域控器的组策略应用设置大全
域控中组策略基本设置
域控中组策略基本设置
在Windows域控制器中,组策略是一种非常重要的工具,用于管理网络中的计算机和用户。
组策略允许系统管理员在网络上部署、管理和强制执行特定设置,以确保网络安全性和一致性。
下面将详细介绍域控制器中组策略的基本设置。
1.创建和链接组策略:
-打开“组策略管理”控制台,右键单击“域”节点,选择“创建一个或多个GPO,并将其链接到此处”
-输入策略名称,点击“确定”创建策略
-右键单击域或OU(组织单位),选择“链接已存在的GPO”
-选择需要链接的策略,点击“确定”
2.应用组策略:
-应用到特定的OU:选择需要应用策略的OU,右键单击,选择“应用组策略”
- 更新组策略:使用命令行工具gpupdate /force强制更新策略
3.用户配置:
4.计算机配置:
5.安全设置:
6.软件安装:
7.文件共享:
8.IE设置:
9.桌面配置:
10.AUDIT策略:
值得注意的是,组策略设置在域控制器上只对处于该域中的计算机和用户生效。
通过组策略,管理员可以集中管理网络中的资源和安全策略,并确保网络中的计算机和用户的行为符合组织的政策和要求。
完成以上设置后,管理员需定期检查组策略的运行情况,保证其有效性和及时性。
域策略方案
域策略方案简介域策略是指在一个Windows域环境下,管理员可以使用组策略对象(GPO)来控制和管理计算机和用户的配置和设置。
通过使用适当的域策略方案,管理员可以实施安全策略、限制用户权限以及管理整个域的行为。
本文档将介绍一个基本的域策略方案,包括如何创建和配置GPO,以及一些常见的安全设置和最佳实践。
步骤1. 创建组策略对象(GPO)首先,我们需要创建一个GPO来管理特定的配置和设置。
在域控制器上打开“组策略管理”控制台,然后右键单击“组策略对象”节点,选择“新建”。
2. 配置GPO设置一旦创建了GPO,我们就可以开始配置其中的设置。
对于一个基本的域策略方案,以下是一些常见的设置和建议:•密码策略:通过设置密码长度、复杂性要求和密码历史保留期等来强化密码安全性。
•账户锁定策略:通过设置账户锁定阈值和锁定时间来保护用户账户免受暴力破解。
•安全选项:启用Windows防火墙、禁用不安全的网络协议以及限制可访问的远程服务等。
•软件安装:通过GPO推送软件安装包,可以集中管理和部署软件应用。
•Internet Explorer设置:配置Internet Explorer的安全和隐私选项,以保护用户免受恶意网站和广告的侵害。
这些只是一些示例设置,您可以根据您的具体需求进行定制。
3. 将GPO链接到域或组织单位创建和配置GPO后,我们需要将其链接到适当的域或组织单位。
在“组策略管理”控制台中,右键单击目标域或组织单位,选择“链接现有GPO”。
选择刚刚创建的GPO,并将其链接到目标域或组织单位。
4. 强制更新组策略一旦GPO被链接到域或组织单位,我们需要强制客户端计算机应用新的策略设置。
我们可以通过在客户端计算机上打开命令提示符,并运行以下命令来实现:gpupdate /force这将强制客户端计算机立即应用新的策略设置。
安全设置和最佳实践以下是一些常见的安全设置和最佳实践,有助于确保域策略方案的高效和安全:1.定期审查和更新策略设置,以适应新的安全威胁和业务需求。
域控器的组策略应用设置大全
域控器的组策略应用设置大全1.密码策略设置:可以设置密码的复杂度要求,包括密码长度、大小写字母要求、数字和特殊字符要求等。
还可以设置密码过期时间和历史密码禁用策略。
2.账户策略设置:可以设置账户锁定策略,包括连续登录失败次数和锁定时间。
还可以设置强制用户注销策略,踢出空闲用户和会话时间限制等。
3.审计策略设置:可以设置哪些事件需要进行审计,以及生成审计日志的位置和大小。
还可以设置审计策略的保留时间和备份策略等。
4.软件安装策略:可以通过组策略实现软件的自动安装和卸载。
可以指定软件的安装位置、启动方式和升级方式,并设置软件的相关策略。
5.防火墙策略设置:可以设置域中计算机的防火墙策略,包括入站和出站规则的配置。
可以设置允许和禁止的端口号、应用程序等。
6.网络共享策略设置:可以设置共享文件夹和打印机的访问权限,包括读写权限和管理权限。
可以配置网络共享策略的安全性和密码保护方式等。
7.远程桌面策略设置:可以设置远程桌面连接的权限和限制。
可以设置远程桌面连接的安全性和加密方式,以及是否允许远程桌面的访问。
8. Internet Explorer 策略设置:可以限制用户对 Internet Explorer 的设置和功能的访问和修改。
可以设置主页、安全性、隐私和其他 Internet Explorer 相关的策略等。
10.端口安全策略设置:可以限制计算机上允许开放的端口和服务。
可以阻止非授权的端口访问和连接,增强网络的安全性。
总结起来,域控制器的组策略应用设置包含了密码策略、账户策略、审计策略、软件安装策略、防火墙策略、网络共享策略、远程桌面策略、Internet Explorer 策略、软件限制策略和端口安全策略等方面的配置和管理。
通过合理配置组策略,可以提高网络的安全性,统一管理和控制计算机的行为,提升网络的效率和管理能力。
域用户常用组策略设置
域用户常用组策略设置组策略是指在Windows操作系统中,通过集中管理策略和设置来控制域用户和计算机的行为。
