组策略应用
一、实验要求
:
公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理,要求企业管理员按如下要求完成设置:
1
、 所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景。
2
、 配置域用户所有IE的默认主页设定为本企业网站[url]http://www.helong.com[/url],且用户不能自行更改主页
3
、隐藏(或删除)所有用户的C盘,防止用户误删除系统文件,造成系统崩溃。
4
、 控制面板中隐藏“添加删除windows组件”,防止用户随意添加windows组件,造成系统问题。
5
、 禁止域用户使用注册表编辑器,只有管理员处于管理方便目的,可以使用
二、实验环境:
三、实验步骤:
1
、在服务器上设置共享文件夹image,然后在里面放置公司LOGO图,如图:
然后在域上设置组策略,(右击helong.com选属性)如图:
点编辑,打开域的组策略编辑器,依次找到用户配置―管理模板―桌面―Active Desktop ―启用Active Desktop和Active Desktop墙纸,如图所示:
先启用AD属性,如下图:
属性设置如下:
一定要记着刷新组策略,如图:
然后用域中的任意一台计算机用普通用户登陆进去,如图:
可以看到背景图片换成了LOGO图,如下图:
2
、同上在域上设置组策略,(右击helong.com选属性),如图:
依次按照用户配置―windows设置―Internet Explorer 维护―URL―重要URL,右击属性设置主页为http://www.helong.com,如图:
设置好后,刷新组策略,如图:
要想让用户不能更改主页,则必须在组策略进行设置,依次按照用户配置―管理模板―windows组件―Internet Explorer―禁用更改主页设置,如下图:
改为启用即可,如图:
用客户机登陆后可以看到可以更改主页是灰色的,意味着不能更改主页,如下图:
3
、同上在域上设置组策略,(右击helong.com选属性),打开域的组策略编辑器后,依次按照用户配置―管理模板―windows组件―windows资源管理器―防止从“我的电脑”访问驱动器,如下图:
设置为仅限制驱动器C,如下图:
记着刷新组策略后用客户机登陆访问C盘,出现如下图所示:
证明配置已经生效了。
如果在组策略中选择隐藏“我的电脑”中的这些指定的驱动器,然后配置为仅限制为驱动器C,如图:
然后再用客户机登陆发现没有了C盘,如下图:
但用运行的方式仍然能够访问C盘,如下图:
证明它仅起到了隐藏C盘的作用,符合实验目的。
4
、同样在域的组策略编辑器中,依次按照用户配置―管理模板―windows组件―控制面板―添加或删除程序―删除“添加或删除程序”启用即可,如下图:
用客户端登陆后打开控制面板,找到添加或删除程序,双击后发现:
在组策略中把刚才的配置改为启用隐藏“添加或删除windows组件”页面,如下图:
再用客户端登陆发现如下图没有了添加或删除组件:
5
、同样在域的组策略编辑器中,依次按照用户配置―管理模板―系统―阻止访问注册表编辑工具,然后启用即可,如下图:
因为要求是管理员除外,所以要在AD上配置,右击helong.com属性,点组策略选项卡,找到属性,点击后找到安全选项卡,把Domain Admins的权限拒绝应用组策略,如下图:
用客户机登陆后打开注册表发现弹出如下对话框:
证明配置生效了。