网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)

 
 
当前域环境:在单域中有一些用户、组、计算机帐户,还有三个组织单位(OU),其中财务部还有一个子组织单位“资产管理”,每一个组织单位都有一个委派管理员,左侧有一些要实现的组策略对象(GPO),本例中域控制器名:jame,域中另一台计算机名:Glasgow。
下面各例用于学习GPO对象的创建、链接、它的冲突解决,继承、阻止继承、强制以及在工作环境中怎样使用组策略来管理域。(以下各例都在组策略管理工具中完成,在上一课已经安装了GPMC.MSI这个组策略管理工具)
网络管理员&MCSE2003之11:第7章 使用组策略管理用户环境(上)_第1张图片
一、 强制实现域中所有用户使用统一桌面背景。
1. 实现这一策略如下图:先建立一个统一桌面背景的GPO,把它链接到域,并设置这个GPO为强制。
clip_image002[4]
2. 准备一张图片,放在一个只读共享文件夹中,并确认在网上邻居中可定位它的UNC路径。
clip_image004[4]
clip_image006[4]
图片的UNC路径是:\\Jame\公用共享\背景.jpg。
clip_image008[4]
3. 打开:开始→管理工具→组策略管理,再展开林→域→Nwtraders.msft→组策略对象,在右侧“内容”中右击,选“新建”。
clip_image010[4]
4. 取一个组策略名
clip_image012[4]
5. 对新建的GPO右击选“编辑”,进入组策略对象的编辑。
clip_image014[4]
6. 展开用户配置→管理模板→桌面→Active Desktop,首先启用“启用Active Desktop”用于支持Jpg和HTML格式为桌面背景。
clip_image016[4]
clip_image018[4]
在右侧窗口,双击“Active Desktop墙纸”并如下设置。(不要使用图片的本地路径,这样会使网络中其他计算机不能访问,而要使用UNC路径)
clip_image020[4]
7. 把“统一背景”这个GPO链接到域:对域右击,选“链接现有GPO”。
clip_image022[4]
clip_image024[4]
对统一背景GPO右击,设置“强制”, 使此GPO的组策略继承是强制继承,不能被阻止继承
clip_image026[4]
8. 用域用户Kaka登陆域测试一下,背景已经有图片,表示部署成功。
clip_image028[4]
二、 除了域管理员和委派管理员外所有域用户禁用控制面板。
1. 本例实现的GPO链接示意图
clip_image029[4]
2. 展开“组策略对象”在右侧如上例一样建立一个新的GPO。
clip_image032[4]
对“禁用控制面板”GPO进行编辑。
clip_image035[4]
如下设置启用“禁止访问控制面板”。
clip_image038[4]
在域上“链接现有GPO”到“禁用控制面板”。
clip_image041[4]
排除“禁用控制面板” GPO 对系统管理员、委派管理员( administrator kaka jo leo )的该策略应用:先在“组策略对象”下对“禁用控制面板”单击,在右侧出现细节,在其“作用域”的“安全筛选”中单击“添加”,加入administrator、kaka、jo、leo这几个用户。
clip_image043[4]
单击“委派”选项卡下的“高级”按钮,打开“禁用控制面板”的安全设置,在“组或用户名称”中依次单击上面的四个用户,在下面的权限:“应用组策略”拒绝中钩选,使这四个用户拒绝应用“禁用控制面板”策略。
clip_image045[4]
下面四个用户的“允许权限”项为“自定义”表示修改过。
clip_image047[4]
3. 使用域用户 boen 登陆已经没有控制面板了
clip_image049[4]
4. 使用域委派管理员kaka登陆,仍有控制面板。
clip_image051[4]
三、 使用登陆脚本发布域中所有用户把“ N :”驱动器映射到文件服务器的共享文件夹中。
1. 本例实现的GPO链接示意图
clip_image052
2. 设置“共享文件夹”为所有用户完全控制(包括非域中用户):在共享和安全选项卡中设置Everyone为完全控制。
clip_image054
这一个设置安全性比较高,仅通过域验证过的域用户才能完全控制这个文件夹:在共享和安全选项卡中设置Authenticated Users(验证用户组)为完全控制。 本例使用这一个来设置完全共享。
clip_image056
3. 在已经只读共享的“公用共享”文件夹中新建一个txt文本文件。
clip_image058
把它改名,扩展名必须是VBS文件类型。
clip_image060
然后对它右键单击,选菜单中的“编辑”,输入下面内容,再保存。
Set objNetwork = Wscript.CreateObject("WScript.Network")
objNetwork.MapNetworkDrive "N:", "\\jame\共享文件夹"
msgbox "共享文件夹映射为N盘成功!"
clip_image062
4. 在组策略对象中新建一个“登陆脚本:映射N盘”GPO,并进入“编辑”状态。
clip_image064
在用户配置→Windows设置→脚本(登陆/注销)的右侧,双击“登录”进入设置。
clip_image066
选择“添加”按钮,在弹出对话框的“脚本名”中输入脚本的UNC路径,也可以单击“浏览”,在网上邻居中找它的共享路径。(注意:一定不能是本地路径,不然在网络中其它电脑登陆时执行脚本不能访问这个文件。)
clip_image068
clip_image070
在域中其他电脑上用一个用户登陆,验证下,弹出msgbox中输入的提示信息,表示设置成功。
clip_image072
clip_image074
(未完待续)
 

本文出自 “坚强的技术交流blog” 博客,转载请与作者联系!

你可能感兴趣的:(server,用户,环境,晒文章,网络管理员,2003组策略,技术范围:Windows)