活动目录的综合应用(三)

              AD域环境的组策略配置

1、域中配置组策略的好处有哪些?

1)、减小管理成本,因为只需设置一次,相应的用户或计算机即可全部应用规定的设置。

2)、减少用户单独配置错误的可能性。

3)、可以针对特定的对象(用户或计算机)实施特定的策略。

2、这里要想使用组策略就先简单设定几个对计算机的要求,来通过组策略对域成员计算机进行控制!

1)、要求销售部可以更改时间!

2)、要求市场部所有人登录时密码输错三次就锁定!

3)、要求所有人不得使用开始菜单中的“运行”菜单!

4)、设置总经理可以在域控制器上登录!

3、现在开始先创建实验用的OU以及OU中的用户

1)、首先在域控制器上鼠标分别点击左下角“开始”→“管理工具”→“Active  Directory    用户和计算机”,右击域名创建存放用户的容器OU(组织单位)

2)、在每一个OU中创建一个用户用来验证。然后再在user中创建一个总经理账户用来验证。

4、分别按照要求创建GPO(Group Policy  Object,组策略对象)

1)、打开组策略:依次点击左下角“开始”→“管理工具”→“组策略管理”

2)、组策略被视为Active    Dirctory中的一种特殊对象,可以将GPO和活动目录的容器(站点、域和ou)链接起来,以影响容器中的用户和计算机。

3)、默认的GPO有两个:

◆Default   Domain Policy(默认域策略)

依次展开“林:abc.com”→“域”→“abc.com”→“Default   Domain   Policy”,右键点击编辑可以设置!此策略影响域中所有的用户和计算机。

◆Default  Domain  Controllers    Policy (默认域控制器策略)

展开Domain  Controllers 可以看到默认域控制器策略,此策略影响域中组织单位“Domain  Controllers”中的所有用户和计算机!主要针对域控制器本机的策略!

4)、此时我们需要针对某一个OU来设置策略,就在这个OU下创建新的GPO。

右键OU,点击第一项“在这个域中创建GPO并在此处链接”,然后点击确定。

继续创建销售部的GPO。

5、开始设置相应策略

1)、右击销售部GPO,点击编辑。并依次展开 “计算机配置”→“策略”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”,右侧找到更改系统时间,双击。添加用户销售部员工!

这里需要注意的是:因为这个策略是对计算机上做的策略,所以要把OU   “Computers”中一会儿用来登录验证的计算机也加到销售部OU中。

2)、右击市场部GPO选择编辑,依次展开“计算机配置”→“策略”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”,双击右侧的“账户锁定阈值”,定义次数为3次。点击确定!

此时由于还是对计算机做的配置,在验证完销售部的策略之后,把客户端计算机再添加到市场部中,双方刷新策略再验证!

3)、右击默认域策略(Default   Domain    Policy)点击编辑,

依次展开“用户配置”→“策略”→“管理模板”→““开始”菜单和任务栏”,双击右侧的“从「开始」菜单中删除“运行”菜单”,点选“已启用”,点击确定!

4.1)、想要总经理在域控制器上等录就要针对域控制器设置策略,右击“Default   Domain   Controllers  Policy”选择编辑!

4.2)、依次展开“计算机配置”→“策略”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”,在右侧中找到“允许在本地登录”并双击打开。

4.3)、打开“允许在本地登录之后”,点击“添加用户或组”→“浏览”→“高级”→“立即查找”,在下边找到总经理的账号之后双击,一直点击确定添加完成!

5)、设置完权限之后并不能马上生效!打开命令提示符,输入“gpupdate    /force”回车,刷新组策略!

6.这时在一台加了域的计算机上做验证!

1)、先使用销售部的用户登录,验证发现,销售部员工可以在客户机上修改计算机时间,并且无法使用“运行”菜单(根本就没有运行这个选项了)。(如果没有生效就在客户机上也运行“gpupdate  /force”刷新组策略!)

2)、此时切换用户,使用市场员工登录计算机,故意输错三次密码,观察提示!此时提示账户被锁定即为成功!

3)、最后在域控制器上使用总经理账户查看能否登录!

实验结束!

这里最后再讲一下关于组策略无法生效的一些原因!

1.组策略冲突生效顺序:其顺序应为“本地策略”→“站点策略”→“域策略”→“父OU策略”→“子OU策略”(子ou策略优先级最高);计算机设置高于用户设置;同一容器链接的多个策略,链接顺序最低的策略优先级最高。

2.组策略生效时间:在默认情况下,DC每五分钟刷新一次组策略,客户机每90分钟刷新一次,其中含有30分钟的时间偏移量。使用“gpupdate   /force”命令可以刷新组策略,使其立即生效。

3.计算机配置或用户配置:在设置组策略的时候要注意区分是需要使用计算机配置还是用户配置。

关于域用户漫游和提升域功能级别的相关操作在我的另外两篇博客中!