以下是一些常用的组策略设置,适用于Windows Server上的域环境。
1.密码策略密码策略设置用于控制用户密码的复杂度和安全性。
可以设置密码的最短长度、密码的复杂性要求,如必须包含大写字母、小写字母、数字和特殊字符等。
还可以设置密码的最长有效期和密码历史记录的保留个数,以防止用户频繁更改密码。
2.账户锁定策略账户锁定策略设置用于控制在一定的失败尝试次数后锁定用户账户。
该策略可以防止恶意攻击者通过暴力破解密码的方式获取用户账户的权限。
可以设置失败尝试次数和锁定时间。
3.用户访问控制策略用户访问控制策略用于控制用户对不同资源的访问权限。
例如,可以设置用户只能访问特定的文件夹、只能访问特定的应用程序等。
可以根据组织的需求进行灵活的设置,以满足不同用户角色和职责的需要。
4.审计策略审计策略用于记录用户和计算机的操作日志。
可以设置哪些操作需要被审计,如登录、文件访问、对象的创建和删除等。
审计策略可以帮助管理员跟踪和分析系统的安全事件,及时发现和应对潜在的安全威胁。
5.软件安装策略软件安装策略用于集中管理和部署软件应用程序。
可以通过组策略将软件程序推送到目标计算机上,或者限制一些用户或计算机无法安装特定的软件。
这样可以确保组织中的计算机都拥有统一的软件环境,便于管理和维护。
6.桌面设置策略桌面设置策略用于控制用户的桌面环境和用户界面。
可以限制用户是否可以更改桌面背景、屏幕保护程序、系统主题等。
还可以限制用户是否可以访问控制面板、开始菜单等系统设置。
这样可以加强计算机的安全性,并减少用户误操作或恶意行为造成的影响。
7. Internet Explorer设置策略Internet Explorer设置策略用于控制Internet Explorer的行为和配置。
可以设置浏览器的安全级别、对特定网站启用或禁用特定功能,如ActiveX控件、Java脚本等。
域控制器管理组策略应用案档
和管理负担,需要管理员合理规划和部署相关方案。
域控制器和组策略综合应用实例展示
• 实例展示:在某企业中,管理员利用域控制器和组策略实现了对网络 中所有用户和计算机的统一管理和配置。通过对不同部门、不同职位 的用户设置不同的策略,实现了对用户权限的细粒度控制和配置。同 时,管理员还利用域控制器实现了对用户身份的集中认证和授权,提 高了网络的安全性和可靠性。通过这些综合应用实例的展示,我们可 以看到域控制器和组策略在Windows网络环境中的重要性和实用性 。
提高网络性能
组策略的集中管理和部署可以减少网络中的重复配置和数据传输,从而提高网络性能。
组策略应用范围
01
域控制器管理
组策略可以用于管理域控制器上的安全设置、用户权限和网络配置等
。
02
用户和计算机配置
组策略可以用于配置用户和计算机在域中的行为和权限,如登录脚本
、桌面配置、应用程序安装等。
03
网络资源保护
THANKS
感谢观看
组策略在企业IT架构管理中的应用
总结词
统一管理、标准化设置、降低运维成本
详细描述
通过组策略可以对企业IT架构中的各种资源进行统一管理和标准化设置,降低 运维成本。例如,对操作系统、应用程序、桌面设置等进行统一配置和管理 。
05
域控制器与组策略综合应用方案
域控制器和组策略的搭配使用
01
域控制器和组策略是Windows网络环境中非常重要的管理工具,它们可以有效 地对网络中的用户和计算机进行管理和配置。
02
在实际应用中,域控制器和组策略经常搭配使用,通过组策略来实现对网络中 用户和计算机的统一管理和配置,同时利用域控制器来实现对用户和计算机的 集中认证和授权。
AD域控组策略应用设置功能调研表
序号类别详细内容1.隐藏不必要的桌面图标2.禁止对桌面的改动3.启用或者金泳活动桌面4.给“开始”菜单减肥5.保护好“任务栏”和“开始”菜单的设置1.禁止访问“控制面板”2.隐藏或禁止“添加/删除程序”3.隐藏或禁止“显示”项1.登陆时不显示欢迎屏幕界面2.禁用注册表编辑器3.关闭系统自动播放功能4.关闭Windows自动更新5.删除任务管理器1.删除“文件夹选项”2.隐藏“管理”菜单项1.限制IE浏览器的保存功能2.简化工具栏3.给IE工具栏添加快捷方式4.管理IE插件5.保护个人隐私6.禁止修改IE浏览器主页7.禁用导入和导出收藏夹1.密码策略2.用户权利指派3.文件和文件夹设置审核
4.禁止访问命令提示符
56桌面项目设置控制面板系统项目设置资源管理器IE浏览器设置
系统安全/共享/权限设置AD域控组策略应用功能表
1234
5.禁止访问注册表
1.批量创建和编辑用户帐户
2.指派管理权限
7用户管理
3.批量创建域用户
4.批量编辑域用户属性
5.用户密码策略管理。
域控制器管理组策略应用案档
