AD域用户常用组策略设置
域用户常用组策略设置
域用户常用组策略设置组策略是指在Windows操作系统中,通过集中管理策略和设置来控制域用户和计算机的行为。
以下是一些常用的组策略设置,适用于Windows Server上的域环境。
1.密码策略密码策略设置用于控制用户密码的复杂度和安全性。
可以设置密码的最短长度、密码的复杂性要求,如必须包含大写字母、小写字母、数字和特殊字符等。
还可以设置密码的最长有效期和密码历史记录的保留个数,以防止用户频繁更改密码。
2.账户锁定策略账户锁定策略设置用于控制在一定的失败尝试次数后锁定用户账户。
该策略可以防止恶意攻击者通过暴力破解密码的方式获取用户账户的权限。
可以设置失败尝试次数和锁定时间。
3.用户访问控制策略用户访问控制策略用于控制用户对不同资源的访问权限。
例如,可以设置用户只能访问特定的文件夹、只能访问特定的应用程序等。
可以根据组织的需求进行灵活的设置,以满足不同用户角色和职责的需要。
4.审计策略审计策略用于记录用户和计算机的操作日志。
可以设置哪些操作需要被审计,如登录、文件访问、对象的创建和删除等。
审计策略可以帮助管理员跟踪和分析系统的安全事件,及时发现和应对潜在的安全威胁。
5.软件安装策略软件安装策略用于集中管理和部署软件应用程序。
可以通过组策略将软件程序推送到目标计算机上,或者限制一些用户或计算机无法安装特定的软件。
这样可以确保组织中的计算机都拥有统一的软件环境,便于管理和维护。
6.桌面设置策略桌面设置策略用于控制用户的桌面环境和用户界面。
可以限制用户是否可以更改桌面背景、屏幕保护程序、系统主题等。
还可以限制用户是否可以访问控制面板、开始菜单等系统设置。
这样可以加强计算机的安全性,并减少用户误操作或恶意行为造成的影响。
7. Internet Explorer设置策略Internet Explorer设置策略用于控制Internet Explorer的行为和配置。
可以设置浏览器的安全级别、对特定网站启用或禁用特定功能,如ActiveX控件、Java脚本等。
企业ad域控组策略
企业ad域控组策略
AD域控组策略是Active Directory域控制器中用于批量管理计算机和用户设置的强大工具。
通过组策略,管理员可以集中管理计算机和用户的配置,以减少管理成本、减少用户单独配置错误的可能性,并针对特定对象设置特定的策略。
组策略对象(GPO)是存储组策略所有配置信息的一个特殊对象。
默认情况下,有两种主要的组策略对象:默认域策略和默认域控制器策略。
这些策略对象可以在域或组织单元级别上应用,以控制计算机和用户的策略设置。
在AD域控中,组策略的设置可以通过计算机策略、用户策略、脚本策略和首选项策略四种方式实现。
计算机策略在用户启动时执行,具有管理员权限,但需要考虑权限问题。
用户策略在用户登录时执行,自带权限,但只有Users的权限。
脚本策略既可以在计算机策略中也可以在用户策略中使用,具有很大的灵活性,但需要运维人员具备相应的技能。
首选项策略是微软提供的简化版策略实施方式,方便简单灵活,但不能处理过于复杂的策略。
当在域中应用组策略时,一些关键点需要注意。
例如,本地安全策略与默认域策略有冲突时,以默认域策略优先,本地设置无效。
此外,组策略的设置在本地计算机重启时、DC每5分钟自动应用、不是DC每隔90-120分钟
会自动应用、所有计算机每隔16小时强制应用,即使无更改。
如果需要手动应用域策略,可以使用gpupdate或gpupdate /force命令。
总的来说,企业AD域控组策略是一种强大的工具,可以帮助管理员更好地管理和控制计算机和用户的配置。
通过合理地使用组策略,企业可以提高管理效率、减少错误配置的可能性,并更好地保护企业资源的安全性。
AD域用户常用组策略设置
AD域用户常用组策略设置通过AD共享创建域用户个人共享数据盘第一步:创建共享文件夹-userdisk第二步:创建用户登陆时,在共享userdisk目录下个人文件夹组策略在域组策略下,viewuser组下创建GPO域组策略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步:创建用户登陆时,挂载共享userdisk目录下个人文件夹组策略域组策略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面背景图第一步:将桌面背景图放到共享目录下第二步:创建用户登录后修改桌面背景组策略域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步:做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入:@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步:创建用户登陆时自动运行批处理组策略域组策略-用户配置-策略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组策略对应User\Scripts\Logon再点击添加点击浏览。
AD域控组策略应用设置功能调研表