时间: 2024-10-17 06:24:22

活动目录的综合应用(三)的相关文章

活动目录的综合应用(一)

一.活动目录相关概念 1.使用活动目录的优点:集中管理.便捷的访问网络资源.可扩展性. 2.域的概念:活动目录的一种实现形式,也是活动目录最核心的管理单位. 3.域控制器:就是安装了活动目录服务的一台计算机.活动目录的数据都储存在域控制器内! 4.名称空间:是一个区域的名字,也就是域名. 5.对象:由一组属性组成,他代表的是具体的事物,如用户.打印机或计算机等. 6.:属性:用来描述对象的数据. 7.容器:存放对象的空间. 8.组策略:组策略可以针对计算机或用户进行很多种配置,包括安全配置和桌面

活动目录的综合应用(二)

安装额外域控制器! 1.安装额外域控制器的优点 ◆提供容错功能 ◆提供负载均衡 ◆更易于用户的链接和访问 2.注意事项 ◆操作系统版本必须受当前域功能级别支持! ◆安装者必须具有域管理员权限! ◆计算机IP地址和DNS服务器地址配置正确(DNS服务器地址通常为第一台域控制器的ip地址). ◆确保计算机和第一台域控制器之间互相连通! 3.安装步骤 1).将另一台符合安装额外域控制器条件的服务器安装为主域控制器(DC)的额外域控制器!(比如ip地址.dns指向主域控制器-等,参考注意事项!) 2).

Server 2008 R2活动目录配置

一.安装windows2008_64bit_r2 给服务器设置密码:xxxxxxxx 二.安装配置DNS 1.更改服务器主机名:DCserver 2.配置静态IP地址 IP地址:10.0.100.10 子网:255.255.255.0 网关:10.0.100.1 dns:10.0.100.10 三.安装活动目录

windows 2008 活动目录实施方案

Windows Server 2008活动目录实施方案 1.     用户需求 要求 一:活动目录高可用,实现容灾 二:客户机成功加入域,限制财务的用户只能登陆到财务的客户机,每周一到周五实现财务部的用户能够成功登陆,其他时间不允许登陆. 三:组策略限制如下: 1. 限制所有员工桌面背景为1.jpg,为所有用户设置账户锁定策略,输错 两次密码锁定. 2. 限制行政部员工桌面背景为2.jpg 3. 限制销售部员工的开始菜单中删除运行图标,删除桌面的计算机图标        4.为所有客户端自动安装

活动目录管理及维护----------操作主机1(转移主机优化域控制器,占用操作主机较色,升级03域控制器到08)

享受生活  热爱挑战                                                                                        刘明远分享                 六操作主机  上(本章分两节) 每章一段话 没有永远的缘份,没有永远的生命,我们所能拥有的,可能只是平凡的一生.然而因为有你,生命便全然不同,世界也许因你而更加精彩.不要放弃了自己!!! (本章实验:转移主机的优化域控制器.  占用操作主机角色) 一  操作主

windows 活动目录管理(1)简述部署域服务

(一)AD简述: 1. 活动目录(Active directory):是windows 网络中的目录服务,对于活动目录域服务AD DS概念,分为两种活动目录是一个目录:活动目录是一种服务. 优点和特性  : 集中管理,便捷地访问网络资源,可扩展性. 2.域(domain):是组织与存储资源的核心管理单元. 3.域控制器(domain controller):就是安装了活动目录服务的一台计算机. 4.对象(object):由一组属性组成. 5.属性(Attribute):就是用来描述对象的数据.

活动目录父子域用户迁移之:TFS&SharePoint问题汇总(一)

前段时间做了个项目,是关于父子域合并的,其实无非就是使用ADMT把域用户,计算机等从子域迁移到父域上,看似迁移用户很简单.But--生产环境啊,Exchange,TFS,Sharepoint,还有其余乱七八糟的东西,都使用了域账号,牵一发动全身的节奏,迁移账号出点儿问题相关用户就可以坐在那打酱油了,迁移前在他们生产环境中新建测试账号迁移,但是这种测试账号相对理想的环境,测试过程中很多问题不容易发现,很多问题是迁移了客户生产用户账号时出现了问题,但是于对于TFS一窍不通,sharepoint大多不

Active Directory 活动目录(简称AD)的基础架构与使用(二)

在我们使用AD域服务的过程中,一定会遇到误删除用户,或者域控制器故障等等的突发状况,为了保证在遇到突发状况的时候,能最快的解决问题,就需要用到AD域服务的备份和还原,今天会给大家带来几种实例,让大家进一步了解AD域服务. 一:域的备份与还原 实例:域的备份与还原.Server01中已经安装了AD域服务,并且已经是域控制器,现在对其进行备份与还原. 准备工作:1)在备份之前,新建一个组织单位,用户等,主要是为了检测备份是否成功.(新建的组织单位是:IT,新建的用户是:zc) 2)添加一块单独的磁盘

从Exchange 通往Office 365系列(十七)通过活动目录同步创建用户

添加完域名之后我们来看如何在Office 365上创建用户,创建用户的方法可以分为三种 1.手动创建 2.通过活动目录同步工具从本地AD中同步过来 3.通过CSV文件批量创建 手动同步自不用说,通过CSV文件创建下一节中会讲到,现在我们来看如何通过活动目录同步工具DirSync来统一将域内的用户同步和OU等信息过来.首先要确定的是这是一个单向的同步,也就是只能从本地的AD同步到Office 365中,同步到Office 365中后我们可以在本地AD中进行正常的用户管理,这些更改都将会同步到Off