虹网 - 虹一下!知天下!今天您^虹^了吗? - 虹网为方便广大网民特将常用搜索引擎与常用网址归纳在一起欢迎使用!

原创文章 - 经典文章 - 三人行文章网 - 虹网 - 虹一下!知天下!

当前位置: 主页 > 技术知识 >

原创:活动目录之常用组策略实例

时间:2011-05-21 15:48来源:虹网 作者:行者之途 点击:
活动目录之常用组策略实例 组策略实例 计算机配置 由于系统默认某些组内的用户,才有权限在域控制器计算机登录,因此普通用户利用域控制器登录时会出现如下的提示,需要赋予他们允许本地登录的权限才能够正常登录,如图: 为了让普通用户在域控制器上登录,

 

活动目录之常用组策略实例

  • 组策略实例
    1. 计算机配置
      1. 由于系统默认某些组内的用户,才有权限在域控制器计算机登录,因此普通用户利用域控制器登录时会出现如下的提示,需要赋予他们“允许本地登录的权限”才能够正常登录,如图:

  1. 为了让普通用户在域控制器上登录,我们可以设置所有的域用户组成员可以在域控制器登录系统,这里我们单击“开始”-“管理工具”-“Active Directory 用户和计算机”-“Domain controllers”右键“属性”-“组策略”单击“Default Domain controllers policy”条目,如图所示:

  1. 单击“编辑”按钮,点开“windows设置”-“安全设置”-“本地策略”-“用户权限分配”,如图:

  1. 双击“允许在本地登录”项,我们添加域用户组到组策略,如图所示:

  1. 此时客户端便可以正常登陆了。
  2. 用户配置
    1. 这里我们假设要将“销售部”OU人员的“开始”菜单中的“运行”菜单删除,这里我们单击“开始”-“管理工具”-“Active Directory用户和组”-“销售部”右键“属性”-“组策略”-“新建”按钮,我们添加一个“销售部GPO”的策略,如图所示:

  1. 单击“编辑”按钮,单击“用户配置”下的“管理模板”-“任务栏和开始”-“从开始菜单中删除运行菜单”项,如图:

  1. 双击“从开始菜单中删除运行菜单”项,我们单击“启用”按钮,点击“应用”-“确定”按钮,如图:

  1. 此时在客户端计算机使用销售部人员登录,此时已经看不到“运行”菜单了,如图所示:

  1. 组策略之管理模板策略
    1. 限制用户只可以运行指定的程序,除了制定的程序其他的将被禁止运行,设置方法:“管理模板”-“系统”-“只运行windows许可的应用程序”。在添加“项目”中,输入程序的名称即可限制其运行。
    2. 隐藏在控制面板内制定的图标,用户执行“开始”-“控制面板”命令后,将看不到被隐藏的程序图标,设置方法:双击“管理模板”-“控制面板”-“隐藏指定的控制面板程序”,单击“启用”-“显示”-“添加”按钮,输入要隐藏程序图标的名称,点击“应用”-“确定”按钮即可。
    3. 禁用按“Ctrl+Alt+Del”组合键弹出的设置面板,例如“修改密码”按钮、“任务管理器”等,设置方法:“用户配置”-“管理模板”-“系统”-“ctrl+alt+del选项”进行相关删除图标的启用。
    4. 隐藏桌面所有的图标,设置方法:双击“用户配置”-“管理模板”-“桌面”-“隐藏和禁用桌面上所有的项目”点选“已启用”选项,单击“应用”-“确定”按钮即可。
    5. 限制使用IE浏览器的“internet选项”的部分功能,用户将无法使用“工具”-“internet选项”中被禁用的标签。例如“安全性”、“进阶”等等,设置方法:双击“用户配置”-“管理模板”-“windows组件”-“internet explorer”-“internet控制面板”右侧的各项菜单进行启用就可以了。
    6. 删除“开始”菜单的“关机”图标,设置方法:“用户配置”-“管理模板”-“任务栏和开始菜单”-双击“删除和阻止访问【关机】命令”点击“已启用”-“确定”按钮,这样用户在“开始”菜单就找不到关机图标,即使使用“trcl+alt+del组合键”也无法进行关机。
  2. 账户策略
    1. 对于域用户来说,整个域只可以有一个账户策略,而且是必须通过默认的Default Domain Policy GPO来配置,这个策略会应用到整个域内所有账户,包括域成员计算机。
    2. 如果针对某个OU来配置账户策略,这个策略只会被应用到位于此OU中的计算机内的本机用户账户,但是位于此OU内的域用户账户却没有影响。

