Windows 08 R2_組策略
目錄
組策略
組策略分為計算機配置和使用者配置兩部分:
1. 計算機配置:當計算機開機時,系統會根據計算機配置的屬性來設定計算機環境。例如:我們在Jmilk.com這個AD域內設定了計算機配置組策略,則此策略就會被應用到這個域內的所有計算機。
2. 使用者配置:當用戶登入時,系統會根據使用者配置的屬性來設定使用者的工作環境。例如:我們對組織單位teacher配置了組策略,則組織單位下的所有使用者都會應用該策略。
組策略物件GPO
組策略是通過組策略物件來設定的,在建立了組策略物件之後,將GPO和指定的站點、域、組織單位進行連結。那麼這個GPO的屬性值就會影響到改站點、域、組織單位。
實驗一:組策略的計算機配置
在域控制器的系統中預設只有某些組內的使用者才能登入,一般的使用者是服務登入的。例如:域jmilk.com內的Domain Users組中的使用者無法在域控制器中登入,除非為他們賦予允許本地登入的許可權。我們可以通過GPO:Default Domain Controllers Policy賦予這些使用者登入許可權。
Step1:以系統管理員的許可權登入到域控制器。
Step2:開啟組策略控制器
Step3:展開Domain Controllers,並右擊編輯GPO:Default Domain Controllers Policy 。
Step4
注意:成功將JMILK\Domain Users加入到策略後,需要等待一段時間來同步更新。或者你也可以使用指令gpupdate /force
來即使同步。在完成同步之後,我們可以在組織單位內建立
實驗二:組策略的使用者配置
例如:在AD域jmilk.com內有一個組織單位teacher,而我們要針對這個組織單位內所有的使用者來設定,而且限定它們必須通過企業內部的代理伺服器(Proxy Server)上網。假設代理伺服器的網址為:proxy.jmilk.com,埠號為8080。同時我們要將其瀏覽器Internal Explorer的連線標籤
我們需要先建立一個GPO連結到teacher,然後通過修改此GPO設定值的方式來進行操作。
Step1:以系統管理員的身份登陸到域控制器
Step2:開打組策略管理工具
Step3:展開teacher組織單位,右擊,在這個組織單位中建立GPO並連結到此處
Step4:進入組策略編輯器,編輯這個GPO
Step4:選擇使用者配置策略下的Internal Explorer下的連線選項,再雙擊代理設定,將proxy.jmilk.com和8080埠填入,確定。
Step5:展開使用者設定策略下的管理模板下的Windows元件下的Internal Explorer,編輯右方的禁用更改代理伺服器設定的狀態改為已啟用。
Step6:使用指令gpupdate /force
來更新同步組策略
Step7:驗證組策略。使用teacher組織單位下的任意使用者登入,並檢視Internal Explorer選項中代理伺服器的設定已經變灰。
實驗三:首選設定
組策略還可以分為策略設定和首選設定
1. 首選設定:只有域的組策略才有首選策略功能。首選設定策略的屬性是可以被客戶端自行改變的。因此首選設定一般用於預設值的設定。
2. 策略設定:是強制性設定,客戶端應用這些設定後就無法更改策略屬性的。
注意:當某一個專案,同時被首選設定和策略設定處理時,以策優略設定為優先。
同時首選設定來為組織單位teacher內的計算機win7pc自動建立一個本地使用者賬號Henry。
注意:首先需要HOST:win7pc是在域內的,使能夠被DNS解析的。
Step1:使用系統管理員身份登陸到域控制器
Step2:將HOST:win7pc加入到AD域內時,預設會加入到Computers容器。所以需要先在Computers中國找到win7pc後點擊右鍵,移動,選擇組織單位teacher。
Step3:開啟組策略管理工具
Step4:在組策略管理器中編輯組織單位teacher下原有的GPO:proxy
Step5:展開組策略管理器下的計算機配置下的首選項下的控制面板設定下的對著本地使用者和組,右擊,選擇新建本地使用者。