序号类别详细内容1.隐藏不必要的桌面图标2.禁止对桌面的改动3.启用或者金泳活动桌面4.给“开始”菜单减肥5.保护好“任务栏”和“开始”菜单的设置1.禁止访问“控制面板”2.隐藏或禁止“添加/删除程序”3.隐藏或禁止“显示”项1.登陆时不显示欢迎屏幕界面2.禁用注册表编辑器3.关闭系统自动播放功能4.关闭Windows自动更新5.删除任务管理器1.删除“文件夹选项”2.隐藏“管理”菜单项1.限制IE浏览器的保存功能2.简化工具栏3.给IE工具栏添加快捷方式4.管理IE插件5.保护个人隐私6.禁止修改IE浏览器主页7.禁用导入和导出收藏夹1.密码策略2.用户权利指派3.文件和文件夹设置审核
4.禁止访问命令提示符
56桌面项目设置控制面板系统项目设置资源管理器IE浏览器设置
系统安全/共享/权限设置AD域控组策略应用功能表
1234
5.禁止访问注册表
1.批量创建和编辑用户帐户
2.指派管理权限
7用户管理
3.批量创建域用户
4.批量编辑域用户属性
5.用户密码策略管理。
AD域组策略规划和部署指南
AD域组策略规划和部署指南AD域(Active Directory)是一种用于管理网络资源的服务。
组策略是AD域中的一项功能,在整个域范围内为用户和计算机提供统一的安全设置和管理。
本文将提供AD域组策略规划和部署的指南,帮助管理员更好地使用此功能。
一、规划阶段1.定义需求:首先,确定组策略的主要需求和目标。
这可能包括安全性、访问控制、软件分发、用户配置等方面。
2.识别和分类对象:将AD域中的用户和计算机分组,并为每个组定义不同的策略需求。
例如,可以将用户分为管理人员、技术人员和普通员工等组别。
3.制定策略范围:确定需要部署组策略的范围。
可以选择在整个域中实施策略,也可以仅在特定的组织单位或者OU(组织单元)中实施。
二、设计策略1.定义基本策略:根据需求和目标,制定基本策略模板。
这些策略包括密码策略、帐户锁定策略、用户权限策略等。
2.定义高级策略:根据不同的组别和对象,制定更详细的策略,以满足各组的需求。
例如,可以为管理人员组设计更严格的安全设置,为技术人员组配置特定的软件等。
3.组织单位结构设计:根据分组需求,设计合适的OU结构。
这将有助于更好地管理和应用组策略,使其更符合组织的层次结构和需求。
三、实施策略1.创建组策略:在AD域中,使用组策略对象来创建和管理策略。
可以通过右键单击"组策略对象",然后选择"新建策略"来创建新的策略。
2.配置策略设置:打开组策略对象后,可以根据需求和目标,通过对不同设置进行配置来实施策略。
这些设置包括安全设置、软件安装、脚本执行、桌面设置等。
3.应用策略:设置好策略后,在AD域中的对象将自动接收到策略,并按照设置进行操作。
可以通过强制组策略更新、重启计算机等方式来确保策略被应用。
四、测试和审计1.测试策略:在实施策略后,进行测试以确保它们按预期工作。
可以选择一些测试用户和计算机,观察他们是否符合策略要求。
2.审计策略:定期审计和评估组策略的效果和安全性。
ad组策略
文件夹重定向的好处
提高了漫游用户配置文件的性能 重定向后的数据可以作为系统管理日程的一部分被 备份出来, 备份出来,而这些对于用户端是完全透明的 用户登录到网络上不同的计算机时, 用户登录到网络上不同的计算机时,都可得到相同 的文档 网络管理员可以通过组策略来设置磁盘配额, 网络管理员可以通过组策略来设置磁盘配额,来限 制用户文件夹占用的空间
可以重定向的文件夹
我的文档 Application Data 桌面 “开始”菜单 开始” 图片收藏
配置“文件夹重定向”所需的设置 配置“文件夹重定向”
使用基本文件夹重定向的对象: 使用基本文件夹重定向的对象: 使用公用区域的用户 -或使用私有数据的用户 使用高级文件夹重定向, 使用高级文件夹重定向,服务 器就可以根据组的成员关系提 供文件夹的位置
配置“文件夹重定向” 配置“文件夹重定向”
文件夹重定向 可以重定向的文件夹 配置“文件夹重定向” 配置“文件夹重定向”所需的设置 配置“文件夹重定向” 配置“文件夹重定向”时的安全注意事项 配置“文件夹重定向”的方法 配置“文件夹重定向”
文件夹重定向
文件夹重定向允许用户和计算机重定向文件夹到新 的位置 新的位置可以在本地计算机的文件夹或网络上 的共享文件夹 文档用户访问服务器上的文件夹就如同在本地 访问
禁用和启用的组策略设置
启用/禁用 启用 禁用 多值设置
实现组策略对象
组策略 用户和计算机的配置设置 设置本地计算机策略设置 课堂练习 设置本地计算机策略设置
组策略
组策略
组策略设置定义了系统管理员需要管理的用户桌 面环境中各种组件 用户可用的程序 用户桌面上出现的程序以及“开始”菜单选项 为特定用户组创建特殊的桌面配置 可以使用组策略对象编辑器 指定的组策略设置包含在组策略对象中 对象( 组策略对象与选定的 Active Directory 对象(即站 域或组织单位) 点、域或组织单位)相关联
管理员操作手册-AD域控及组策略管理_51CTO下载
管理员操作手册-AD域控及组策略管理_51CTO下载1.前言AD域控及组策略管理是IT管理员日常工作的重要组成部分,通过对AD域控和组策略的合理配置和管理,可以实现企业网络环境的安全性、可靠性和高效性。
