Windows 2008 R2_组策略

目录

  • 目录
  • 组策略
    • 组策略对象GPO
    • 实验一组策略的计算机配置
    • 实验二组策略的用户配置
    • 实验三首选设置
    • 实验四组策略更改计算机桌面

组策略

组策略分为计算机配置用户配置两部分:

1. 计算机配置:当计算机开机时,系统会根据计算机配置的属性来设置计算机环境。例如:我们在Jmilk.com这个AD域内设置了计算机配置组策略,则此策略就会被应用到这个域内的所有计算机。

2. 用户配置:当用户登录时,系统会根据用户配置的属性来设置用户的工作环境。例如:我们对组织单位teacher配置了组策略,则组织单位下的所有用户都会应用该策略。

组策略对象GPO

组策略是通过组策略对象来设置的,在建立了组策略对象之后,将GPO和指定的站点、域、组织单位进行链接。那么这个GPO的属性值就会影响到改站点、域、组织单位。

实验一:组策略的计算机配置

在域控制器的系统中默认只有某些组内的用户才能登录,一般的用户是服务登录的。例如:域jmilk.com内的Domain Users组中的用户无法在域控制器中登录,除非为他们赋予允许本地登录的权限。我们可以通过GPO:Default Domain Controllers Policy赋予这些用户登录权限。

Step1:以系统管理员的权限登录到域控制器。

Step2:打开组策略控制器

Step3:展开Domain Controllers,并右击编辑GPO:Default Domain Controllers Policy

Step4:进入组策略管理编辑器,展开计算机配置用户权限分配,找到允许本地登录策略后,双击开打。添加组JMILK\Domain Users

注意:成功将JMILK\Domain Users加入到策略后,需要等待一段时间来同步更新。或者你也可以使用指令gpupdate /force来即使同步。在完成同步之后,我们可以在组织单位内创建

实验二:组策略的用户配置

例如:在AD域jmilk.com内有一个组织单位teacher,而我们要针对这个组织单位内所有的用户来设置,而且限定它们必须通过企业内部的代理服务器(Proxy Server)上网。假设代理服务器的网址为:proxy.jmilk.com,端口号为8080。同时我们要将其浏览器Internal Explorer的连接标签更改为代理服务器设置的功能禁用,以免防止用户私自的更改此选项。

我们需要先创建一个GPO链接到teacher,然后通过修改此GPO设置值的方式来进行操作。

Step1:以系统管理员的身份登陆到域控制器

Step2:开打组策略管理工具

Step3:展开teacher组织单位,右击,在这个组织单位中创建GPO并链接到此处

Step4:进入组策略编辑器,编辑这个GPO

Step4:选择用户配置策略下的Internal Explorer下的连接选项,再双击代理设置,将proxy.jmilk.com和8080端口填入,确定。

Step5:展开用户设置策略下的管理模板下的Windows组件下的Internal Explorer,编辑右方的禁用更改代理服务器设置的状态改为已启用

Step6:使用指令gpupdate /force来更新同步组策略

Step7:验证组策略。使用teacher组织单位下的任意用户登录,并查看Internal Explorer选项中代理服务器的设置已经变灰。

实验三:首选设置

组策略还可以分为策略设置首选设置

1. 首选设置:只有域的组策略才有首选策略功能。首选设置策略的属性是可以被客户端自行改变的。因此首选设置一般用于默认值的设定。

2. 策略设置:是强制性设置,客户端应用这些设置后就无法更改策略属性的。

注意:当某一个项目,同时被首选设置和策略设置处理时,以策优略设置为优先。

同时首选设置来为组织单位teacher内的计算机win7pc自动创建一个本地用户账号Henry。

注意:首先需要HOST:win7pc是在域内的,使能够被DNS解析的。

Step1:使用系统管理员身份登陆到域控制器

Step2:将HOST:win7pc加入到AD域内时,默认会加入到Computers容器。所以需要先在Computers中国找到win7pc后点击右键,移动,选择组织单位teacher

