目錄

組策略

組策略分為計算機配置和使用者配置兩部分：
1. 計算機配置：當計算機開機時，系統會根據計算機配置的屬性來設定計算機環境。例如：我們在Jmilk.com這個AD域內設定了計算機配置組策略，則此策略就會被應用到這個域內的所有計算機。
2. 使用者配置：當用戶登入時，系統會根據使用者配置的屬性來設定使用者的工作環境。例如：我們對組織單位teacher配置了組策略，則組織單位下的所有使用者都會應用該策略。

組策略物件GPO

組策略是通過組策略物件來設定的，在建立了組策略物件之後，將GPO和指定的站點、域、組織單位進行連結。那麼這個GPO的屬性值就會影響到改站點、域、組織單位。

實驗一：組策略的計算機配置

在域控制器的系統中預設只有某些組內的使用者才能登入，一般的使用者是服務登入的。例如：域jmilk.com內的Domain Users組中的使用者無法在域控制器中登入，除非為他們賦予允許本地登入的許可權。我們可以通過GPO：Default Domain Controllers Policy賦予這些使用者登入許可權。

Step1：以系統管理員的許可權登入到域控制器。

Step2：開啟組策略控制器

Step3：展開Domain Controllers，並右擊編輯GPO：Default Domain Controllers Policy 。

Step4

注意：成功將JMILK\Domain Users加入到策略後，需要等待一段時間來同步更新。或者你也可以使用指令gpupdate /force來即使同步。在完成同步之後，我們可以在組織單位內建立

實驗二：組策略的使用者配置

例如：在AD域jmilk.com內有一個組織單位teacher，而我們要針對這個組織單位內所有的使用者來設定，而且限定它們必須通過企業內部的代理伺服器(Proxy Server)上網。假設代理伺服器的網址為：proxy.jmilk.com，埠號為8080。同時我們要將其瀏覽器Internal Explorer的連線標籤

Step1：以系統管理員的身份登陸到域控制器

Step2：開打組策略管理工具

Step3：展開teacher組織單位，右擊，在這個組織單位中建立GPO並連結到此處

Step4：進入組策略編輯器，編輯這個GPO

Step4：選擇使用者配置策略下的Internal Explorer下的連線選項，再雙擊代理設定，將proxy.jmilk.com和8080埠填入，確定。

Step5：展開使用者設定策略下的管理模板下的Windows元件下的Internal Explorer，編輯右方的禁用更改代理伺服器設定的狀態改為已啟用。

Step6：使用指令gpupdate /force來更新同步組策略

Step7：驗證組策略。使用teacher組織單位下的任意使用者登入，並檢視Internal Explorer選項中代理伺服器的設定已經變灰。

實驗三：首選設定

組策略還可以分為策略設定和首選設定
1. 首選設定：只有域的組策略才有首選策略功能。首選設定策略的屬性是可以被客戶端自行改變的。因此首選設定一般用於預設值的設定。
2. 策略設定：是強制性設定，客戶端應用這些設定後就無法更改策略屬性的。

注意：當某一個專案，同時被首選設定和策略設定處理時，以策優略設定為優先。

同時首選設定來為組織單位teacher內的計算機win7pc自動建立一個本地使用者賬號Henry。
注意：首先需要HOST：win7pc是在域內的，使能夠被DNS解析的。
Step1：使用系統管理員身份登陸到域控制器

Step2：將HOST：win7pc加入到AD域內時，預設會加入到Computers容器。所以需要先在Computers中國找到win7pc後點擊右鍵，移動，選擇組織單位teacher。