本手册旨在提供AD域控和组策略管理的相关操作指南,帮助管理员更好地完成日常工作。
2.AD域控管理2.1AD域控的创建与配置- 在服务器管理工具中打开“Active Directory 域服务配置向导”。
-选择“新建林”并按照向导进行域控的创建与配置。
2.2AD域控的管理与维护- 在服务器管理工具中打开“Active Directory 用户和计算机”。
-可以进行用户账户、计算机账户、组织单位等的管理与维护。
2.3AD域控的备份与恢复- 使用Windows Server Backup工具进行备份和恢复。
-定期备份AD域控以防止数据丢失和系统崩溃。
3.组策略管理3.1组策略的创建与配置-在服务器管理工具中打开“组策略管理”。
-可以创建和配置适用于不同组织单位的组策略。
3.2组策略的应用与更新-使用“更新策略”命令可以立即使变更的组策略生效。
-配置组策略的过程中可以指定应用的对象,如用户组、计算机组等。
3.3组策略的审计与报告-使用组策略管理工具中的“结果集”功能可以查看策略的审计结果。
-可以生成策略的报告并进行分析以优化策略配置。
4.网络安全与用户权限管理4.1基于域的安全-配置域用户账户和组的访问权限和密码策略。
-设置账户锁定策略和审计策略以防止未授权访问。
4.2网络访问控制-配置网络访问控制列表(ACL)以限制网络资源的访问。
-配置防火墙规则和端口策略以增强网络安全性。
4.3用户权限管理-使用“本地安全策略”工具配置本地用户的权限。
-配置用户账户的分组和权限以实现最小权原则。
5.故障排除与性能优化5.1AD域控故障排除- 使用Windows Event Viewer查看与AD域控相关的事件日志。
-使用工具检查AD域控的硬件和网络连接是否正常。
AD安装和常用域环境策略配置(收藏)
4.当多个GPO 链接到同一个OU 时,所有GPO 的配置将被累加起来,当这些GPO 有冲突的时候,将以排在前面的GPO 配置为优先。
5.系统最先处理“计算机配置”,再处理“用户配置”,当两者的配置相冲突时,系统以“计算机配置”优先。
6.如果某个策略很重要,不想被子容器配置覆盖掉,我们可以通过父容器的GPO的“禁止替代”来强制必须继承。无论子容器是否设置了“阻止策略继承”。
按步骤安装系统兼容性—>域控制器类型—>创建一个新域—>新域名—>NetBios域名—>数据库和日志文件文件夹—>共享的系统卷—>DNS 注册诊断—>权限—>目录服务还原模式的管理员密码—>摘要—>重启
三.安装额外域控制器
配置域的额外域控制器—>数据库文件夹—>日志文件文件夹—>SYSVOL文件夹
8.全局编录(global catalog):域树内的所有域共享一个Active directory,但Active directory 的数据确是分散的存储在各个域内,并且每个域内只存该域本身的对象。因此全局编录它是为了让每一个用户、应用程序能够快速的找到其他域内的对象而设计的。
二.windows server 2003 域的建立
2.当子容器内的某个策略被配置时,此策略值就会覆盖由其父容器所传递下来的配置值。也就是系统处理GPO 的顺序是站点GPO、域GPO、 OU 的GPO。
3.组策略的配置是累加的,如果在“技术部”OU 内建立了GPO,同时在域也有GPO,则域与OU 内的所有GPO 配置值都会被累加起来,作为“技术部”的最后GPO 有效配置。
一.AD的一些基本概念
1.命名空间(Namespace):就是一个界定好的区域,在这块区域内我们可以利用某个名称来找到与这个名称有关的信息。一个电话本好象是一个“命名空间”。
ad域常用策略
ad域常用策略AD域(Active Directory)是一种由微软公司开发的用于管理网络资源的目录服务。
在企业和组织中,AD域常用策略被广泛应用于用户权限管理、安全策略、网络访问控制等方面,以确保网络的稳定运行和信息安全。
本文将介绍AD域常用策略的相关内容。
一、用户权限管理策略1. 密码策略:通过设置密码复杂度、密码过期时间等参数,确保用户的密码安全可靠。
密码复杂度要求用户使用包含大写字母、小写字母、数字和特殊字符的复杂密码,并设置密码最短使用期限和密码历史,禁止用户频繁更改密码。
2. 用户账户锁定策略:设置账户锁定阈值和锁定时间,当用户连续多次输入错误密码时,账户将被锁定一段时间,以防止密码暴力破解。
3. 用户授权策略:通过授权用户的组成员身份和所属组织单位,限制用户对资源的访问权限,确保数据的安全性和完整性。
二、安全策略1. 安全审核策略:启用安全审核策略,记录系统日志和安全事件,及时发现和处理安全漏洞和威胁。
2. 账户登录策略:限制用户登录计算机的方式和时间,设置登录失败提示信息,以防止非法用户的登录访问。
3. 文件和文件夹权限策略:通过设置文件和文件夹的权限,保护重要数据不被未授权的用户访问和修改。
三、网络访问控制策略1. 防火墙策略:设置防火墙规则,限制不同网络段之间的通信,阻止潜在的网络攻击和入侵。
2. 网络访问策略:通过设置网络访问规则和权限,限制特定用户或用户组对特定网络资源的访问,确保网络资源的安全和合规性。
