可以设置密码的最长有效期和密码历史记录的保留个数,以防止用户频繁更改密码。
2.账户锁定策略账户锁定策略设置用于控制在一定的失败尝试次数后锁定用户账户。
该策略可以防止恶意攻击者通过暴力破解密码的方式获取用户账户的权限。
可以设置失败尝试次数和锁定时间。
3.用户访问控制策略用户访问控制策略用于控制用户对不同资源的访问权限。
例如,可以设置用户只能访问特定的文件夹、只能访问特定的应用程序等。
可以根据组织的需求进行灵活的设置,以满足不同用户角色和职责的需要。
4.审计策略审计策略用于记录用户和计算机的操作日志。
可以设置哪些操作需要被审计,如登录、文件访问、对象的创建和删除等。
审计策略可以帮助管理员跟踪和分析系统的安全事件,及时发现和应对潜在的安全威胁。
5.软件安装策略软件安装策略用于集中管理和部署软件应用程序。
可以通过组策略将软件程序推送到目标计算机上,或者限制一些用户或计算机无法安装特定的软件。
这样可以确保组织中的计算机都拥有统一的软件环境,便于管理和维护。
6.桌面设置策略桌面设置策略用于控制用户的桌面环境和用户界面。
可以限制用户是否可以更改桌面背景、屏幕保护程序、系统主题等。
还可以限制用户是否可以访问控制面板、开始菜单等系统设置。
这样可以加强计算机的安全性,并减少用户误操作或恶意行为造成的影响。
7. Internet Explorer设置策略Internet Explorer设置策略用于控制Internet Explorer的行为和配置。
可以设置浏览器的安全级别、对特定网站启用或禁用特定功能,如ActiveX控件、Java脚本等。
组策略完全解析
03
组策略实践
配置用户环境
定义桌面背景和颜色
通过组策略可以设置用户桌面的背景图像和颜色,提供个性化的 使用环境。
配置开始菜单
可以设置开始菜单的显示方式、常用程序列表等,方便用户快速 访问常用程序和文件。
管理图标和快捷方式
可以在桌面上添加或删除图标和快捷方式,并可以设置其属性。
配置软件设置
安装和卸载程序
03
链接管理
组策略链接建立后,管理员可以在管理界面中清晰地看到不同组织单
元之间的链接关系,并可以根据需要进行编辑和删除等操作。
05
组策略案例
公司环境配置
公司员工需要使用自己的账号才能登录电脑, 并访问公司内部文件和 修改和删除文件。
强制员工在离开电脑时必须锁定屏幕,以确保 数据安全性。
组策略对象
计算机对象
可以定义计算机级别的策略,例如系统环境设置、安全设置、软件安装等。
用户对象
可以定义用户级别的策略,例如用户环境设置、登录脚本、权限等。
组策略容器
域
可以在域中定义组策略对象,域中的所有计算机和用户将继 承这些策略。
组织单位
可以在组织单位中定义组策略对象,组织单位中的所有计算 机和用户将继承这些策略。
组策略的作用
1
组策略可以用于配置各种系统设置,例如桌面 背景、屏幕保护程序、系统声音、网络设置等 。
2
组策略还可以用于配置软件设置,例如安装程 序、文件关联、启动项等。
3
组策略还提供了各种工具来监视和管理用户和 计算机的行为,例如软件分发、脚本执行、安 全设置等。
组策略与域控制器
01
组策略是域控制器的一个组件,用于管理和配置域中的用户、 计算机和其他设备。
windows域常用组策略设置
从开始菜单删除:收藏夹、搜索、常用程序列表、公共程序组、游戏、帮助、所以程序、网络连接、附加的程序列表、运行等等
删除部分
从“设置”菜单删除程序:此设置防止“控制面板”、“打印机”和“网络连接”文件夹在「开始」菜单、“我的电脑”和Windows资源管理器上设置。它还阻止运行这些文件夹所代表的程序(如Control.exe)。
不允许
重命名来宾帐户和重命名系统管理员账户
Enterprise Admins组,最高权限,建议只放一个用户,并且常年禁用
事件日志,设置事件日志的相关选项,包括:大小,时间,类型等等
调整
关闭自动播放:启用此设置,则可以禁用CD-ROM和可移动介质驱动器上的自动播放,也可以禁用所有驱动器上的自动播放。
关闭
实际测试
开启按部门需求
防止删除打印机:如果用户试图删除打印机,例如使用“控制面板”中“打印机”
是
中的“删除”选项来删除打印机,会显示一条消息,说明该设置组织执行此操作。
隐藏“从CD-ROM或软盘安装程序”选项:从“添加新程序”页面删除“从CD-ROM或软盘安装程序”部分。这样可以防止用户使用“添加或删除程序”从可移动介质安装程序。
是