域控制器管理--组策略应用案例今天针对域控制器组策略应用做一下讲解,以一个案例的形式为大家做一下介绍,这样让大家更容易理解在域控制器中的重要性,和给我们带来的方便;BENET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理,要求企业管理员按如下要求完成设置1、所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景;2、所有域用户不能运行管理员已经限制的程序,比如计算器,画图等;3、配置域用户所有IE的默认设定为本企业网站,保证员工打开IE可以直接访问到公司网站;且用户不能自行更改主页4、禁止域用户使用运行,管理员除外;防止打开注册表等修改系统配置;只有管理员处于管理方便目的,可以使用运行;5、保证域用户有关机权限,保证员工下班可以自行关机,节省公司资源;6、关闭2003的事件跟踪,公司使用其他手段监控用户计算机;7、隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩溃;8、控制面板中隐藏”添加删除windows组件”,防止用户随意添加windows组件,造成系统问题;9、取消自动播放,以防止插入U盘有病毒,自动运行病毒10、除管理员外的任何域帐号都不可以更改计算机的IP地址设置,防止由于IP地址冲突造成网络混乱;实验目的1、所有域用户不能随便修改背景2、所有域用户只能运行规定的程序3、所有域用户帐号打开IE默认主页为4、所有域用户帐号无法使用运行,管理员可以使用运行5、域用户帐号可以关机6、域用户帐号关机时没有事件跟踪提示7、域用户帐号看不到C盘8 域用户帐号在控制面板中看不到”添加删除windows组件”9 取消自动播放10 管理员可以使用本地连接-属性,任何域用户帐号不可使用.实验准备1、一人一组2、准备两台Windows Server 2003虚拟机一台DC,一台成员主机实验步骤1、所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景;设置所有帐号统一背景,先创建共享,把共享图片放入,授权设置用户策略保证用户不可以更改更改桌面,对域名修改组策略刷新策略验证效果,用帐号benet,所有帐号登录,可以看到同样桌面,且无法更改;2、所有域用户不能运行管理员已经限制的程序,比如计算器,画图等;3、配置域用户所有IE的默认设定为本企业网站,保证员工打开IE可以直接访问到公司网站;且用户不能自行更改主页更改策略用户不能更改主页在客户端注销以帐号benet登录验证结果4、禁止域用户使用运行,管理员除外;防止打开注册表等修改系统配置;只有管理员处于管理方便目的,可以使用运行;选定域名,设置策略设置域管理员除外在客户端注销,用benet登录验证结果,不能使用运行在客户端注销,用administrator登录验证结果,可以使用运行5、保证域用户有关机权限,保证员工下班可以自行关机,节省公司资源;选定域名,设置策略添加domain users刷新策略重新启动客户端计算机,用benet登录验证,可以关机系统6、关闭2003的事件跟踪,公司使用其他手段监控用户计算机;更新策略重新启动客户端计算机,用benet在客户端登录,验证关机时没有事件跟踪提示7、隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩溃;设置策略gpupdate更新策略用benet在客户端登录,验证发现C盘不可见8、控制面板中隐藏”添加删除windows组件”,防止用户随意添加windows组件,造成系统问题;设置策略用benet登录客户端,无法发现添加删除windows组件9、取消自动播放,以防止插入U盘有病毒,自动运行病毒更新策略重新启动客户计算机,用benet登录,插入windows 2003光盘查看结果,无法自动播放了10、管理员外的任何域帐号都不可以更改计算机的IP地址设置,防止由于IP地址冲突造成网络混乱;更新策略用benet在客户端登录,查看结果,发现本地连接网卡属性不可选。
域组策略域控中组策略基本设置
域组策略域控中组策略基本设置
组策略是域控中的一项重要功能,它允许管理员集中管理域中的计算机和用户。
组策略可以通过设置一系列规则和限制来控制域中的计算机和用户的行为和配置。
在组策略基本设置中,管理员可以执行以下操作:
2.链接组策略到组织单位或域对象:管理员可以将组策略链接到特定的组织单位或域对象上。
链接组策略到组织单位将使该策略应用于组织单位下的所有计算机和用户。
链接组策略到域对象将使该策略应用于整个域中的所有计算机和用户。
3.启用和禁用组策略:管理员可以启用或禁用组策略,以控制该策略是否应用于目标计算机和用户。
禁用组策略将导致不应用该策略中定义的所有设置和规则。
4.强制组策略:管理员可以通过强制组策略来立即应用组策略中的设置和规则。
强制组策略可以用于快速应用新的或更改的设置,而无需等待组策略刷新。
5.优先级设置:管理员可以为链接到同一组织单位或域对象的多个组策略设置优先级。
优先级较高的组策略将覆盖优先级较低的组策略中的相同设置和规则。
7.备份和恢复组策略:管理员可以备份组策略的配置,并在需要时进行恢复。
这样可以确保即使发生意外情况,管理员也能轻松地恢复组策略的设置。
8.详细日志和审计:系统还提供了详细的日志和审计功能,记录组策略的所有修改和应用。
管理员可以使用这些日志来跟踪和审计组策略的变更历史。
设置域控制安全策略完整版
设置域控制安全策略 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
背景
某些员工设置密码长度很短,而且不符合复杂性要求
密码很久也不修改
有时会发生非法用户试探员工密码
目标
1、密码策略设置
2、账户锁定策略设置
3、密码策略的验证
4、账户锁定策略验证
5、如何给账户解锁
第一步:找到域控制器安全策略点击进入
第二步:找到帐户安全策略点击进入
第三步:选择密码策略点已启用
第四步:选择密码最小长度值选项并输入你要设定的长度值!第五步:选择帐户锁定策略
第七步:设置复位锁定帐户时间!