四、软件安装与更新策略1. 软件安装策略:通过AD域控制器的软件分发功能,实现远程软件安装和更新,确保企业中所有计算机的软件版本一致性和安全性。
2. Windows更新策略:配置Windows更新设置,自动下载和安装操作系统和应用程序的更新补丁,及时修复安全漏洞,提高系统的稳定性和安全性。
五、域控制器策略1. 域控制器安全策略:加强对域控制器的安全管理,设置域控制器的安全审计策略、密码策略和账户锁定策略,提高域控制器的安全性。
windows服务器AD域控安装与组策略设置攻略
安装与配置Active Directory/china/technet/prodtechnol/windowsserver2003/technologi es/directory/default.mspx1、实验目的让学生掌握目录服务知识。
2、实验环境多台装有Windows 2000 Server的计算机。
3、相关理论活动目录是一种目录服务,它存储有关网络对象的信息,例如,用户、组和计算机账户、共享资源和打印机等,并使管理员和用户可以方便地查找和使用网络信息。
活动目录的应用起源于Windows NT 4.0,在Windows 2000 Server中得到进一步的应用和发展,具有可扩展性和可调整性,并将结构化数据存储作为目录信息逻辑和分层组织的基础。
活动目录的优点:(1)基于策略的管理(2)扩展性(3)可调整性(4)信息复制(5)与DNS的集成(6)灵活的查询(7)信息安全性4、实验内容(1)在安装Active Directory前首先确定DNS服务正常工作,下面来安装在根域为的第一台域控制器。
(2)运行Active Directory安装向导将Windows 2000 Server计算机为域控制器创建一个新域或者向现有的域添加其他域控制器。
5、实验步骤安装活动目录的具体操作步骤如下:(1) 执行“开始”→“程序”→“管理工具”→“配置服务器”命令,打开“Windows 2000配置服务器”对话框,如下图所示。
注释:安装完Windows 2000 Server后,每次启动计算机,系统都会自动打开“Windows 2000配置服务器”对话框。
(2) 在左边的列表中单击Active Directory(活动目录)选项,并将右边的滚动条拖动到底部,使对话框如下图所示。
(3) 单击“开始Active Directory向导”选项,打开“欢迎使用Active Directory 安装向导”对话框。
该对话框显示了Active Directory安装向导的简单欢迎信息。
常用AD组策略设置
常用AD组策略设置常用AD组策略设置利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。
根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。
相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。
下面是实际操作演示:AD域控制器:Windows Server 2003/2008以域管理员权限运行“Active Directory 用户和计算机”1. 设置屏保程序打开“”域下组织单位“北京”的属性(如下图):可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的C:\Windows\SYSVOL\sysvol\\Policies\{5F158A 23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup该setscr.bat脚本的内容是:copy bssec.scr c:\windows\system32即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。
作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。
打开“”域的属性(如下图):可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“用户配置”-“管理模板”-“控制面板”-“显示”,启用右侧的“屏幕保护程序”,启用“可执行的屏幕保护程序的名称”,填入屏幕保护文件名:bssec.scr,(如下图):同时启用右侧的“密码保护屏幕保护程序”,设置屏保超时(如下图):屏保设置完毕。
AD组策略使用技巧-域控制器软件限制策略的配置
域控制器软件限制策略的配置
1、开始-运行gpedit.msc 打开组策略
在组策略编辑器中展开软件限制策略的安全级别节点。
2、选择右边不允许的或不受限的单击设为默认
打开对话框 单击浏览按钮导入3、单击其他规则
单击新建哈希规则 打开对话框
选择上方的操作选项 单击新建哈希规则
单击其他规则 选择上方的操作选项
要限制的文件
要限制的文件
单击新建路径规则,,可以在路径文本框中文件路径或注册表路径如果使用注册表路径4、单击新建路径规则
必须用%江注册表路径括起来 ...