提示用户在过期之前更改密码:确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告,用户有时间构造足够强大的密码。
10天
无需按Ctrl+Alt+Del:该安全设置决定用户是否需要按Ctrl+Alt+Del才能登录。
无需
可匿名访问的共享:此安全设置确定匿名用户可以访问哪些网络共享。
是
阻止更改壁纸:阻止用户添加或更改桌面的背景设计。
是
桌面墙纸:指定在所有用户的桌面上显示的桌面背景(“墙纸”)
组策略常用设置详解
组策略常用设置详解(任务栏和开始菜单、桌面、控制面板、网络和系统)(本人整理自Windows XP Pro SP2)(各项默认状态均为“未被配置”)任务栏和开始菜单设置详解用户配置-管理模板-任务栏和开始菜单从开始菜单删除用户文件夹隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。
其它项目出现,但文件夹会被隐藏。
这个设置是为了转发文件夹而设计的。
被转发的文件夹会出现在「开始」菜单的主要区域中。
但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。
因为两个同样的文件夹可能会让用户觉得混乱,您可以使用这个设置来隐藏用户指定文件夹。
请注意这个设置会隐藏所有的用户指定文件夹,不光是被转发的用户指定文件夹。
如果您启用这个设置,在「开始」菜单中的上方区域不会出现任何文件夹。
如果用户将新文件夹加入「开始」菜单,文件夹会出现在用户配置文件的目录中,但不会出现在「开始」菜单中。
如果停用或不配置这个设置,Windows 2000 Professional 和Windows XP Professional 会将文件夹同时显示在「开始」菜单的两种区域中。
删除到“Windows Update”的访问和链接防止用户连接到Windows Update 网站。
这个设置阻止用户访问地址为:的Windows Update 网站。
这个设置从「开始」菜单和Internet Explorer 中的工具菜单上删除了Windows Update 超链接。
Windows Update 为Windows 的联机扩展,提供软件更新以使用户的系统保持最新。
Windows Update Product Catalog 确定任何用户需要的系统文件、安全措施修改以及Microsoft updates 并且显示可供下载的最新版本。
还可参阅“隐藏…从Microsoft 添加程序‟选项”设置。
从开始菜单删除公用程序组在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。
管理员操作手册-AD域控及组策略管理_51CTO下载
管理员操作手册-AD域控及组策略管理_51CTO下载1.前言AD域控及组策略管理是IT管理员日常工作的重要组成部分,通过对AD域控和组策略的合理配置和管理,可以实现企业网络环境的安全性、可靠性和高效性。
本手册旨在提供AD域控和组策略管理的相关操作指南,帮助管理员更好地完成日常工作。
2.AD域控管理2.1AD域控的创建与配置- 在服务器管理工具中打开“Active Directory 域服务配置向导”。
-选择“新建林”并按照向导进行域控的创建与配置。
2.2AD域控的管理与维护- 在服务器管理工具中打开“Active Directory 用户和计算机”。
-可以进行用户账户、计算机账户、组织单位等的管理与维护。
2.3AD域控的备份与恢复- 使用Windows Server Backup工具进行备份和恢复。
-定期备份AD域控以防止数据丢失和系统崩溃。
3.组策略管理3.1组策略的创建与配置-在服务器管理工具中打开“组策略管理”。
-可以创建和配置适用于不同组织单位的组策略。
3.2组策略的应用与更新-使用“更新策略”命令可以立即使变更的组策略生效。
-配置组策略的过程中可以指定应用的对象,如用户组、计算机组等。
3.3组策略的审计与报告-使用组策略管理工具中的“结果集”功能可以查看策略的审计结果。
-可以生成策略的报告并进行分析以优化策略配置。
4.网络安全与用户权限管理4.1基于域的安全-配置域用户账户和组的访问权限和密码策略。
-设置账户锁定策略和审计策略以防止未授权访问。
4.2网络访问控制-配置网络访问控制列表(ACL)以限制网络资源的访问。
-配置防火墙规则和端口策略以增强网络安全性。
4.3用户权限管理-使用“本地安全策略”工具配置本地用户的权限。
