AD域环境的组策略配置
1、域中配置组策略的好处有哪些?
1)、减小管理成本,因为只需设置一次,相应的用户或计算机即可全部应用规定的设置。
2)、减少用户单独配置错误的可能性。
3)、可以针对特定的对象(用户或计算机)实施特定的策略。
2、这里要想使用组策略就先简单设定几个对计算机的要求,来通过组策略对域成员计算机进行控制!
1)、要求销售部可以更改时间!
2)、要求市场部所有人登录时密码输错三次就锁定!
3)、要求所有人不得使用开始菜单中的“运行”菜单!
4)、设置总经理可以在域控制器上登录!
3、现在开始先创建实验用的OU以及OU中的用户
1)、首先在域控制器上鼠标分别点击左下角“开始”→“管理工具”→“Active Directory 用户和计算机”,右击域名创建存放用户的容器OU(组织单位)
2)、在每一个OU中创建一个用户用来验证。然后再在user中创建一个总经理账户用来验证。
4、分别按照要求创建GPO(Group Policy Object,组策略对象)
1)、打开组策略:依次点击左下角“开始”→“管理工具”→“组策略管理”
2)、组策略被视为Active Dirctory中的一种特殊对象,可以将GPO和活动目录的容器(站点、域和ou)链接起来,以影响容器中的用户和计算机。
3)、默认的GPO有两个:
◆Default Domain Policy(默认域策略)
依次展开“林:abc.com”→“域”→“abc.com”→“Default Domain Policy”,右键点击编辑可以设置!此策略影响域中所有的用户和计算机。
◆Default Domain Controllers Policy (默认域控制器策略)
展开Domain Controllers 可以看到默认域控制器策略,此策略影响域中组织单位“Domain Controllers”中的所有用户和计算机!主要针对域控制器本机的策略!
4)、此时我们需要针对某一个OU来设置策略,就在这个OU下创建新的GPO。
右键OU,点击第一项“在这个域中创建GPO并在此处链接”,然后点击确定。
继续创建销售部的GPO。
5、开始设置相应策略
1)、右击销售部GPO,点击编辑。并依次展开 “计算机配置”→“策略”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”,右侧找到更改系统时间,双击。添加用户销售部员工!
这里需要注意的是:因为这个策略是对计算机上做的策略,所以要把OU “Computers”中一会儿用来登录验证的计算机也加到销售部OU中。
2)、右击市场部GPO选择编辑,依次展开“计算机配置”→“策略”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”,双击右侧的“账户锁定阈值”,定义次数为3次。点击确定!
此时由于还是对计算机做的配置,在验证完销售部的策略之后,把客户端计算机再添加到市场部中,双方刷新策略再验证!
3)、右击默认域策略(Default Domain Policy)点击编辑,
依次展开“用户配置”→“策略”→“管理模板”→““开始”菜单和任务栏”,双击右侧的“从「开始」菜单中删除“运行”菜单”,点选“已启用”,点击确定!
4.1)、想要总经理在域控制器上等录就要针对域控制器设置策略,右击“Default Domain Controllers Policy”选择编辑!
4.2)、依次展开“计算机配置”→“策略”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”,在右侧中找到“允许在本地登录”并双击打开。
4.3)、打开“允许在本地登录之后”,点击“添加用户或组”→“浏览”→“高级”→“立即查找”,在下边找到总经理的账号之后双击,一直点击确定添加完成!
5)、设置完权限之后并不能马上生效!打开命令提示符,输入“gpupdate /force”回车,刷新组策略!
6.这时在一台加了域的计算机上做验证!
1)、先使用销售部的用户登录,验证发现,销售部员工可以在客户机上修改计算机时间,并且无法使用“运行”菜单(根本就没有运行这个选项了)。(如果没有生效就在客户机上也运行“gpupdate /force”刷新组策略!)
2)、此时切换用户,使用市场员工登录计算机,故意输错三次密码,观察提示!此时提示账户被锁定即为成功!
3)、最后在域控制器上使用总经理账户查看能否登录!
实验结束!
这里最后再讲一下关于组策略无法生效的一些原因!
1.组策略冲突生效顺序:其顺序应为“本地策略”→“站点策略”→“域策略”→“父OU策略”→“子OU策略”(子ou策略优先级最高);计算机设置高于用户设置;同一容器链接的多个策略,链接顺序最低的策略优先级最高。
2.组策略生效时间:在默认情况下,DC每五分钟刷新一次组策略,客户机每90分钟刷新一次,其中含有30分钟的时间偏移量。使用“gpupdate /force”命令可以刷新组策略,使其立即生效。
3.计算机配置或用户配置:在设置组策略的时候要注意区分是需要使用计算机配置还是用户配置。
关于域用户漫游和提升域功能级别的相关操作在我的另外两篇博客中!