當前域環境：在單域中有一些使用者、組、計算機帳戶，還有三個組織單位（OU），其中財務部還有一個子組織單位“資產管理”，每一個組織單位都有一個委派管理員，左側有一些要實現的組策略物件（GPO）,本例中域控制器名：jame，域中另一臺計算機名：Glasgow。

下面各例用於學習GPO物件的建立、連結、它的衝突解決，繼承、阻止繼承、強制以及在工作環境中怎樣使用組策略來管理域。（以下各例都在組策略管理工具中完成，在上一課已經安裝了GPMC.MSI這個組策略管理工具）

一、 強制實現域中所有使用者使用統一桌面背景。

1. 實現這一策略如下圖：先建立一個統一桌面背景的GPO，把它連結到域，並設定這個GPO為強制。

2. 準備一張圖片，放在一個只讀共享資料夾中，並確認在網路上的芳鄰中可定位它的UNC路徑。

圖片的UNC路徑是：\\Jame\公用共享\背景.jpg。

3. 開啟：開始→管理工具→組策略管理，再展開林→域→Nwtraders.msft→組策略物件，在右側“內容”中右擊，選“新建”。

4. 取一個組策略名

5. 對新建的GPO右擊選“編輯”，進入組策略物件的編輯。

6. 展開使用者配置→管理模板→桌面→Active Desktop，首先啟用“啟用Active Desktop”用於支援Jpg和HTML格式為桌面背景。

在右側視窗，雙擊“Active Desktop牆紙”並如下設定。（不要使用圖片的本地路徑，這樣會使網路中其他計算機不能訪問，而要使用UNC路徑）

7. 把“統一背景”這個GPO連結到域：對域右擊，選“連結現有GPO”。

對統一背景GPO右擊，設定“強制”，使此GPO的組策略繼承是強制繼承，不能被阻止繼承。

8. 用域使用者Kaka登陸域測試一下，背景已經有圖片，表示部署成功。

二、 除了域管理員和委派管理員外所有域使用者禁用控制面板。

1. 本例實現的GPO連結示意圖

2. 展開“組策略物件”在右側如上例一樣建立一個新的GPO。

對“禁用控制面板”GPO進行編輯。

如下設定啟用“禁止訪問控制面板”。

在域上“連結現有GPO”到“禁用控制面板”。

排除“禁用控制面板”GPO對系統管理員、委派管理員（administrator、kaka、jo、leo）的該策略應用：先在“組策略物件”下對“禁用控制面板”單擊，在右側出現細節，在其“作用域”的“安全篩選”中單擊“新增”，加入administrator、kaka、jo、leo這幾個使用者。

單擊“委派”選項卡下的“高階”按鈕，開啟“禁用控制面板”的安全設定，在“組或使用者名稱稱”中依次單擊上面的四個使用者，在下面的許可權：“應用組策略”拒絕中鉤選，使這四個使用者拒絕應用“禁用控制面板”策略。

下面四個使用者的“允許許可權”項為“自定義”表示修改過。

3. 使用域使用者boen登陸已經沒有控制面板了

4. 使用域委派管理員kaka登陸，仍有控制面板。

三、 使用登陸指令碼釋出域中所有使用者把“N：”驅動器對映到檔案伺服器的共享資料夾中。

1. 本例實現的GPO連結示意圖

2. 設定“共享資料夾”為所有使用者完全控制（包括非域中使用者）：在共享和安全選項卡中設定Everyone為完全控制。

這一個設定安全性比較高，僅通過域驗證過的域使用者才能完全控制這個資料夾：在共享和安全選項卡中設定Authenticated Users（驗證使用者組）為完全控制。本例使用這一個來設定完全共享。

3. 在已經只讀共享的“公用共享”資料夾中新建一個txt文字檔案。

把它改名，副檔名必須是VBS檔案型別。

然後對它右鍵單擊，選選單中的“編輯”，輸入下面內容，再儲存。

Set objNetwork = Wscript.CreateObject("WScript.Network")

objNetwork.MapNetworkDrive "N:", "\\jame\共享資料夾"

msgbox "共享資料夾對映為N盤成功！"

4. 在組策略物件中新建一個“登陸指令碼：對映N盤”GPO，並進入“編輯”狀態。

在使用者配置→Windows設定→指令碼（登陸/登出）的右側，雙擊“登入”進入設定。

選擇“新增”按鈕，在彈出對話方塊的“指令碼名”中輸入指令碼的UNC路徑，也可以單擊“瀏覽”，在網路上的芳鄰中找它的共享路徑。（注意：一定不能是本地路徑，不然在網路中其它電腦登陸時執行指令碼不能訪問這個檔案。）

在域中其他電腦上用一個使用者登陸，驗證下，彈出msgbox中輸入的提示資訊，表示設定成功。

（未完待續）

本文出自 51CTO.COM技術部落格

轉自http://newthink.blog.51cto.com/872263/283180

轉載於:https://blog.51cto.com/lzy821218/285433