AD组策略的设置(超详细)
一、编辑组策略
1、允许用户登陆本计算机
在OU里面→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→用户权限分配→允许在本地登陆。用gpupdate /force 命令刷新。
2、拒绝用户访问运行、CMD、以及批处理文件。
1、在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运行菜单。用gpupdate /force 命令刷新。
2、在要设定的域控制器点击右键→属性→组策略→编辑策略→用户配置→管理摸板→系统→阻止用户访问命令提示符→继续点击下面的的选项→是否拒绝使用批处理文件处理→选择“是”。用gpupdate /force 命令刷新。
1、允许用户登陆本计算机
在OU里面→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→用户权限分配→允许在本地登陆。用gpupdate /force 命令刷新。
2、拒绝用户访问运行、CMD、以及批处理文件。
1、在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运行菜单。用gpupdate /force 命令刷新。
2、在要设定的域控制器点击右键→属性→组策略→编辑策略→用户配置→管理摸板→系统→阻止用户访问命令提示符→继续点击下面的的选项→是否拒绝使用批处理文件处理→选择“是”。用gpupdate /force 命令刷新。
二、拒绝继承权限
1、在下一级的OU上→属性→组策略→禁止策略的继承。用gpupdate /force 命令刷新。
1、在下一级的OU上→属性→组策略→禁止策略的继承。用gpupdate /force 命令刷新。
三、强制继承
1、在上一级的OU上→属性→组策略→选项→禁止替代钩上。用gpupdate /force 命令刷新。
四、过滤用户(特定的人群)
1、在要设定的OU上→属性→组策略→属性→安全→添加用户→给予权限→拒绝组策略。用gpupdate /force 命令刷新。
五、桌面管理
1、在要设定的OU上→属性→组策略→编辑组策略→用户配置→管理模板→桌面→Active desktop→启用Active desktop→启用Active desktop墙纸→输入对应的主机的地址和共享文件。
2、用户配置→管理模板→系统→CTRL+ALR+DEL选项。
1、在要设定的OU上→属性→组策略→编辑组策略→用户配置→管理模板→桌面→Active desktop→启用Active desktop→启用Active desktop墙纸→输入对应的主机的地址和共享文件。
2、用户配置→管理模板→系统→CTRL+ALR+DEL选项。
六、密码策略
1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→(1、密码策略 2、帐户锁定策略)
1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→(1、密码策略 2、帐户锁定策略)
七、组策略脚本
1、当用户启动时→启动脚本→登陆脚本
2、当用户注销时→注销脚本→关机脚本
3、wscript.echo"内容" 后缀改为“VBS”
1、建立脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→用户配置(计算机配置)→WINDOWS设置→脚本→双击登陆→显示文件→把脚本文件拖进去→3、在点击添加→写入文件名就可以了。
1、当用户启动时→启动脚本→登陆脚本
2、当用户注销时→注销脚本→关机脚本
3、wscript.echo"内容" 后缀改为“VBS”
1、建立脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→用户配置(计算机配置)→WINDOWS设置→脚本→双击登陆→显示文件→把脚本文件拖进去→3、在点击添加→写入文件名就可以了。
8、文件重定向
1、漫游文件→用户→右健属性→配置文件→输入文件夹路径→在指定的计算机上→创建文件夹→共享→以及共享权限→安全权限→在计算机上注销。
2、文件夹重定向→1、不管从哪一台机器登陆,都可以访问所需的数据。2、数据集中存储
1、漫游文件→用户→右健属性→配置文件→输入文件夹路径→在指定的计算机上→创建文件夹→共享→以及共享权限→安全权限→在计算机上注销。
2、文件夹重定向→1、不管从哪一台机器登陆,都可以访问所需的数据。2、数据集中存储
创建帐号→在指定OU上→右键属性→组策略→编辑组策略→用户配置→WINDOWS设置→文件重定向→我的文档→配置
9、强制漫游
找到指定文件→NTUSER.DAT改MAN
9、强制漫游
找到指定文件→NTUSER.DAT改MAN
10、权限委派
1、 在OU上→右键委派→添加帐号(MARY)→删除、创建
在指定OU上→右键控制委派→添加帐号(TOM)→删除、创建→策略管理
2、删除委派→ 查看→高级→在OU上→属性→安全→高级→删除权限
1、 在OU上→右键委派→添加帐号(MARY)→删除、创建
在指定OU上→右键控制委派→添加帐号(TOM)→删除、创建→策略管理
2、删除委派→ 查看→高级→在OU上→属性→安全→高级→删除权限
11、软件分发(SMS) (后缀名为MSI)
1、软件分发的好处:1、自动安装 2、自动修复 3、自动升级 4、远程删除
2、软件分发的方式:1、发布给用户 2、指派给用户 3、指派给计算机
3、软件发布的过程:1、在指定OU上新建帐号→建立共享(软件)→建立组策略→编辑→用户配置→软件设置→软件安装→右键属性→UNC 路径→右键新建程序包→发布(添加程序里面)→指派(在开始菜单)→部署下面(登陆安装)
升级软件→右建软件→高级→升级→客户端验证
4、非MSI后缀的软件安装:先在服务器上安装软件→在安装高级安装程序→
1、程序包封装不完整 解决1、把下载注册表监视器 2、给于权限
5、让特殊的人有特殊的权限:在指定的OU上→组策略→计算机配置→WINDOWS设置→安全设置→文件系统→右键添加→用户
注册表→DOMAIN USERS
6、软件限制
1、建立哈希规则→组策略→用户配置→WINDOWS设置→安全设置→软件限制策略→其他规则→
1、软件分发的好处:1、自动安装 2、自动修复 3、自动升级 4、远程删除
2、软件分发的方式:1、发布给用户 2、指派给用户 3、指派给计算机
3、软件发布的过程:1、在指定OU上新建帐号→建立共享(软件)→建立组策略→编辑→用户配置→软件设置→软件安装→右键属性→UNC 路径→右键新建程序包→发布(添加程序里面)→指派(在开始菜单)→部署下面(登陆安装)
升级软件→右建软件→高级→升级→客户端验证
4、非MSI后缀的软件安装:先在服务器上安装软件→在安装高级安装程序→
1、程序包封装不完整 解决1、把下载注册表监视器 2、给于权限
5、让特殊的人有特殊的权限:在指定的OU上→组策略→计算机配置→WINDOWS设置→安全设置→文件系统→右键添加→用户
注册表→DOMAIN USERS
6、软件限制
1、建立哈希规则→组策略→用户配置→WINDOWS设置→安全设置→软件限制策略→其他规则→