5、软件策略里面有个指派的文件类型选项根据自己的需要可以在里面添加或删除文件后缀名
6、双击强制选项打开强制属性对话框选择软件限制策略应用的范围和用户
7、在受信任的发布者属性里面可以选择软件发布者的用户选项
在受信任的发布者属性里面可以选择软件发布者的用户选项,,并选择证书发行商的检查项目。
ad域组策略模板
ad域组策略模板
AD域组策略模板是指一组预定义的系统管理策略,用于控制计算机
和用户的行为和安全设置。
这些策略通常应用于一个或多个OU(组织单位)或者整个AD域中的计算机和用户账户。
下面是一些常见的AD域组策略模板:
1.安全策略模板。
安全策略模板用于控制计算机和用户的访问控制和安全设置,包括密码策略、账户锁定策略、安全日志记录等。
2.桌面设置模板。
桌面设置模板用于控制计算机屏幕保护、桌面背景、程序菜单等桌面设置。
3.软件设置模板。
软件设置模板用于限制用户或计算机对特定软件的使用,如禁止运行某些程序。
4.显示设置模板。
显示设置模板用于控制计算机的屏幕分辨率、色彩深度和其他显示设置。
5.注册表设置模板。
注册表设置模板用于修改计算机的注册表设置,例如添加、删除、修改注册表项等。
6.IE设置模板。
IE设置模板用于控制IE浏览器的常规选项、安全选项、内容选项等。
7.远程安装模板。
远程安装模板用于控制计算机的程序安装和升级,以实现远程管理。
总体来说,AD域组策略模板可以帮助管理员实现对域中各个计算机
和用户的安全、配置、管理等方面的集中控制和更好的管理。
AD安装和常用域环境策略配置
AD安装和常用域环境策略配置AD(Active Directory)是一种用于管理域网络中的用户、计算机和其他网络资源的软件服务。
安装AD并配置常用的域环境策略是企业网络管理中非常重要的一环。
以下是一份AD安装和常用域环境策略配置的指南,以帮助管理员了解如何进行操作。
一、AD安装1.准备工作首先,确认服务器满足以下基本要求:Windows Server操作系统、4GB以上RAM、100GB以上磁盘空间。
接着,更新服务器操作系统,包括安装最新的Service Packs和补丁程序。
2.安装AD角色登录服务器,打开服务器管理器,选择“添加角色和功能”,按照向导选择“基于角色或基于功能的安装”,选择当前服务器,再选择“Active Directory域服务”,点击“安装”。
完成安装后,点击“完成”。
3.配置域环境打开Windows PowerShell或命令提示符,输入“DCPromo”命令,按照向导参考以下步骤进行配置:a)在“域控制器类型”对话框中,选择“创建一个新的域树”。
b)在“完全限定的名字”对话框中,输入新域的名称。
c)在“域功能级别”对话框中,选择适当的功能级别。
d)在“附加的域控制器选项”对话框中,选择适当的选项。
e)在“布置域控制器账户”对话框中,输入管理员凭据。
f)在“证书服务”对话框中,根据需求选择是否安装证书服务。
g)在“附加的选项”对话框中,选择适当的选项。
h)配置DNS服务器,在“DNS服务器选项”对话框中选择域名系统配置选项。
i)在“附加的域控制器选项”对话框中,输入一些全局目录服务柜分区的位置。
j)在“安装配置完成”对话框中,确认设置并点击“完成”完成安装。
4. 开启Active Directory用户和计算机安装完成后,打开“管理工具”,选择“Active Directory用户和计算机”来管理用户和计算机。
二、常用域环境策略配置1.密码策略配置a)打开“组策略管理”,右键点击“默认域策略”。
AD组策略的设置(超详细)
AD组策略的设置(超详细)AD组策略的设置(超详细)⼀、编辑组策略1、允许⼀户登陆本计算机在OU⼀⼀→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→⼀户权限分配→允许在本地登陆。
⼀gpupdate /force 命令刷新。
2、拒绝⼀户访问运⼀、CMD、以及批处理⼀件。
1、在要设定的OU上点击右键→属性→组策略→编辑策略→⼀户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运⼀菜单。
⼀gpupdate /force 命令刷新。
2、在要设定的域控制器点击右键→属性→组策略→编辑策略→⼀户配置→管理摸板→系统→阻⼀⼀户访问命令提⼀符→继续点击下⼀的的选项→是否拒绝使⼀批处理⼀件处理→选择“是”。
⼀gpupdate /force 命令刷新。
⼀、拒绝继承权限1、在下⼀级的OU上→属性→组策略→禁⼀策略的继承。
⼀gpupdate /force 命令刷新。
