引入:认识组策略
1.在DC1和客户机上,在运行对话框里分别输入以下两条命令
(1) gpmc.msc (2)gpedit.msc
比较两次打开的窗口,有什么不同。
2.在ADDS中可以针对站点、域、组织单位来设置组策略。本地计算机策略只会影响到本地计算机及在本地计算机上登录的所有用户。
操作:将域内所有普通用户的密码设置为空密码
(1)检查是否能将普通用户的密码设置为空(默认情况下不允许设置为空密码)
(2)修改默认的域策略
(3)刷新被修改的策略
(4)再次尝试将用户密码设置为空
上述密码策略被修改后,域内所有的用户都受到此策略的影响,都可以将密码设置为空,包括管理员。
下面再通过一个实验了解组策略的配置思路和过程------以开始菜单为例:
域内的用户在客户机上登录后,默认可以从开始菜单访问到关机和重启的命令。如下所示:
域管理员可以针对某个OU设置策略,使得上述界面可以对部分用户屏蔽。例如,网络班的用户登录后,无法从开始菜单打开“关闭”或“重启计算机”这样的指令。
0.组织单位及用户如图所示。
1.域管理员身份登录DC,打开组策略管理控制台。
2.在班级OU处新建GPO并链接。
3.编辑策略。依次修改“用户配置---策略—管理模板—开始菜单和任务栏”,修改如下策略。
4.上述策略编辑完成后,在客户机win7上,分别使用不在该OU内的某个账户,以及在该OU内的某个账户登录。
(1)使用在该OU内的(两个以上)的账户登录win 7,测试结果。
(可以注销OU内的用户重新登录,也可以直接在客户机上刷新策略,该策略是即时生效的,只需要刷新即可看到效果)
继续使用该账户,检测是否能通过命令关闭计算机win 7。
(2)使用不在该OU内的某个账户登录win 7
由上述操作可以看出:
1.可以针对整个域设置组策略,也可以针对域中的组织单位设置策略;
2.如果设置OU的策略,仅仅是包含在该OU内的用户和计算机受到策略限制。