Step3:打开组策略管理工具

Step4:在组策略管理器中编辑组织单位teacher下原有的GPO:proxy

Step5:展开组策略管理器下的计算机配置下的首选项下的控制面板设置下的对着本地用户和组,右击,选择新建本地用户。

Step6:在弹出的新建本地用户窗口中填入需要创建的用户的信息,再点击常用选项卡

Step7:在常用标签里,选择应用一次且不重复更新。同时选择项目级目标后点击目标按钮。以便将此想项目的应用对象指定到计算机win7pc

Step8:指定策略目标计算机,再点击所有窗口的确定

Step9:更新同步gpupdate,再登陆到HOST:win7pc后打开管理用具下的计算机管理查看henry用户是否存在。

实验四:组策略更改计算机桌面

在某些企业要求每一位员工在使用域账号登陆到计算机时,要使用带有企业Logo的桌面壁纸。

Step1:以系统管理员的身份登陆到域控制器。

Step2:打开AD计算机和用户管理工具并创建一个组织单位shareDesktop

Step3:在组织单位shareDesktop下创建你需要管理的用户,或者将需要管理的用户移动到这个组织单位下。

Step4:确保用户具有远程登陆和本地登录权限

远程登陆

  • 在组策略管理器中,打开Domain Controllers组织单位里的组策略
  • 在组策略编辑器中,定位到计算机配置->Windows设置->安全设置->本地策略->用户权限分配
  • 允许在本地登陆”中中加入Remote Desktop Users组
  • 允许通过远程桌面服务登录中也加入Remote Desktop Users组
  • 将需要远程服务的用户加入remote desktop users组
  • 更新组策略:gpupdate /target:computer /force

本地登录

  • 我们在实验一中已经将属于Domain Users组的账号赋予了本地登录的权限。所以任何属于Domain Users组的用户都能够本地登录到域控制器中。

Step5:打开组策略管理器,在组织单位shareDesktop下新建并链接GPO:desktop

Step6:编辑GPO:desktop

6.将用户配置下的管理模板下的Active Desktop设置为启用active desktop,同时确保禁用Active Desktop选项保持未配置状态。

Step7:共享你希望分享的桌面壁纸的文件夹,同时保证everyone 和administrator有完全控制权限

右击希望共享的文件夹,选择属性。点击高级共享,弹出窗口斌勾选共享此文件,再点击权限

确保everyone 和administrator有完全控制权限

共享完成

Step8:测试共享文件

在win7pc中以chihiro的身份登陆,并Run –> \dns1.jmilk.com\image

Step9:启用桌面壁纸策略然后设置你壁纸的共享路径

Step10:确保GPO:desktop已经链接到你需要的组织单位上

Step11:11.执行指令gpupdate /force强制更新同步组策略。然后用你在这个组织单位下的域用户登录域下的计算机。

时间: 2024-10-05 15:20:22

Windows 2008 R2_组策略的相关文章

Windows Server 2008 R2组策略创建用户桌面快捷方式

问题: 如何让所有域用户桌面有一个公司共享的快捷方式,让所有域用户直接双击就能打开公司共享. 解决办法: 1.创建一个zhuyu组织单元 ----- 在zhuyu组织单元创建一个域用户user1. 2.开始 ---- 运行 ---- 输入 gpmc.msc  ----- 选择zhuyu.com  ----- 右键组策略对象  ----- 新建. 3.自定义组策略名称 “桌面快捷方式_共享文件” ---- 确定. 4.右键组策略“桌面快捷方式_共享文件” ---- 编辑. 5.用户配置 -----

Windows Server 2008 R2 组策略基本设置

域控组策略基本设置 标注: 组策略计算配置:系统需要重启才生效                          组策略用户配置:系统注销即可生效 一.              域用户登录桌面后自动加入本地administrators管理员组 二.              域用户登录桌面后自动禁用本地guest来宾用户 三.              域用户登录桌面后控制面板隐藏用户账户 四.              域用户登录桌面后自动创建公司共享快捷方式 五.             