三、强制继承1、在上⼀级的OU上→属性→组策略→选项→禁⼀替代钩上。
⼀gpupdate /force 命令刷新。
四、过滤⼀户(特定的⼀群)1、在要设定的OU上→属性→组策略→属性→安全→添加⼀户→给予权限→拒绝组策略。
⼀gpupdate /force 命令刷新。
五、桌⼀管理1、在要设定的OU上→属性→组策略→编辑组策略→⼀户配置→管理模板→桌⼀→Active desktop→启⼀Active desktop→启⼀Active desktop墙纸→输⼀对应的主机的地址和共享⼀件。
2、⼀户配置→管理模板→系统→CTRL+ALR+DEL选项。
六、密码策略1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→(1、密码策略2、帐户锁定策略)七、组策略脚本1、当⼀户启动时→启动脚本→登陆脚本2、当⼀户注销时→注销脚本→关机脚本3、wscript.echo"内容" 后缀改为“VBS”1、建⼀脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→⼀户配置(计算机配置)→WINDOWS设置→脚本→双击登陆→显⼀⼀件→把脚本⼀件拖进去→3、在点击添加→写⼀⼀件名就可以了。
AD组策略的设置(超详细)
为何不能交互式登陆前一段时间做了一个win2000的终端网,采用win2000 application server终端服务模式+citrix(sp3),客户机上出现登陆窗口,以域用户账号登陆便会出现提示:"计算机不允许交互式登陆",而用administrator登陆却没有问题,开始有点呐闷,这个问题怎么同NT或win2000的非本地账号登陆域服务器出现的问题一样,后来查了一查资料,顿时明白过来。
在这里我必须讲一讲NT和win2000的身份验证机制。
NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协议,用户通过提供登陆信息(如用户名和密码),服务器将这些信息发送到服务器上的验证机构,验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性,如果通过,就会向用户发送一个令牌,此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的,不可传递的,所以一个域用户要获得另一个域的资源访问权限,必须手工建立信任关系,授权该用户的访问权限。
而在现在的win2000模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的,他是由每域的RID主机(相对关系主机)来分配的。
SID在每个域中是独一无二的,但在其他域中也可能出现同样的SID,但是由于域ID的不同,所以二者的GUID就不可能相同。
但这必须建立在Kerberos协议的基础上,kerberos提供了域之间可传递的,双向的信任关系,即A信任B,B信任A;A信任B,B信任C,A信任C。
当然也可手工调整,一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限,而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。
ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表,而ACE(Access control entry)是具体的访问类型(如read,write 等等).说了这么多,我再谈一谈针对win2000域环境下本地交互登陆的机制,众所周知,win2000对于用户登陆的验证采用的是kerberos协议,当一个本地用户登陆到域服务器,GINA(Graphical identification and authentication)图形标示符及身份验证Dll收到登陆请求,就会将其转发到LSA(本地权威机构),而在WIN2000下由于Kerberos是默认的验证机制,所以就请求kerberos来验证身份,而kerberos收到身份验证请求之后,便会出现错误信息,因为kerberos是用来验证域用户账号而非本地账号,此时LSA收到错误信息,会将其转发到GINA,GINA在将指定了MSV1_0协议的LSA来验证身份,如果通过则完成本地交互式登陆。
AD中的组策略
用户只能运行应用程序(V2.0)
41
布置一个可选升级
用户正在运行应用程序(V1.0)
应用程序(V2.0)被布置为可选 升级
用户可以继续使用V1.0,也可选 择升级到2.0
42
操作方法
1.