Step3：開啟組策略管理工具

Step4：在組策略管理器中編輯組織單位teacher下原有的GPO：proxy

Step5：展開組策略管理器下的計算機配置下的首選項下的控制面板設定下的對著本地使用者和組，右擊，選擇新建本地使用者。

Step6：在彈出的新建本地使用者視窗中填入需要建立的使用者的資訊，再點選常用選項卡

Step7：在常用標籤裡，選擇應用一次且不重複更新。同時選擇專案級目標後點擊目標按鈕。以便將此想專案的應用物件指定到計算機win7pc

Step8：指定策略目標計算機，再點選所有視窗的確定

Step9：更新同步gpupdate，再登陸到HOST：win7pc後開啟管理用具下的計算機管理檢視henry使用者是否存在。

實驗四：組策略更改計算機桌面

在某些企業要求每一位員工在使用域賬號登陸到計算機時，要使用帶有企業Logo的桌面桌布。
Step1：以系統管理員的身份登陸到域控制器。

Step2：開啟AD計算機和使用者管理工具並建立一個組織單位shareDesktop

Step3：在組織單位shareDesktop下建立你需要管理的使用者，或者將需要管理的使用者移動到這個組織單位下。

Step4：確保使用者具有遠端登陸和本地登入許可權
遠端登陸：

• 在組策略管理器中，開啟Domain Controllers組織單位裡的組策略
• 在組策略編輯器中，定位到計算機配置->Windows設定->安全設定->本地策略->使用者許可權分配
• 在允許在本地登陸”中中加入Remote Desktop Users組
• 在允許通過遠端桌面服務登入中也加入Remote Desktop Users組
• 將需要遠端服務的使用者加入remote desktop users組
• 更新組策略：gpupdate /target:computer /force

本地登入：

• 我們在實驗一中已經將屬於Domain Users組的賬號賦予了本地登入的許可權。所以任何屬於Domain Users組的使用者都能夠本地登入到域控制器中。
  

Step5：開啟組策略管理器，在組織單位shareDesktop下新建並連結GPO：desktop

Step6：編輯GPO：desktop
6.將使用者配置下的管理模板下的Active Desktop設定為啟用active desktop，同時確保禁用Active Desktop選項保持未配置狀態。

Step7：共享你希望分享的桌面桌布的資料夾，同時保證everyone 和administrator有完全控制權限

右擊希望共享的資料夾，選擇屬性。點選高階共享，彈出視窗斌勾選共享此檔案，再點選許可權

確保everyone 和administrator有完全控制權限

共享完成

Step8：測試共享檔案
在win7pc中以chihiro的身份登陸，並Run –> \dns1.jmilk.com\image

Step9：啟用桌面桌布策略然後設定你桌布的共享路徑

Step10：確保GPO：desktop已經連結到你需要的組織單位上

Step11：11.執行指令gpupdate /force強制更新同步組策略。然後用你在這個組織單位下的域使用者登入域下的計算機。

注意：如果在控制面板中的桌面背景能夠獲取圖片路徑，但是桌面桌布卻沒有改變的話，需要將桌面桌布的原始檔改為.bmp格式就好了。

常用的組策略管理模組策略

我們已使用者配置中的管理模組為例。

限制使用者執行指定的Windows程式

限制使用者只可以或不可以執行指定的Windows程式

雙擊系統策略 –> 選擇只執行指定的Windows應用程式或不執行指定的Windows應用程式 –> 程式設計此策略，並輸入希望處理的應用程式的可執行檔名稱，例如：Powershell.exe

隱藏或顯示在控制面板內指定的專案

使用者在控制面板內將看不見被隱藏起來的專案或只能看見指定顯示的專案。
雙擊控制面板 –> 雙擊右邊的隱藏指定的控制面板或顯示指定的控制面板 –> 編輯此策略，並填入希望處理的控制面板專案名稱，例如：滑鼠、使用者賬戶

刪除開機功能中的部分命令

刪除開機功能中的關機、重啟、睡眠和休眠
雙擊“開始”選單和工作列 –> 雙擊刪除並阻止訪問”關機”、”重新啟動”、”睡眠”和”休眠”命令 –> 將此此策略設為啟動。這樣在使用者的開始選單裡就不會再有這些選項。

通過賬戶策略來設定密碼、密碼的使用準則、密碼的鎖定。

注意：賬戶策略只針對域使用者有效，而且所設定的賬戶策略必須通過域級別的GPO來設定才有效。如果你針對某個組織單位來設定賬戶策略，則這個賬戶策略只會被應用到位於此組織單位內計算機的本地賬戶而已，但不能影響此組織單位的域使用者。

設定賬戶策略：編輯域級別的GPO(這裡以Default Domain Policy為例) –> 展開計算機配置下的策略 –> Windows設定 –> 安全設定 –> 賬戶策略

• 密碼策略：
  
• 賬戶鎖定策略：