-配置用户账户的分组和权限以实现最小权原则。
5.故障排除与性能优化5.1AD域控故障排除- 使用Windows Event Viewer查看与AD域控相关的事件日志。
-使用工具检查AD域控的硬件和网络连接是否正常。
域组策略域控中组策略基本设置
域组策略域控中组策略基本设置
组策略是域控中的一项重要功能,它允许管理员集中管理域中的计算机和用户。
组策略可以通过设置一系列规则和限制来控制域中的计算机和用户的行为和配置。
在组策略基本设置中,管理员可以执行以下操作:
2.链接组策略到组织单位或域对象:管理员可以将组策略链接到特定的组织单位或域对象上。
链接组策略到组织单位将使该策略应用于组织单位下的所有计算机和用户。
链接组策略到域对象将使该策略应用于整个域中的所有计算机和用户。
3.启用和禁用组策略:管理员可以启用或禁用组策略,以控制该策略是否应用于目标计算机和用户。
禁用组策略将导致不应用该策略中定义的所有设置和规则。
4.强制组策略:管理员可以通过强制组策略来立即应用组策略中的设置和规则。
强制组策略可以用于快速应用新的或更改的设置,而无需等待组策略刷新。
5.优先级设置:管理员可以为链接到同一组织单位或域对象的多个组策略设置优先级。
优先级较高的组策略将覆盖优先级较低的组策略中的相同设置和规则。
7.备份和恢复组策略:管理员可以备份组策略的配置,并在需要时进行恢复。
这样可以确保即使发生意外情况,管理员也能轻松地恢复组策略的设置。
8.详细日志和审计:系统还提供了详细的日志和审计功能,记录组策略的所有修改和应用。
管理员可以使用这些日志来跟踪和审计组策略的变更历史。
设置域控制安全策略完整版
设置域控制安全策略 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
背景
某些员工设置密码长度很短,而且不符合复杂性要求
密码很久也不修改
有时会发生非法用户试探员工密码
目标
1、密码策略设置
2、账户锁定策略设置
3、密码策略的验证
4、账户锁定策略验证
5、如何给账户解锁
第一步:找到域控制器安全策略点击进入
第二步:找到帐户安全策略点击进入
第三步:选择密码策略点已启用
第四步:选择密码最小长度值选项并输入你要设定的长度值!第五步:选择帐户锁定策略
第七步:设置复位锁定帐户时间!
第九步:登陆用户故意输错密码相对应的次数后就会发现
并会弹出一个你的帐户已被锁定的界面
这时再进入服务器的超户—域控—USERS下—打开你刚刚登陆的用户的帐户选项卡就会出现一个帐户被锁定的选项把勾去掉用
户即被解锁!
实验完成!经过这样的设置后服务器上创建用户都会根据你设置的要求来了,而当你在设定的错误登陆次数内还没能正确输入密码后你的用户就会被锁定!如果想要解锁就只有让管理员来进超户进入域用户帐户里进行解锁了。
组策略常用设置详解
组策略常用设置详解登录时不显示欢迎屏幕抑制欢迎屏幕。
这项设置在每次用户登录时将Windows 2000 Professional 和Windows XP Professional 欢迎屏幕隐藏。
用户仍旧可以通过在「开始」菜单选择或在运行对话框中键入“Welcome”来显示欢迎屏幕。
这项设置时适用于Windows 2000 Professional 和Windows XP Professional。
它不会影响到Windows 2000 Server 上的“在 Windows 2000 Server 上配置您的服务器”屏幕。
注意: 这项设置出现在“计算机配置”和“用户配置”文件夹中。
如果配置这项设置,“计算机配置”中的设置比“用户配置”中的设置优先。
窍门: 要显示欢迎屏幕,请单击开始、指向程序、指向附件指向系统工具然后单击“开始”。
要在不指定设置的情况下抑制欢迎屏幕,请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”。
2000 年份转译决定程序如何转译用两位数字表示的年份。
这个设置将最大的两位数字的年份指定为以 20 打头。
所有小于和等于指定数值的数字被转译成以 20 打头的。
所有大于指定数值的数字被转译成以 19 打头的。
例如,默认数值--2029 指定所有小于和等于 29 (00 到 29)的两位数字的年份被转译成以20 打头的,即 2000 到 2029。
相反,所有大于 29 (30 到 99)的两位数字的年份被转译成以 19 打头的,即 1930 到1999。