第九步:登陆用户故意输错密码相对应的次数后就会发现
并会弹出一个你的帐户已被锁定的界面
这时再进入服务器的超户—域控—USERS下—打开你刚刚登陆的用户的帐户选项卡就会出现一个帐户被锁定的选项把勾去掉用
户即被解锁!
实验完成!经过这样的设置后服务器上创建用户都会根据你设置的要求来了,而当你在设定的错误登陆次数内还没能正确输入密码后你的用户就会被锁定!如果想要解锁就只有让管理员来进超户进入域用户帐户里进行解锁了。
域控制器管理组策略应用案档
域控制器管理组策略应用案档域控制器管理组策略是指通过组策略对象(Group Policy Object,GPO)来管理和配置域中的计算机和用户的一种方法。
域控制器是一个重要的网络资源,它负责认证用户、授权访问和维护整个域的安全性。
对于大型组织而言,域控制器管理组策略的应用对于保持整个域的一致性和安全性非常重要。
首先,域控制器管理组策略可以帮助管理员集中管理域中的计算机和用户。
通过组策略,管理员可以配置域中的计算机和用户的许多设置,如密码策略、网络连接、软件安装、桌面设置等。
管理员只需在域控制器上配置这些设置一次,之后就可以自动应用到域中的所有计算机和用户上,极大地简化了管理的工作量。
其次,域控制器管理组策略可以保障整个域的一致性。
由于所有的域成员都从域控制器获取组策略,因此所有成员的计算机和用户的配置都是一样的。
这样可以保障域中的计算机和用户的安全性和一致性。
当需要进行更改时,管理员只需在域控制器上进行修改,不需要逐个修改每个计算机和用户的配置,避免了错误和遗漏。
另外,域控制器管理组策略还可以提高域的安全性。
通过组策略,管理员可以配置域中的计算机和用户的安全设置,如强制密码复杂性、禁用Guest账户、限制访问等。
这些安全设置可以有效地保护域中的计算机和用户免受各种安全威胁。
而且,由于组策略是集中管理的,管理员可以随时修改安全策略,并立即应用到整个域中,及时响应安全威胁和变化。
最后,域控制器管理组策略还可以提高用户体验。
通过组策略,管理员可以配置域中的计算机和用户的桌面设置、网络连接、应用程序等,使其更加适应用户的需求和习惯。
这可以提高用户的工作效率和满意度。
总之,域控制器管理组策略的应用对于大型组织而言是非常重要的。
它可以帮助管理员集中管理域中的计算机和用户,保障整个域的一致性和安全性,提高域的安全性和用户体验。
通过合理使用域控制器管理组策略,管理员可以更加有效地管理和保护域中的计算机和用户。
samba 域控 配置组策略
Samba 域控配置组策略1. 简介Samba是一个开源的实现了SMB/CIFS协议的软件套件,可以在Linux和其他类Unix系统上实现与Windows共享文件和打印机的功能。
通过配置Samba域控制器(Domain Controller),我们可以将Linux服务器作为Windows域中的主要身份验证服务器,并使用组策略(Group Policy)来管理Windows客户端。
本文将详细介绍如何在Samba域控下配置组策略。
2. 安装和配置 Samba 域控首先,我们需要安装Samba软件包,并进行基本的配置。
2.1 安装 Samba 软件包在Linux服务器上,执行以下命令安装Samba软件包:$ sudo apt-get install samba2.2 配置 Samba编辑Samba配置文件/etc/smb.conf,将其配置为域控模式。
以下是一个示例配置:[global]workgroup = MYDOMAINrealm = netbios name = MYDCserver role = active directory domain controllerdns forwarder = 8.8.8.8idmap_ldb:use rfc2307 = yesvfs objects = acl_xattrmap acl inherit = yes请根据实际情况修改workgroup、realm、netbios name和dns forwarder参数。
保存并关闭文件。
2.3 创建域用户执行以下命令创建域用户:$ sudo smbpasswd -a username请将username替换为要创建的域用户的用户名,并输入密码。
2.4 启动 Samba 服务启动Samba服务,使其生效:$ sudo systemctl start smbd nmbd3. 配置组策略现在,我们将配置组策略以管理Windows客户端。
常用AD组策略设置
常用AD组策略设置常用AD组策略设置利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。
根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。
相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。
下面是实际操作演示:AD域控制器:Windows Server 2003/2008以域管理员权限运行“Active Directory 用户和计算机”1. 设置屏保程序打开“”域下组织单位“北京”的属性(如下图):可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的C:\Windows\SYSVOL\sysvol\\Policies\{5F158A 23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup该setscr.bat脚本的内容是:copy bssec.scr c:\windows\system32即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。
作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。
打开“”域的属性(如下图):可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“用户配置”-“管理模板”-“控制面板”-“显示”,启用右侧的“屏幕保护程序”,启用“可执行的屏幕保护程序的名称”,填入屏幕保护文件名:bssec.scr,(如下图):同时启用右侧的“密码保护屏幕保护程序”,设置屏保超时(如下图):屏保设置完毕。