Step6:在彈出的新建本地使用者視窗中填入需要建立的使用者的資訊,再點選常用選項卡
Step7:在常用標籤裡,選擇應用一次且不重複更新。同時選擇專案級目標後點擊目標按鈕。以便將此想專案的應用物件指定到計算機win7pc
Step8:指定策略目標計算機,再點選所有視窗的確定
Step9:更新同步gpupdate,再登陸到HOST:win7pc後開啟管理用具下的計算機管理檢視henry使用者是否存在。
實驗四:組策略更改計算機桌面
在某些企業要求每一位員工在使用域賬號登陸到計算機時,要使用帶有企業Logo的桌面桌布。
Step1:以系統管理員的身份登陸到域控制器。
Step2:開啟AD計算機和使用者管理工具並建立一個組織單位shareDesktop
Step3:在組織單位shareDesktop下建立你需要管理的使用者,或者將需要管理的使用者移動到這個組織單位下。
Step4:確保使用者具有遠端登陸和本地登入許可權
遠端登陸:
- 在組策略管理器中,開啟Domain Controllers組織單位裡的組策略
- 在組策略編輯器中,定位到計算機配置->Windows設定->安全設定->本地策略->使用者許可權分配
- 在允許在本地登陸”中中加入Remote Desktop Users組
- 在允許通過遠端桌面服務登入中也加入Remote Desktop Users組
- 將需要遠端服務的使用者加入remote desktop users組
- 更新組策略:gpupdate /target:computer /force
本地登入:
- 我們在實驗一中已經將屬於Domain Users組的賬號賦予了本地登入的許可權。所以任何屬於Domain Users組的使用者都能夠本地登入到域控制器中。
Step5:開啟組策略管理器,在組織單位shareDesktop下新建並連結GPO:desktop
Step6:編輯GPO:desktop
6.將使用者配置下的管理模板下的Active Desktop設定為啟用active desktop,同時確保禁用Active Desktop選項保持未配置狀態。
Step7:共享你希望分享的桌面桌布的資料夾,同時保證everyone 和administrator有完全控制權限
右擊希望共享的資料夾,選擇屬性。點選高階共享,彈出視窗斌勾選共享此檔案,再點選許可權
確保everyone 和administrator有完全控制權限
共享完成
Step8:測試共享檔案
在win7pc中以chihiro的身份登陸,並Run –> \dns1.jmilk.com\image
Step9:啟用桌面桌布策略然後設定你桌布的共享路徑
Step10:確保GPO:desktop已經連結到你需要的組織單位上
Step11:11.執行指令gpupdate /force
強制更新同步組策略。然後用你在這個組織單位下的域使用者登入域下的計算機。
注意:如果在控制面板中的桌面背景能夠獲取圖片路徑,但是桌面桌布卻沒有改變的話,需要將桌面桌布的原始檔改為.bmp格式就好了。
常用的組策略管理模組策略
我們已使用者配置中的管理模組為例。
限制使用者執行指定的Windows程式
限制使用者只可以或不可以執行指定的Windows程式
雙擊系統策略 –> 選擇只執行指定的Windows應用程式或不執行指定的Windows應用程式 –> 程式設計此策略,並輸入希望處理的應用程式的可執行檔名稱,例如:Powershell.exe
隱藏或顯示在控制面板內指定的專案
使用者在控制面板內將看不見被隱藏起來的專案或只能看見指定顯示的專案。
雙擊控制面板 –> 雙擊右邊的隱藏指定的控制面板或顯示指定的控制面板 –> 編輯此策略,並填入希望處理的控制面板專案名稱,例如:滑鼠、使用者賬戶
刪除開機功能中的部分命令
刪除開機功能中的關機、重啟、睡眠和休眠
雙擊“開始”選單和工作列 –> 雙擊刪除並阻止訪問”關機”、”重新啟動”、”睡眠”和”休眠”命令 –> 將此此策略設為啟動。這樣在使用者的開始選單裡就不會再有這些選項。
通過賬戶策略來設定密碼、密碼的使用準則、密碼的鎖定。