这个设置只影响用这个Windows 功能转译两位数字的年份的程序。
如果程序无法正确转译两位数字的年份,请查阅程序的文档或询问制造商。
配置驱动程序搜索位置此设置配置查找到新硬件时Windows 将要搜索驱动程序的位置。
默认情况下,Windows 将在下列位置搜索驱动程序: 本地安装、软盘驱动器、CD-ROM 驱动器、Windows Update。
域的组策略
3,在OU上设置"OU组策略" OU上设置 OU组策略 上设置" 组策略"
域---右键----新建----组织单位OU ---右键----新建----组织单位OU 右键----新建----组织单位
在OU内建立三个用户:a,b,c OU内建立三个用户: 内建立三个用户
OU----右键----属性----组策略----新建--OU----右键----属性----组策略----新建------右键----属性----组策略----新建 ----编辑 -OU test ----编辑
5,阻止策略继承
OU属性---组策略----选中"阻止策略继承" OU属性---组策略----选中"阻止策略继承" 属性---组策略----选中
以OU内三用户之中任意用户 b 登录到客户机 OU内三用户之中任意用户
我的文档图标出现(域组策略被阻止),网上邻 我的文档图标出现(域组策略被阻止),网上邻 ), 居图标消失(只有OU组策略生效) OU组策略生效 居图标消失(只有OU组策略生效)
再次以用户 a 登录到客户机
网上邻居出现(OU组策略被过滤,与预期相同) 网上邻居出现(OU组策略被过滤,与预期相同) 组策略被过滤
以非ab 登录到客户机(预期: 以非ab 组中用户 c 登录到客户机(预期: 不受阻过滤影响, 不受阻过滤影响,网上邻居消失)
与预期相反
原因: 用户, 原因:安全对象中未包括 c 用户,该用户不受 该组策略影响(被排除在外) 该组策略影响(被排除在外)
在OU内建用户组 ab ,添加 a,b 为其成员 OU内建用户组
OU---属性---组策略---OU test ---属性---安全-OU---属性---组策略---OU ---属性---安全----属性---组策略--属性---安全 ---其权限默认 只读,未采用组策略) 其权限默认( -添加 ab 组---其权限默认(只读,未采用组策略)
samba 域控 配置组策略
Samba 域控配置组策略1. 简介Samba是一个开源的实现了SMB/CIFS协议的软件套件,可以在Linux和其他类Unix系统上实现与Windows共享文件和打印机的功能。
通过配置Samba域控制器(Domain Controller),我们可以将Linux服务器作为Windows域中的主要身份验证服务器,并使用组策略(Group Policy)来管理Windows客户端。
本文将详细介绍如何在Samba域控下配置组策略。
2. 安装和配置 Samba 域控首先,我们需要安装Samba软件包,并进行基本的配置。
2.1 安装 Samba 软件包在Linux服务器上,执行以下命令安装Samba软件包:$ sudo apt-get install samba2.2 配置 Samba编辑Samba配置文件/etc/smb.conf,将其配置为域控模式。
以下是一个示例配置:[global]workgroup = MYDOMAINrealm = netbios name = MYDCserver role = active directory domain controllerdns forwarder = 8.8.8.8idmap_ldb:use rfc2307 = yesvfs objects = acl_xattrmap acl inherit = yes请根据实际情况修改workgroup、realm、netbios name和dns forwarder参数。
保存并关闭文件。
2.3 创建域用户执行以下命令创建域用户:$ sudo smbpasswd -a username请将username替换为要创建的域用户的用户名,并输入密码。
2.4 启动 Samba 服务启动Samba服务,使其生效:$ sudo systemctl start smbd nmbd3. 配置组策略现在,我们将配置组策略以管理Windows客户端。
域控器的组策略应用设置大全
组策略应用设置大全一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。