Windows 2008 修改密码策略

原创作品,出自 "深蓝的blog" 博客,欢迎转载,转载时请务必注明以下出处,否则追究版权法律责任. 深蓝的blog:http://blog.csdn.net/huangyanlong/article/details/44002455 对于有效期,如果设置为0,则代表永不失效. 至此,对于修改密码策略简要演示完毕. 小知识,简而记之. 原创作品,出自 "深蓝的blog" 博客,欢迎转载,转载时请务必注明以下出处,否则追究版权法律责任. 深蓝的blog:http://

Windows Server 2008组策略安全实践(同样适用于域控制)

Windows Server 2008系统的安全功能非法强大,而它的强大之处不仅仅是新增加了一些安全功能,而且还表现在一些不起眼的传统功能上.对Windows Server 2008系统的组策略功能进行深入挖掘,我们可以发现许多安全应用: 1.限制使用迅雷进行恶意下载 当用户随意使用迅雷工具进行恶意下载时,不但容易浪费本地系统的磁盘空间资源,而且 也会大大消耗本地系统的上网带宽资源.而在Windows Server 2008系统环境下,限制普通用户随意使用迅雷工具进行恶意下载的方法有很多,例如可

虚拟化基础架构Windows 2008篇之2-域用户与域用户组管理

1.3 域用户与域用户组管理 计算机是模拟现实生活的电子设备,同样,联网的计算机也是在模拟客观世界人与人之间的关系与交往.在现实世界中,人人都有一个身份,每个人的身份决定了他的工作与职权范围.而在计算机网络中也有一个代表"身份"的名称,称为"用户".用户的权限不同,决定了用户对计算机及网络控制的能力与范围也各不相同.用户有两种类型:一种是只能用来访问本地计算机(或使用远程计算机访问本计算机)的"本地用户账户",另一种是可以访问网络中所有计算机的&

微软企业级加解密解决方案MBAM组策略模板配置

若要部署 MBAM,您必须设置定义 MBAM BitLocker 驱动器加密的实现设置的组策略设置.若要完成此任务,必须将 MBAM 组策略模板复制到服务器或工作站上可以运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM),然后编辑设置. 重要 ︰不要更改的BitLocker 驱动器加密节点中的组策略设置或 MBAM 将无法正常运行.MDOP MBAM (BitLocker 管理)节点中配置的组策略设置,当 MBAM 自动配置为您的BitLocker 驱动器加密设置. 在Windo

组策略关闭网络端口

我们的个人信息为什么会被盗呢?原因之一是我们的电脑有漏洞,通俗的说,门窗关闭不严. 默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑. 为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135.139.445.593.1025 端口和 UDP 135.137.138.445 端口,一些流行病毒的后门端口(如 TCP 2745.3127.6129 端口),以及远程服务访问端口3389. 下面介绍如何在Windows下通过组策略关闭

Windows Server 2008 R2域控组策略设置禁用USB

问题: Windows Server 2008 R2域控服务器如何禁用客户端使用USB移动存储(客户端操作系统需要 Windows Vista以上的操作系统,XP以下的操作系统不能禁用USB移动存储). 标注:对于Windows Server 2008 R2域控组策略禁用USB移动存储设备要求是客户端操作系统要求Windows Vista以上,针对 XP以下的操作系统则只能使用Windows Server 2003操作系统作为域控服务器才可以进行限制(操作方法跟windows server 20

windows server 2008 R2 域中用组策略隐藏指定磁盘驱动器(盘符)

1.首先在C:\Windows\SYSVOL\sysvol\xxx.com\Policies文件夹下,创建文件夹PolicyDefinitions. 2.将%systemroot%\PolicyDefinitions\下所有文件复制到C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions下. 3.修改C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions\Windows