注意:賬戶策略只針對域使用者有效,而且所設定的賬戶策略必須通過域級別的GPO來設定才有效。如果你針對某個組織單位來設定賬戶策略,則這個賬戶策略只會被應用到位於此組織單位內計算機的本地賬戶而已,但不能影響此組織單位的域使用者。
設定賬戶策略:編輯域級別的GPO(這裡以Default Domain Policy為例) –> 展開計算機配置下的策略 –> Windows設定 –> 安全設定 –> 賬戶策略
- 密碼策略:
- 賬戶鎖定策略:
相關推薦
Windows 08 R2_組策略
目錄 組策略 組策略分為計算機配置和使用者配置兩部分: 1. 計算機配置:當計算機開機時,系統會根據計算機配置的屬性來設定計算機環境。例如:我們在Jmilk.com這個AD域內設定了計算機配置組策略,則此策略就會被應用到這個域內的所有計算機。
08、組策略管理
組策略管理題目:組策略管理實驗要求:(截圖+文字說明,截圖上有姓名,截圖必須完整) 實驗:在域中新建一個OU名為銷售,內用兩個用戶,zhangsan和lisi1.新建組策略,讓zhangsan無論在任何計算機登錄都不顯示“運行”按鈕2.設置組策略,讓zhangsan登陸後不要保留最近打開的文檔記錄3.設置組策
Windows Server 2008 R2 活動目錄組策略
dy環境:win2008(benet.com域控制器),+32位win7(yy-pc已加入benent.com)+64位win7(yyy-pc已加入 benet.com)1,benet.com域控制器裏面創建OU user1和user2,裏面分別創建用戶usera和userb,分別將兩臺win7加入OU用us
Windows Server 2012R2域組策略無法打開,可能沒有相應權限,問題已解決。
windows server 2012r2域組策略無法打開Windows Server 2012R2域組策略無法打開,可能沒有相應權限,找不到網絡路徑查找了很多原因,以為是最近開啟Windows update 更新導致的?在虛機上做了測試,安裝了更新程序,測試虛擬機上的系統域組策略可以打開?對比了安裝的更新程
【Windows】Win10家庭版啟用組策略gpedit.msc
轉載請註明出處,原文連結:https://blog.csdn.net/u013642500/article/details/80138799 【前言】 大家都認為,Windows 10家庭版中並不包含組策略,其實不然,它是有相關檔案的,只是不讓你使用而已。那麼我們讓系統允許你使用就
Windows通過組策略設定開機自啟動指令碼
首先建立一個啟動指令碼 init.bat,內容如下: time /t >> c:\test\test.log echo %COMPUTERNAME% >> c:\test\test.log echo %USERNAME% >> c:\test\te
windows 找不到檔案'gpedit.msc'.請確定檔名是否正確後 windows10 家庭版 打不開組策略 不想更新 不想換版本
我電腦是win10家庭版,不想更新,就像快速安全有效的開啟組策略。那麼所謂的這種百度教程是不好使的,因為你電腦壓根沒有這個策略。 讓我重新裝個企業版我也不幹,就是個許可權的事,你給我開開不就得了,或者說,下個補丁也行,非得大改,你這背後的os程式碼差那麼多的嗎?顯然人家windows不是這麼
利用windows組策略首選項缺陷獲取系統帳號
windows2008有一個叫組策略首選項(Group Policy Preference)的新特性.這個特性可以方便管理員在整個域內部署策略.本文會詳細介紹這個組策略首選項的一些缺陷.尤其是當下發的策略包含使用者名稱和認證資訊的時候,一個普通的使用者就可以通過這些資訊或得策略裡的帳號密碼,從而提
Win10(含家庭中文版)不用組策略如何徹底禁止Windows Defender開機啟動
裸奔有多爽...!現在教您如何不使用策略組進行徹底禁止Windows Defender開機啟動。 開啟“命令提示符(管理員)”,然後輸入: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows De