域组策略域控中组策略基本设置
域控中组策略基本设置计算机配置:要重启生效用户配置:注销生效策略配置后要刷新:gpupdate /force组策略编辑工具工具使用:运行---> 如下键面:文件夹重定向:1.在域控建立一共享文件夹,权限放到最大完全控制,无安全隐患2.域账户用户登录任一台机器都能看到我的文档里的自己的东西禁止用户安装软件:1.给域用户基本权限Domain user,但有时基本应用软件也不能运行2.把域用户加入到本地power user 组可以运行软件域用户添加Power user组3.用本地用户登录机器查看禁止卸载:1.权限domain user + 管理模板相当于改动注册表2.再把控制面板里的“添加删除程序”禁用禁止使用USB:1.工具程序模板,拷到C:\WINDOWS\inf\2.3.4.5.6.7.客户端机器重启生效禁止绿色软件安装,如:迅雷,等--------建立哈希规则:建立了哈希规则后不论此软件放在机器的任何路径,都将被禁止GPO软件分发:1.工具:Advanced Installer 制作MSI格式文件2.在DC上建立一共享文件夹;把.MSI格式文件放入,附Authenticated 可读,Admini 完全控制3.编辑组策略-用户配置-软件安装-右击\\DC的IP\共享名4.软件安装右击程序包-.MSI 已发布\已指派停止域客户端的防火墙:右击,域计算机-Windows-设置安全设置-系统服务windows firewall漫游:1.账号在客户机上登录2.在server上建议账号空间在客户机上登上设主文件。
域组策略的实施
客户机端:注销当前用户并重新登录
我的文档图标被隐藏(域组策略在客户机生效)
域控制器端:注销当前用户并重新登录
我的文档图标被隐藏(域组策略在域控制器上同样生效)
3、在OU上设置“OU组策略”
域---右键----新建----组织单位OU
在OU内建立三个用户:a、b、c
OU----右键----属性----组策略----新建---OU test ----编辑
域组策略的实施
1、在域上设置“域组策略”
域控制器:活动目录用户和计算机----域--属性----组策略----新建----编辑----
组策略----用户配置----管理模板----桌面----隐 藏我的文档图标---属性----启用
完成后,逐层关闭到活动目录界面
2、“域组策略”的生效
我的文档图标消失(域组策略强制实施),网上 邻居图标消失(OU组策略生效)
7、组过滤问题:
组策略实施权限的管理
在OU内建用户组 ab ,添加 a、b 为其成员
OU---属性---组策略---OU test ---属性---安全--添加 ab 组---其权限默认(只读,未采用组策略)
以ab 组中任意用户 a 登录到客户机
网上邻居出现(OU组策略被过滤,与预期相同)
以非ab 组中用户 c 登录到客户机(预期: 不受阻过滤影响,网上邻居消失)
与预期相反
原因:安全对象中未包括 c 用户,该用户不受该 组策略影响(被排除在外)
加入 c 用户,并设置其权限为:只读,采用组策略
以用户 c再次登录到客户机
网上邻居消失,与预期相同
隐藏网上邻居图标-----启用
逐层关闭到活动目录界面
4、“OU组策a 登录到客户机
(完整word)域控常用策略
AD常用策略1 修改本地管理员administraotr,让公司所有都使用都须使用域用户登入,可以使用以下脚本,保存为VBS,新建一策略,计算机配置-windows设置-脚本—启动/关机添加脚本本strComputer=”。
”strComputer = ”.”Set objUser = GetObject(”WinNT://" & strComputer & "/Administrator,user”)objUser。
SetPassword ""objUser。
SetInfoSet objDomain = GetObject("WinNT://" & strComputer)objDomain.Filter = Array(”User”)For Each objUser in objDomainstrUser = If strUser 〈> "Administrator" ThenSet objUser = GetObject(”WinNT://” & strComp uter & "/guest")objUser.AccountDisabled = TrueobjUser。
SetInfoEnd IfNext========================================================================桌面重定向桌面资料及我的文档重定档到D盘,保障万一电脑系统崩溃,资料不会丢失,另一个也为维护方便,新建策略用户配置-windows设置—脚本-注销,添加下面的脚本的重定向了桌面收藏夹我的文档Const HKEY_CLASSES_ROOT = &H80000000Const HKEY_CURRENT_USER = &H80000001Const HKEY_LOCAL_MACHINE = &H80000002Const HKEY_USERS = &H80000003Const HKEY_CURRENT_CONFIG = &H80000005strComputer = ”.”Set StdOut = WScript。
域控器的组策略应用设置大全
域控器的组策略应用设置大全组策略应用设置大全一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。
此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。
例如要删除“我的文档”,只需在“删除桌面上的…我的文档?图标”一项中设置即可。
若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上…网上邻居?图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的…我的文档?图标”和“删除桌面上的…我的电脑?图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