此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。
例如要删除“我的文档”,只需在“删除桌面上的‘我的文档’图标”一项中设置即可。
若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
域账号组策略配置手册V1.0
域账号组策略配置手册V1.0注:使用域后,原有每台机器需要配置的host文件仍需要配置,在修改ip和机器名后,请保持同步更新,以免影响应急系统的使用。
1. 域组策略配置1.1. 域控制器配置1.在域控制器上,打开Active Directory 用户和计算机进行配置2 . 新建组织单位WWIMP3.将Computers 下面属于集成平台得计算机加入到新建的组织中4. 在开始->运行中输入gpmc.msc,打开组策略管理器5. 在目录下找到刚才新建的组织WWIMP ,点击右键创建GPO6. 输入gpo名称wwgpo7. 右键点击刚才创建的GPO,选择编辑,打开组策略编辑器8. 根据下图打开安全选项组策略9. 在右边找到“用户账户控制:在管理审批模式下的提升提示行为”修改为“不提示,直接提升”10.在右边找到“用户账户控制:以管理员批准模式运行所有管理员”,将之改为“已启用”11. 关闭编辑器。
1.2. 域成员更新组策略(2008需要)1. 在域成员计算机上,开始-.>运行cmd ,进入命令窗口2. 运行命令杭gpupdate /force2. WW域用户配置2.1. Ww域用户增加1.登陆域控制器,打开打开Active Directory 用户和计算机进行配置2.选择新建用户3.增加用户wwimpuser 密码p@ssw0rd (0是数字),选择密码永不过期4. 在users 下找到该用户,右键属性,在“隶属于”选项卡中,将该用户加入到domain admins 和domain users 用户中2.2. Ww客户端配置(或者安装时)1. 双击所有程序中Wonderware下的Change Network Account2. 打开界面后能看到原来的配置,目前我们安装ww软件时都是用的wwuser,如下图3. 重新输入域名称(和现场实际相同),用户使用刚才创建的wwimpuser用户4. 点击确定,这边的提示密码会过期,不用管(我们在域中建的用户密码已经选择了永不过期),直接选择“是”4. 点击确定,重启计算机。
域控中组策略基本设置
域控中组策略基本设置组策略是在Windows Server域控制器上用于管理网络中计算机和用户设置的集中管理工具。
通过组策略,管理员可以控制和配置域中计算机和用户的许多行为和设置。
下面将介绍组策略的基本设置。
1.创建组策略对象(GPO):在域中的组策略管理中打开“组策略管理”后,右键点击“域对象”,选择“创建一个GPO在这里,并链接这个GPO在此处”,填写名称并创建。
2.修改组策略设置:(1)计算机配置:可以设置计算机的安全性选项、软件安装、启动和关机脚本、Windows设置等。
其中一项重要的设置是安全设置,可以设置密码策略、账户策略、用户权限等以增强计算机的安全性。
(2)用户配置:可以设置用户的桌面设置、启动和关机脚本、 Internet Explorer设置等。
其中一项重要的设置是目录重定向,可以将用户的特定文件夹(如“我的文档”)重定向到网络共享文件夹,以实现数据备份和集中管理。
3.配置组策略的应用范围:组策略可以应用到不同范围的目标对象上,包括域、站点和组织单位。
可以通过链接组策略、过滤器和安全分组来控制组策略的应用范围。
(1)链接组策略:在组策略管理中,右键点击目标范围,选择“链接已存在的GPO”,选择要链接的GPO。
(2)过滤器:可以设置组策略在特定条件下才应用,如特定用户或计算机,通过右键点击链接的GPO,选择“属性”,在“安全”选项卡中设置过滤器。
(3)安全分组:可以通过集成权限管理来设置组策略的应用范围,通过右键点击链接的GPO,选择“属性”,在“高级”选项卡中设置安全分组。
4.更新组策略:组策略的更改需要更新到目标计算机上才能生效。
Windows客户端默认每隔90分钟自动更新组策略,也可以使用命令“gpupdate /force”立即强制更新。
以上是组策略的基本设置,通过组策略的灵活配置,管理员可以集中管理和控制域中计算机和用户的行为和设置,提高网络安全性和管理效率。
域组策略-- 域控中组策略基本设置.