如何在Windows家庭版中啟用組策略
組策略,如下圖所示,對於優化Windows系統來說簡直就是一大利器,幾乎涵蓋了所有關於Windows作業系統的配置,比如設定開機免密,設定各種Windows元件的狀態,系統賬戶,瀏覽器,系統更新等等等等 但是我們發現Windows家庭版中並不包含組策略,如下圖
怎麽看域客戶端是否繼承了組策略
計算機配置 組策略 windows 管理員 客戶機 https://jingyan.baidu.com/article/2fb0ba40ac413100f2ec5fde.html現在公司普遍都是域(活動目錄)環境,在域內,管理員會做一些策略對域用戶和域計算機進行管理,那麽我們如何查看域賬號
組策略關閉網絡端口
本地安全策略 col 安全措施 繼續 新規 多端口 文本 tro 運行 我們的個人信息為什麽會被盜呢?原因之一是我們的電腦有漏洞,通俗的說,門窗關閉不嚴。 默認情況下,Windows有很多端口是開放的,在你上網的時候,網絡病毒和黑客可以通過這些端口連上你的電腦。 為了讓
【AD】【組策略】跨域轉移組策略&可導入的組策略
組策略 客戶端 文件夾 控制臺 下一步 跨域轉移組策略&可導入的組策略環境:AD PDC 均為: Win2012 R2客戶端:Win7 x64A 域:xifan.comB 域:abc.com需求:將A域的數個組策略,直接導入B域,簡化B域組策略設置操作步驟:打開A域的PDC主機。
Win10組策略命名空間占用解決方法
windows 組策略 軟媒魔方 對很多資深電腦用戶來說“組策略編輯器”並不陌生,使用組策略編輯器可以對系統進行一些更深度的設置。不過最近有Win10用戶反饋“組策略”打開後總是彈出“命名空間……已經被定義為存儲中另一文件的目標命名空間”的對話框,雖然點擊“確定”後可以關閉,而且不影響組策略功能,
vs2015發布項目到虛擬主機組策略阻止csc.exe程序問題
vs2015 for 解決 解決問題 nbsp roslyn 報錯 發布 otn 這個問題之前碰到過一次,這次又碰到,就記錄一下解決方法。 這個問題的產生的原因,據說是虛擬主機沒有權限執行exe文件造成的,如果是獨立服務器的話發布就不會出現這個問題。 使用VS201
域內組策略禁用所有客戶機USB存儲
組策略 禁用usb通過醫院這個項目剛開始接觸域這個概念,一步一步深入覺得域博大精深!1、在域控制器使用“gpmc.msc”打開組策略管理器(區別gpedit.msc)2、右鍵點擊域目錄,選“在這個域中創建GPO並在此處鏈接…”(在名稱裏面填寫要創建的組策略的名稱,而在源這裏可以選擇“無”進行自己自定義的組
組策略統一本地管理員密碼
server 2008 r2 組策略 統一本地管理員密碼 組策略統一本地管理員密碼 1.在組策略對象中新建GPO 2.編輯新建的GPO 3.把建好的GPO鏈接到域內 4.或者提前建立一個OU,把所有的電腦移動到這個OU內,然後把建好的GPO鏈接到這個新的OU中也可以 5.更新組策略開始--cmd
【AD】實用組策略/腳本集合 (重大更新20160627)
公告 int win8 檢測 選中 win2012 沒有 tlv system32 文章原始出處 http://blog.51cto.com/xifanliang/1793576 http://bbs.51cto.com/thread-1170777-1.html 作者:
小型企業組策略管理與應用20180117.
結果 成功 小型企業 用戶 虛擬 mar 控制 src ges 我使用的是windows server2012和win10在虛擬機上 做的“組策略的繼承”實驗,有不足的地方歡迎大家在下方評論。 首先右鍵單擊我的電腦,點擊管理。在這個頁面點擊右上方的工具,然後點擊組策略管理新
通過“委派”過濾組策略設置
ont 計算機 重新啟動 col 計算機配置 http blog image 客戶端驗證 任務要求:在“WorldSkills2017.china”域中已經創建好了一個名為IT的域組,要求將IT組設為域裏所有機器的本地管理員,除了domain contoller。要完成這個