使用组策略配置域中任务计划
使用组策略配置域中客户机的任务计划配置目标:使用AD的组策略,配置域中的客户机任务计划,使得域中的客户机自动执行脚本,实现客户机的自动配置和自动运行程序。
模拟配置环境:如图所示:在AD Server上创建任务计划要执行的脚本,设置组策略,使得域中所有的客户能按照设置的时间自动执行脚本。
为了能测试脚本是否正确完成,本次测试脚本功能为每执行一次,在文件中自动写入执行的时间。
脚本如下:脚本执行后将在C:\Scripts.log中记录当前脚本的执行时间:当在C:\Scrpts.log里查看到相关信息时,说明脚本正常运行。
配置方式:1.在域控制器上打开服务器管理器,浏览到【功能】--》【组策略管理】--》【Default DomainPolicy】,选择【更多】--》【编辑】2.打开Default Domain Policy 策略,浏览到【用户配置】--》【首选项】--》【控制面板设置】--》【任务计划】,在任务计划窗口处右键单击,选择【新建】--》【任务计划】。
3.打开了【新建任务属性】,由于需要域中的客户机执行此脚本,需要将脚本放置在网络路径上。
此路径必须能被客户机访问。
将新建任务属性暂且放置,将需要运行的脚本放置到固定路径,为此处【运行】中要输入的路径做准备。
4.将可执行脚本复制到AD网络共享的SysVol目录中。
5.回到组策略的新建任务属性中,输入脚本的共享网络路径和相关信息:运行的脚本路径是:\\域名称\sysvol\域名称\scripts\可执行脚本的全称。
此处为\\\sysvol\\scripts\Testscript.bat6.设置定时执行的时间7.配置完成8.从域中的客户机上使用域用户重新登录,打开任务计划程序,会看到策略分配的任务计划,并且已经开始执行。
验证:在客户机上查看运行结果通过查看脚本生成的文件信息,验证组策略配置的任务计划在客户机上正常运行了。
总结:可以将脚本更改为管理员希望完成的功能,即可实现通过在AD的组策略上配置任务计划,在域中客户机上统一配置和定时执行的功能。
win server 2012域控组策略 -回复
win server 2012域控组策略-回复Win Server 2012域控组策略引言:Win Server 2012是一款功能强大的操作系统,它提供了许多管理工具和功能,来满足企业网络环境的需求。
在这些工具和功能中,域控组策略是其中一个非常重要的组件。
域控组策略可以帮助管理员集中管理域中的计算机和用户,通过定义和强制实施一组规则和设置,以确保网络安全和一致性。
本文将详细介绍Win Server 2012域控组策略的配置和应用。
第一步:创建域控组策略对象(GPO)1. 打开“组策略管理”工具,可以通过“开始”菜单中的“管理工具”或从“服务器管理器”中访问它。
2. 展开“域名”节点并选择根域,然后右键单击“组策略对象”文件夹,选择“新建”。
3. 在弹出的对话框中输入策略的名称,并点击“确定”按钮。
第二步:编辑GPO1. 在“组策略管理”工具中,展开“域名”节点并选择“组策略对象”文件夹。
2. 右键单击之前创建的GPO,并选择“编辑”,将打开“组策略管理编辑器”。
3. 在编辑器中,你将看到各种可配置的组策略设置,如计算机配置、用户配置、Windows设置等。
你可以根据需求选择适当的设置进行配置。
第三步:配置计算机和用户设置1. 计算机配置:- 可通过“计算机配置”>“策略”>“Windows设置”来配置Windows设置,如账户控制、防火墙设置等。
- 可通过“计算机配置”>“策略”>“软件设置”来配置软件安装。
- 可通过“计算机配置”>“策略”>“Windows设置”>“脚本(启动/关闭)”来配置启动或关闭计算机时运行的脚本。
2. 用户配置:- 可通过“用户配置”>“策略”>“Windows设置”来配置用户主目录、文件夹重定向等。
- 可通过“用户配置”>“策略”>“软件设置”来配置用户特定的软件安装。
- 可通过“用户配置”>“策略”>“Windows设置”>“脚本(登录/注销)”来配置用户登录或注销时运行的脚本。
域控制器管理--组策略应用案档
域控制器管理--组策略应用案档组策略(Group Policy)是一种在Windows域网络中用于集中管理计算机配置、用户设置和安全策略的功能。
通过组策略,系统管理员可以从域控制器上管理所有计算机和用户的设置,实现统一管理和控制。
下面是一个使用组策略的应用案例。
假设公司拥有多个部门,每个部门都有一批计算机和用户。
为了满足公司的信息安全需求,系统管理员需要在所有部门的计算机上禁用USB存储设备。
为了实现这一目标,管理员可以通过组策略来管理。
首先,管理员需要在域控制器上创建一个新的组织单位(OU),用来存放要管理的部门的计算机和用户。
然后,在该OU上创建一个新的组策略对象(GPO),命名为“禁用USB存储设备”。
在“可移动存储访问”设置窗口中,管理员可以将“所有可移动存储访问设备”选项设置为“禁止”。
这样就可以禁用所有USB存储设备,包括U盘、移动硬盘等。
完成配置后,管理员需要将这个GPO链接到要管理的部门的OU上。
在组策略管理器中,选中目标OU,然后右键点击,选择“链接现有的GPO”。
在弹出的窗口中,选择刚刚创建的“禁用USB存储设备”G PO,并点击“确定”。
此时,这个GPO已经成功地链接到了目标OU上。
接下来,管理员需要确保这个GPO生效。
可以使用组策略管理器中的“组策略结果”功能来检查GPO的生效情况。
管理员可以选择要查询的目标计算机和用户,然后点击“显示”进行查询。
如果一切正常,禁用USB存储设备的策略会生效,所有属于目标OU 的计算机上的USB存储设备将被禁用。
除了禁用USB存储设备,组策略还可以实现很多其他的管理功能。
比如,可以通过组策略来设置密码策略、配置网络连接、管理桌面Wallpaper、限制程序运行等。
总而言之,组策略是在域控制器管理中非常重要的一项功能。
通过组策略,系统管理员可以集中管理和控制所有计算机和用户的配置和设置。
通过以上案例,我们可以看到组策略在信息安全方面的应用,为公司提供了统一的管理和安全保障。
AD域用户常用组策略设置