2.
在原有的软件包基础上再部署一个升级版 的软件包 右击低版本的软件包——属性——升级— —选择高版本的软件包——添加——选择 GPO——选择升级的程序包——选择升级 类别(可选升级和强制升级)——确定
15
组策略的继承与处理规则
组策略配置具有继承性:
子容器继承父容器的策略配置;也可以通过“阻止策略继承”来阻止继承 子容器策略配置可以覆盖继承下来的配置值 组策略配置具有累加性
组策略处理规则:
当域、站点、“OU”之间的GPO发生冲突时,处理顺序 组策略实施的三个层次:SITE,DOMAIN,OU
准备
软件包
分发
安装软件
删除
软件删除
19
维护
软件升级
组策略及软件安装概述
软件管理将实现
域/OU中的计算机/用户 自动安装、升级或删除软件
过程:
预备:Msi、mst、zap文件 布置:设置组策略,启动/登录/激活 维护:升级、重新布置 删除:启动/登录时自动删除
20
组策略及软件安装概述
Assigning在计算机配置里
计算机一启动成功软件就安装,自动完 整安装修复,对DC无效
33
指派--------------------用户
将软件指派给用户
当将一个软件通过组策略的GPO指派给域内的 用户后,该软件不会自动安装到用户的计算机内 ,用户需要通过以下两种方式来安装:
ad域计算机策略讲解
ad域计算机策略讲解AD域(Active Directory Domain)是微软公司开发的一种网络服务,它提供了一种集中管理网络资源的方法。
AD域计算机策略是AD域中的一项重要功能,它可以帮助管理员对计算机进行统一的管理和配置。
本文将详细讲解AD域计算机策略的相关内容。
一、AD域计算机策略概述AD域计算机策略是通过集中管理和配置计算机的策略来确保AD 域中的计算机运行在符合安全要求的环境中。
管理员可以通过AD 域控制器上的组策略对象(Group Policy Object,GPO)来定义和分发计算机策略。
计算机策略可以影响计算机的安全设置、应用程序安装、网络连接、操作系统设置等方面。
二、AD域计算机策略的组成AD域计算机策略由多个配置项组成,每个配置项都可以设置不同的值。
以下是几个常见的配置项:1. 安全设置:可以设置密码策略、账户策略、用户权限等安全相关的配置项。
2. 软件安装:可以通过计算机策略来安装、卸载和管理软件,并自动更新软件。
3. 网络设置:可以配置计算机的网络连接、代理设置、防火墙设置等。
4. 操作系统设置:可以配置计算机的操作系统行为,如启用自动更新、禁用自动重启等。
三、AD域计算机策略的配置方法1. 创建组策略对象:管理员可以打开AD域控制器上的组策略管理器,创建一个新的组策略对象。
组策略对象可以是一个特定的组织单位(OU)下的计算机或一组计算机的策略配置集合。
2. 配置组策略设置:在组策略对象中,管理员可以通过编辑组策略设置来配置计算机的各项策略。
设置的值可以是启用、禁用、或者指定具体数值。
3. 分发组策略:组策略对象配置完成后,管理员需要将其分发给目标计算机。
可以通过组织单位的层级结构进行分发,也可以通过安全组或者域本地组进行分发。
4. 更新组策略:计算机在启动或者用户登录时会自动检查并应用最新的组策略。
管理员也可以手动强制计算机立即更新组策略。
四、AD域计算机策略的应用场景AD域计算机策略可以在企业中的各种场景中发挥作用,以下是几个常见的应用场景:1. 安全策略:通过设置密码策略、账户锁定策略等安全设置,确保计算机和网络的安全。
AD域用户常用组策略设置
AD域用户常用组策略设置在Active Directory(AD)域环境中,组策略是用于管理和配置用户和计算机的集中策略工具。
组策略允许管理员通过在域中创建和应用组策略对象(GPOs)来定义用户和计算机的设置。
以下是AD域用户常用的组策略设置:1.密码策略:通过密码策略,管理员可以设置密码的复杂性要求、密码过期时间以及密码历史保留的数量。
这有助于增加密码的安全性。
2.帐户锁定策略:通过帐户锁定策略,管理员可以配置登录失败尝试的次数和锁定持续时间。
这有助于防止恶意用户通过暴力破解密码来获取访问权限。
3.账户密码策略:管理员可以配置密码重置和更改密码的要求。
这包括要求用户更改密码的频率、提供密码重置选项和密码复杂性要求。
4. 安全选项:管理员可以配置安全选项,包括启用或禁用自动管理员登录、禁用Guest帐户、强制使用加密方式进行网络通信等。
5.审核策略:通过审核策略,管理员可以配置要审计的事件类型以及要记录的日志信息。
这有助于保护系统免受安全威胁并进行安全审计。