域控中组策略基本设置计算机配置:要重启生效用户配置:注销生效策略配置后要刷新:gpupdate /force组策略编辑工具!-----gpmc.msi (工具)使用:运行--->gpmc.msc 如下键面:文件夹重定向:1.在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!)2.域账户用户登录任一台机器都能看到我的文档里的自己的东西!禁止用户安装软件:1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行!2.把域用户加入到本地power user 组可以运行软件!域用户添加Power user组3.用本地用户登录机器查看!禁止卸载:1.权限domain user + 管理模板(相当于改动注册表!!)2.再把控制面板里的“添加删除程序”禁用禁止使用USB:1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb.adm2.3.4.5.6.7.客户端机器重启生效禁止绿色软件安装,如:迅雷,QQ等--------建立哈希规则:建立了哈希规则后不论此软件放在机器的任何路径,都将被禁止!GPO软件分发:1.工具:Advanced Installer 制作MSI格式文件2.在DC上建立一共享文件夹。
把*.MSI格式文件放入,附Authenticated 可读,Admini 完全控制3.编辑组策略-→用户配置-→软件安装-右击→\\(DC的IP\共享名)4.软件安装右击→程序包-→*.MSI →已发布\已指派停止域客户端的防火墙:右击,域→计算机-→Windows-设置→安全设置-→系统服务→windows firewall漫游:1.账号在客户机上登录2.在server上建议账号空间3.server在客户机上登4.server上设主文件。
域控器的组策略应用设置大全
域控器的组策略应用设置大全组策略应用设置大全一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。
此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。
例如要删除“我的文档”,只需在“删除桌面上的…我的文档?图标”一项中设置即可。
若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上…网上邻居?图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的…我的文档?图标”和“删除桌面上的…我的电脑?图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
域控创建策略
域控创建策略
在域控中创建策略,主要涉及到以下几个步骤:
1.组织单位的创建:在域中创建一个或多个组织单位(OU),以便将策略应用于特定的用户和计算机组。
可以根据需要创建多个OU,以更好地组织和管理网络中的对象。
2.组策略的配置:在域控制器上打开“组策略管理”控制台,找到相应的组织单位,并为其创建一个组策略对象(GPO)。
在GPO中,可以定义各种策略设置,如软件安装、用户权限等。
3.安全策略的配置:可以在GPO中定义安全设置,如账户策略、本地策略等。
这些设置可以控制用户账户的密码策略、账户锁定策略等。
4.软件安装策略的配置:通过“软件设置”选项,可以定义软件安装策略。
在此,可以选择允许或禁止安装特定软件,并可以基于安全级别进行更细粒度的控制。
5.路径规则的配置:在软件限制策略中,可以创建路径规则来控制对特定文件的访问。
这有助于防止恶意软件的安装和传播。
6.审核策略的配置:通过审核设置,可以追踪对系统资源的访问和更改。
这对于监控和审计系统活动非常有用。
7.发布通告信息:发布通告信息可以告知用户有关新策略的信息,以及如何遵守这些策略。
这对于提高用户对新策略的意识和遵从性非常有帮助。
8.应用策略:一旦配置好GPO,将其应用到相应的组织单位上。
这样,所定义的策略就会应用到选定的OU中的用户和计算机上。
在配置过程中,请确保仔细考虑各种策略的影响,并遵循最佳实践,以确保网络的安全和稳定性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
域控中组策略基本设置
计算机配置:要重启生效用户配置:注销生效
策略配置后要刷新:gpupdate /force
组策略编辑工具!-----gpmc.msi (工具)
使用:运行--->gpmc.msc 如下键面:
文件夹重定向:
1.在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!)
2.域账户用户登录任一台机器都能看到我的文档里的自己的东西!
禁止用户安装软件:
1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行!
2.把域用户加入到本地power user 组可以运行软件!
域用户添加Power user组
3.用本地用户登录机器查看!
禁止卸载:
1.权限domain user + 管理模板(相当于改动注册表!!)
2.再把控制面板里的“添加删除程序”禁用
禁止使用USB:
1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb.adm
2.
3.
4.
5.
6.
7.客户端机器重启生效
禁止绿色软件安装,如:迅雷,QQ等--------建立哈希规则:
建立了哈希规则后不论此软件放在机器的任何路径,都将被禁止!
GPO软件分发:
1.工具:Advanced Installer 制作MSI格式文件
2.在DC上建立一共享文件夹。
把*.MSI格式文件放入,附Authenticated 可读,Admini 完
全控制
3.编辑组策略-→用户配置-→软件安装-右击→\\(DC的IP\共享名)
4.软件安装右击→程序包-→*.MSI →已发布\已指派
停止域客户端的防火墙:
右击,域→计算机-→Windows-设置→安全设置-→系统服务→windows firewall
漫游:
1.账号在客户机上登录
2.在server上建议账号空间
3.server在客户机上登
4.server上设主文件。