AD域用户常用组策略设置在Active Directory(AD)域环境中,组策略是用于管理和配置用户和计算机的集中策略工具。
组策略允许管理员通过在域中创建和应用组策略对象(GPOs)来定义用户和计算机的设置。
以下是AD域用户常用的组策略设置:1.密码策略:通过密码策略,管理员可以设置密码的复杂性要求、密码过期时间以及密码历史保留的数量。
这有助于增加密码的安全性。
2.帐户锁定策略:通过帐户锁定策略,管理员可以配置登录失败尝试的次数和锁定持续时间。
这有助于防止恶意用户通过暴力破解密码来获取访问权限。
3.账户密码策略:管理员可以配置密码重置和更改密码的要求。
这包括要求用户更改密码的频率、提供密码重置选项和密码复杂性要求。
4. 安全选项:管理员可以配置安全选项,包括启用或禁用自动管理员登录、禁用Guest帐户、强制使用加密方式进行网络通信等。
5.审核策略:通过审核策略,管理员可以配置要审计的事件类型以及要记录的日志信息。
这有助于保护系统免受安全威胁并进行安全审计。
6.应用程序控制:管理员可以配置允许或拒绝运行的应用程序列表,以帮助防止使用未经授权的应用程序。
7.注册表设置:管理员可以配置注册表设置,以控制计算机上注册表项的访问权限和配置。
8.文件和文件夹权限:管理员可以使用组策略设置来定义共享文件和文件夹的权限,确保只有经过授权的用户可以访问和修改文件。
9.桌面设置:管理员可以通过组策略设置来配置桌面背景、屏幕保护程序、任务栏、桌面图标等,以统一组织内工作站的外观和体验。
10.网络设置:管理员可以使用组策略设置来配置网络接口卡、防火墙、代理服务器等网络设置,以保护网络安全并优化网络性能。
11.程序安装和升级:管理员可以使用组策略设置来自动安装和升级特定的应用程序,以减轻用户手动操作的负担。
12.远程桌面设置:管理员可以配置远程桌面访问权限,限制哪些用户可以远程访问计算机。
13. Internet Explorer设置:管理员可以使用组策略设置来配置Internet Explorer的安全性、高级选项和首选项,以确保一致的浏览器体验。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
域控器的组策略应用设置大全组策略应用设置大全一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1、删除“文件夹选项” 2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE 浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE 插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。
此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。
例如要删除“我的文档”,只需在“删除桌面上的?我的文档?图标”一项中设置即可。
若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上?网上邻居?图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的?我的文档?图标”和“删除桌面上的?我的电脑?图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
2、禁止对桌面的改动利用组策略可达到禁止别人改动桌面某些设置的目的。
“禁止用户更改?我的文档?路径”项可防止用户更改“我的文档”文件夹的路径。
“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。
双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。
最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。
3、启用或禁止活动桌面利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。
“启用活动桌面”项可启用活动桌面并防止用户禁用它。
“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。
而启用“不允许更改”项便可防止用户更改活动桌面配置。
4、给“开始”菜单减肥Windows XP的“开始”菜单的菜单项很多,可通过组策略将不需要的删除掉。
提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收藏夹”菜单、“搜索”菜单、”帮助”命令、“运行”菜单、“图片收藏”图标、“我的音乐”图标和“网上邻居”图标等策略。
只要将不需要的菜单项所对应的策略启用即可。
以删除开始菜单中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击“从?开始?菜单上删除?我的文档?图标”项,在弹出对话框的“设置”标签中点选“已启用”,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏。
5、保护好“任务栏”和“开始”菜单的设置倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止更改?任务栏和「开始」菜单?设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。
这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。
二、隐藏或禁止控制面板项目这里讲到的控制面板项目设置是指配置控制面板程序的各项设置,主要用于隐藏或禁止控制面板项目。
在组策略左边窗口依次展开“用户配置”→“管理模板”→“控制面板”项,便可看到“控制面板”节点下面的所有设置和子节点。
1. 禁止访问“控制面板” 如果您不希望其他用户访问计算机的“控制面板”,您只要运行组策略编辑器,在左侧窗格中逐极展开“?本地计算机?策略”→“用户配置”→“管理模板”→ “控制面板”分支,然后将右侧窗格的“禁止访问控制面板”策略启用即可。