6.应用程序控制:管理员可以配置允许或拒绝运行的应用程序列表,以帮助防止使用未经授权的应用程序。
7.注册表设置:管理员可以配置注册表设置,以控制计算机上注册表项的访问权限和配置。
8.文件和文件夹权限:管理员可以使用组策略设置来定义共享文件和文件夹的权限,确保只有经过授权的用户可以访问和修改文件。
9.桌面设置:管理员可以通过组策略设置来配置桌面背景、屏幕保护程序、任务栏、桌面图标等,以统一组织内工作站的外观和体验。
10.网络设置:管理员可以使用组策略设置来配置网络接口卡、防火墙、代理服务器等网络设置,以保护网络安全并优化网络性能。
11.程序安装和升级:管理员可以使用组策略设置来自动安装和升级特定的应用程序,以减轻用户手动操作的负担。
12.远程桌面设置:管理员可以配置远程桌面访问权限,限制哪些用户可以远程访问计算机。
13. Internet Explorer设置:管理员可以使用组策略设置来配置Internet Explorer的安全性、高级选项和首选项,以确保一致的浏览器体验。
AD域软件设置
软件设置打开组策略软件安装打开组策略软件安装1.打开“组策略管理控制台”。
右键单击要编辑的组策略对象,然后单击“编辑”。
2.若要将软件应用程序指派给计算机,请在控制台树中展开“计算机配置\策略”。
若要向用户指派或发布软件应用程序,请在控制台树中展开“用户配置\策略”。
3.展开“软件设置”,然后单击“软件安装”。
其他注意事项要完成此过程,您必须具有编辑 GPO 的编辑设置权限。
默认情况下,Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。
设置组策略软件安装的默认值若要将软件安装程序包添加到用户设置,可以发布或指派程序包。
选定站点、域和组织单位的用户使用控制面板中的“添加/删除程序”或使用文件激活可以安装已发布的程序包。
选定站点、域或组织单位中的用户在下次登录时(指派给用户)或计算机重新启动时(指派给计算机)将收到已指派的程序包。
设置组策略软件安装的默认值1.打开“组策略软件安装”。
(在控制台树中,右键单击“软件安装”。
)2.单击“属性”,然后在“常规”选项卡上指定下列选项:o在“默认程序包位置”中,指定默认的软件分发点。
o在“新增数据包”中,指定将新数据包添加到用户设置中的方法。
默认情况下,数据包可以被发布或指派。
(对于计算机,只能指派。
)如果要对每个数据包都选择这些选项,请单击“显示部署软件”对话框。
若要分别对各个数据包进行更多的控制,请单击“高级”。
o根据希望安装过程对用户所显示的外观,单击“安装用户界面选项”中的“基本”或“最大”。
其他注意事项∙要完成此过程,您必须具有编辑 GPO 的编辑设置权限。
默认情况下,Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD域用户常用组策略设置
一、通过AD共享创建域用户个人共享数据盘
第一步:创建共享文件夹-userdisk
第二步:创建用户登陆时,在共享userdisk目录下个人文件夹组策略在域组策略下,viewuser组下创建GPO
域组策略-用户配置-首选项-Windows设置-文件夹
\\10.10.0.66\viewdata\userdisk\%LogonUser%
第二步:创建用户登陆时,挂载共享userdisk目录下个人文件夹组策略
域组策略-用户配置-首选项-Windows设置-驱动器映射
\\10.10.0.66\viewdata\userdisk\%username%
二、设置域用户统一桌面背景图
第一步:将桌面背景图放到共享目录下
第二步:创建用户登录后修改桌面背景组策略
域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop
域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg
三、设置用户登陆后自动修改时间格式为yyyy-mm-dd
第一步:做修改时间格式为yyyy-mm-dd批处理
新建记事本文件data-扩展名改成bat
输入:
@echo off & title
reg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit
第二步:创建用户登陆时自动运行批处理组策略
域组策略-用户配置-策略-Windows设置
双击显示文件夹-将做好的data.bat文件放到该文件夹下
已经要放在这个组策略对应User\Scripts\Logon
再点击添加
点击浏览。