Windows Server 2012活动目录基础配置与应用(新手教程)之9---了解组策略

引入:认识组策略

1.在DC1和客户机上,在运行对话框里分别输入以下两条命令

(1) gpmc.msc       (2)gpedit.msc

比较两次打开的窗口,有什么不同。

2.在ADDS中可以针对站点、域、组织单位来设置组策略。本地计算机策略只会影响到本地计算机及在本地计算机上登录的所有用户。

操作:将域内所有普通用户的密码设置为空密码

(1)检查是否能将普通用户的密码设置为空(默认情况下不允许设置为空密码)

(2)修改默认的域策略

(3)刷新被修改的策略

(4)再次尝试将用户密码设置为空

上述密码策略被修改后,域内所有的用户都受到此策略的影响,都可以将密码设置为空,包括管理员。

下面再通过一个实验了解组策略的配置思路和过程------以开始菜单为例:

域内的用户在客户机上登录后,默认可以从开始菜单访问到关机和重启的命令。如下所示:

域管理员可以针对某个OU设置策略,使得上述界面可以对部分用户屏蔽。例如,网络班的用户登录后,无法从开始菜单打开“关闭”或“重启计算机”这样的指令。

0.组织单位及用户如图所示。

1.域管理员身份登录DC,打开组策略管理控制台

2.在班级OU处新建GPO并链接

3.编辑策略。依次修改“用户配置---策略—管理模板—开始菜单和任务栏”,修改如下策略。

4.上述策略编辑完成后,在客户机win7上,分别使用不在该OU内的某个账户,以及在该OU内的某个账户登录

1)使用在该OU内的(两个以上)的账户登录win 7,测试结果。

(可以注销OU内的用户重新登录,也可以直接在客户机上刷新策略,该策略是即时生效的,只需要刷新即可看到效果)

继续使用该账户,检测是否能通过命令关闭计算机win 7。

 

2)使用不在该OU内的某个账户登录win 7

由上述操作可以看出:

1.可以针对整个域设置组策略,也可以针对域中的组织单位设置策略;

2.如果设置OU的策略,仅仅是包含在该OU内的用户和计算机受到策略限制。

时间: 2024-10-23 14:56:55

Windows Server 2012活动目录基础配置与应用(新手教程)之9---了解组策略的相关文章

Windows Server 2012活动目录基础配置与应用(新手教程)之8---创建第二台DC

案例引入:为什么需要多台DC? 1.选择一个域账户在客户机win 7上登录,并记住该用户名: 2.在DC上修改该用户的密码: 3.在DC上新建一个测试用户: 4.关闭DC: 5.注销第一步登录的账户,改成使用新建的用户账户登录,检查是否能登录.(欢迎界面显示的时间长,且出现如下画面) 6.重新使用原先在win 7上登录过的用户账户(即第一步使用的账户)登录,分别采用新密码.旧密码,检查登录界面如下: (使用新密码) (使用旧密码) 由上述6步,可知如下结论: (1)域用户登录,需要经过DC的"同

Windows Server 2012活动目录基础配置与应用(新手教程)之10---基于组策略的软件部署

通过组策略,可以将软件部署给域内的计算机,也就是用户登录或计算机启动时,可以自动安装或很容易安装所部署的软件. 软件部署分为两种方式:分配(Assign,又译作指派)和发布(Publish).一般情况下,被部署的软件应为Windows Installer Package,即具有*.msi格式的安装文件.可以将软件分配给用户或分配给计算机,但是发布的方式只能发布给用户.下面通过实验了解二者的区别. (1)软件发布给用户:当软件通过组策略发布给用户后,此软件不会自动安装.只有用户登录后,通过控制面板

Windows Server 2012活动目录基础配置与应用(新手教程)之4---域用户的基本管理

下面分几种方式介绍域用户的创建. 1.图形化界面(前文已介绍) STEP1:以自己的名称新建一个账户(或者使用已存在的账户,以自己的名字命名),按如下示例修改该账户的属性: STEP2:每个人为自己所在宿舍的其他人员创建一个账户.(提示:可以复制账户)分析这种方式的优缺点. 2.利用命令方式完成 STEP1:查看dsadd命令帮助信息,从中找到与添加用户有关的指令. STEP2:查看dsadd  user的帮助信息. STEP3:本例中,当前域名为ahgf01.com.cn.下面需要增加名字为u