此项设置可以防止“控制面板”程序文件的启动。
其结果是,他人将无法启动“控制面板”。
另外,这个设置将从“开始”菜单中删除“控制面板”。
同时这个设置还从Windows 资源管理器中删除“控制面板”文件夹。
3、隐藏或禁止“添加/删除程序”项展开“添加/删除程序”项:双击启用“删除?添加/删除程序?程序”设置项后,控制面板中的“添加/删除程序”项将被删除。
此外在“添加或删除程序”对话框中共有3个页面:“更改或删除程序”、“添加新程序”以及“添加/删除Windows组件”;而当你进入“添加新程序”页面时,会发现有3个选项:“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”以及“从网络中添加程序”,如果你想这些具体页面或选项隐藏,可直接在组策略“添加/删除程序”项中将相应隐藏功能启用。
3、隐藏或禁止“显示”项展开“显示”项,发现这一项和上一项一样,可隐藏“显示属性”对话框中的选项卡。
这里就不细讲了,例如双击启用“隐藏?桌面?选项卡”后,“显示窗口”中将不再出现“桌面”项。
此外,在这里用户还可启用“删除控制面板中的?显示?”,这样在控制面板中双击打开“显示”项时,就会弹出一个对话框提示你:系统管理员禁止使用“显示”控制面板。
4、其他自定义控制面板程序:“隐藏指定的控制面板程序”或“只显示指定的控制面板程序”,根据提示提示操作,隐藏或显示控制面板项目.依次展开“显示”→“桌面主题”项,双击启用“删除主题选项”、“阻止选择窗口和按钮式样”、“禁止选择字体大小”项后,可阻止他人更改主题、窗口和按钮式样、字体。
展开“打印机”项,双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户添加或删除打印机。
最后,直接在“控制面板”一项下启用“禁止访问控制面板”,控制面板将无法启动。
三、系统项目设置这一项在“用户配置”→“管理模板”→“系统”中设置。
组策略中对系统的设置涉及到登录、电源管理、组策略、脚本等很多项目,下面把和我们联系紧密的部分清理出来分类列举如下:1、登录时不显示欢迎屏幕界面Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕,虽然漂亮但也麻烦且延长登录时间,通过组策略便可将其除去。
双击启用“系统”节点下的“登录时不显示欢迎屏幕”,则每次用户登录时欢迎屏幕将隐藏。
2、禁用注册表编辑器为防止他人修改注册表,可在组策略中禁止访问注册表编辑器。
双击启用“系统”节点下的“阻止访问注册表编辑器”项后,用户试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停用。
另外,如果你的注册表编辑器被锁死,也可双击此设置,在弹出对话框的“设置”标签中点选“未被配置”项,这样你的注册表便解锁了。
如果要防止用户使用其他注册表编辑工具打开注册表,请双击启用“只运行许可的Windows应用程序”。
3、关闭系统自动播放功能一旦你将光盘插入光驱中,Windows XP就会开始读取光驱,并启动相关的应用程序。
这样虽然给我们的工作带来了便利,在某些时候也带来了不少麻烦。
在“系统”节点下有一项为“关闭自动播放”设置项,双击其并在弹出对话框的“设置”标签中点选“已启用”,在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”项即可。
注意:此设置不阻止自动播放音乐CD。
4、关闭Windows 自动更新每当用户连接到Internet,Windows XP就会搜索用户计算机上的可用更新,根据配置的具体情况,在下载的组件准备好安装时或在下载之前,给用户以提示。
如果你不喜欢比尔老大这种自作主张的态度,可通过组策略关闭这一功能。
只须双击“系统”节点下的“Windows自动更新”设置项,在弹出来的对话框中点选“已禁用”并确定即可。
5、删除任务管理器若Windows XP 用户已取消“使用欢迎屏幕”项,若同时按下“Ctrl+Alt+Del”键,便会弹出一个“Windows安全”对话框,此对话框中有“锁定计算机”、“注销”、“关机”、“更改密码”、“任务管理器”、“取消”6个功能按钮。
大家都知道这里的每个按钮对系统都起着关键的作用。
为了阻止别人操作,可通过组策略屏蔽这些按钮。
找到“系统”下的“Ctrl+Alt+Del选项”,双击启用“删除任务管理器”、“删除?锁定计算机?”、“删除改变密码”、“删除注销”项便能屏蔽掉“Windows安全”对话框的“任务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮。
注意:“注销”、“关机”两个菜单项的屏蔽,在“用户配置”→“管理模板”→“任务栏和?开始?菜单”节点下。
四、隐藏或删除Windows XP 资源管理器中的项目一直以来,资源管理器就是Windows系统中最重要的工具,如何高效、安全地管理资源也一直是电脑用户的不懈追求。
依次展开“用户配置”→“管理模板”→“Windows 组件”→“Windows资源管理器”项,可以看到“Windows资源管理器”节点下的所有设置。
下面就来看看怎样通过组策略实现资源管理器个性化1、删除“文件夹选项” “文件夹选项”是资源管理器中一个重要的菜单项,通过它可修改文件的查看方式,编辑文件类型的打开方式。
我们自己对其设定好后,为了防止他人随意更改,可将此菜单项删除,你只须双击启用“从?工具?菜单删除?文件夹选项?菜单”便能完成这一设置。
2、隐藏“管理”菜单项在资源管理器中右键单击“我的电脑”出现的快捷菜单中有一个“管理”菜单项,通过此菜单项,可以打开一个包含“事件查看器”、“本地用户和组”、“设备管理器”、“磁盘管理”等众多工具的“计算机管理”窗口。
为了保障你的计算机免受他人无意破坏,可通过双击启用“隐藏Windows资源管理器上下文菜单上的?管理?项目”项来屏蔽此菜单项。
3、其他项目的隐藏此外通过启用“隐藏?我的电脑?中的这些指定的驱动器”可隐藏你指定的驱动器。
还可通过启用“?网上邻居?中不含?整个网络?”屏蔽掉“整个网络”项。
双击启用“删除CD烧录功能”删除Windows XP 自带的光盘刻录功能。