Windows Server 2012活动目录基础配置与应用(新手教程)之6---组织单位OU与组Group

   概念:组织单位(Organizational Unit),简称OU ,是可以将用户.组.计算机和其它组织单位放入其中的AD容器,是可以指派组策略设置或委派管理权限的最小作用域或单元.    观察:AD用户和计算机的窗口,分析OU图标的不同. 1.OU的基本管理 (1)仿照学校的结构,建立不同的OU. (2)按住鼠标左键,分别移动部分用户账户至创建好的OU中. (3)选择一个用户,移动至动漫制作技术这个OU中,然后将该OU删除,检查用户是否仍然存在.(注意,删除OU时,需要通过AD用户和计算

Windows Server 2012活动目录基础配置与应用(新手教程)之3---将客户机加入到指定域

在WIN 2012服务器上安装AD后,WIN2012就从普通的服务器变成了域控制器.一个域也就产生了.但遗憾的是,目前这个域的规模还很小,只有DC这一台主机-------光杆司令!! 下面尝试扩大域的规模,将客户机加入到域.本例中客户机使用的系统是win 7. STEP1:在DC上,利用管理工具新建一个账户,命名为自己的名字.首先打开管理工具中的Active Directory用户和计算机控制台(可在运行里输入dsa.msc),分析其中的内容:重点看Computers.Domain Contro

Windows Server 2012活动目录基础配置与应用(新手教程)之5---用户配置文件

1.了解用户的配置文件是什么? STEP1:检查DC上是否已存在以自己名字命名的账户.(续前述实验结果,在DC中应该有该账户存在) STEP2:利用STEP1中指定的账户,在客户机WIN7上登录一次. STEP3:登录成功后注销,并用WIN 7本地的管理员账户登录.登录后,新建一个以自己名字命名的账户.注意该账户是一个本地账户. STEP4:用STEP3中建立的本地账户登录.登录时,账户名前面加上客户机的主机名. 上述步骤完成后,表面上,是用了两个同名账户在同一主机上登录,但是,账户的性质是不同

Windows Server 2012活动目录基础配置与应用(新手教程)之1---为什么需要域?

首先完成如下操作 (1)在安装好的WIN 2012上,除了系统盘C以外,再建立一个新的卷,例如E盘. (2)建立一个共享的文件夹(共享权限和本地权限暂时都可设置为EVERYONE可读),以自己的名字命名.完成后在WIN 2012上打开命令提示符,并用net  share命令检查是否出现该共享资源. (3)通过其他主机检查是否能访问到上述共享文件夹.如不能正常访问,则需要启用WIN 2012的guest账户:如能正常访问,则在客户端(就是访问者所在的主机)打开该共享文件夹.并在WIN 2012上的

Windows Server 2012活动目录基础配置与应用(新手教程)之11--发布共享的文件夹

资源(用户账户.计算机账户.共享文件夹.共享打印机.网络服务等)被发布到AD域服务后,域内的用户可以方便地查询这些资源.这些资源,有的可以在新建时自动发布到域中,例如创建的用户或计算机,有的需要在创建完成后手动发布,例如共享的文件夹. 只有Domain Admins组或Enterprise Admins组的成员,或是被委派权限的成员,可以发布共享文件夹. 1.使用客户机本地管理员账户或者域管理员账户,在客户机上创建一个享文件夹.本地权限设置为Domain USERS可读取,但不能写入. 2.在D

Windows Server 2012活动目录基础配置与应用(新手教程)之2----创建域控制器

完成如下操作:     STEP1:观察.检查服务器状态.重点检查计算机名.计算机所在的工作组名.已添加的角色和功能.是否存在本地用户和组.管理工具中是否有与AD相关的软件.系统盘是否包含NTDS和SYSVOL等文件夹.  STEP2:设置服务器的IP.由于安装AD时必须使用DNS提供的域名解析服务,一般可将DC与DNS配置在同一台服务器上.                              补充说明:在系统中可以在命令提示符下运行sconfig命令,完成网络参数设置.     STEP