  1. 配置与账户策略的方法:“开始”-“管理工具”-“Active Directory用户和计算机”-右击域名称-“属性”-“组策略”-选择Default Domain Policy GPO-“编辑”-选择“计算机配置”-“Windows设置”-“安全设置”-“账户策略”如图:

  1. 密码策略
    1. 密码复杂性配置
      • 不可包含账户名称的全部和部分文字
      • 至少要6个字符
      • 至少包含A-Z、a-z、0-9、非字母数字(如!、$、#、%)等4组字符中的三组。
    2. 密码的最长期限,密码最长期限可为0~998天,用户登录时,如果密码到期限系统会自动要求用户修改密码,若设为0,则表示密码没有使用期限,可以一直用,默认值是42天。
    3. 密码最短使用期限,密码最短使用期限可为0~998天,在期限未到前,用户不得改变密码,若设为0,则表示用户可以随时改变密码,域控制器的默认值为1,独立服务器的默认值为0.
    4. 强制密码历史,可以设置是否要记录用户曾经使用过的旧密码,以便用来决定用户在改变其密码时,是否可以使用旧密码,此处的值可以为0~24。分两种情况:
      • 1~24 表示要保存密码历史数据,例如此处的值被设为6时,则用户的新密码不可与前6次曾经使用过的旧密码相同。
      • 0 表示不保存密码历史数据。
    5. 密码长度最小值,0~14 若设为0则表示可以不设密码,域控制器默认为7,独立服务器默认为0.
  2. 账户锁定侧率

  1. 账户锁定阈值,此处用来设置用户登录多少次失败后(如密码错误输入),将其账户锁定,可以在0~999之间设置,默认是0.
  2. 账户锁定时间,设置将锁定账户多久的时间,时间过后自动解锁,此处的值可在0~99999分钟之间,如果锁定时间为0分钟,则用户会被永久的锁定,不会自动解锁,此时必须由管理员手动解除锁定。
  3. 复位账户锁定计数器,“锁定计数器”用来记录用户登录失败的次数,起始值为0,用户每登录失败一次,锁定计数器的值就会加1;若登录成功,则锁定计数器的值就归零,当锁定计数器的值等于账户锁定阈值时,该账户就会被锁定。
  4. 用户权限分配策略
    1. 赋予用户和组的运行特殊工作的权限

  • 允许在本地登录
  • 拒绝本地登录
  • 域中添加工作站
  • 关闭系统
  • 从网络访问这台计算机
  • 拒绝从网络访问这台计算机
  • 从远程系统强制关机
  • 备份文件和目录
  • 还原文件或目录
  • 管理审核和安全日志
  • 更改系统时间
  • 装载和卸载设备驱动程序
  • 取得文件或其他对象的所有权
  • 安全选项策略

  1. 交互式登录,不需要按ctrl+alt+del  系统登录时,直接出现“登录windows”对话框,不需要再显示“请按ctrl+alt+del开始”的对话框。
  2. 交互式登录,不显示上次的用户名
  3. 交互式登录,在密码到期前提示用户更改系统密码,这里可以设置提前几天提示用户。
  4. 交互式登录,用户试图登录时的消息文字、标题每次当计算机启动时,它都将显示“请按ctrl+alt+del开始”的消息,而如果想让用户在按这三个组合键后,看到自己希望看到的信息,则可以利用这两个设置。
  5. 关机:允许用户在未登录前关机。
  6. 登录/注销、启用/关机脚本
    1. 登录/注销脚本的设定
      • 命名文件名为logon.vbs的文件来练习登录脚本,可以利用记事本存储下边的文字:

Wscript.echo “欢迎您登录系统!”

  • 在建立一个名为logoff.vbs的文件来练习注销脚本,输入如下文字:

Wscript.echo “欢迎您退出系统!”

  • 利用销售部来演示:“开始”-“管理工具”-“Active Directory用户和计算机”-右击“销售部”OU-“属性”-“组策略”-“销售部GPO”-“编辑”。
  • 双击“用户配置”-“windows设置”-“(脚本登录/注销)”-“登录”弹出“属性”对话框,如图:

  • 单击“显示文件”这样,我们复制刚刚编辑的“logon.vbs”文件粘贴到这个位置,如图:

  • 关闭策略脚本目录,单击“添加”按钮,在“脚本名称”下输入刚刚建立的脚本名称,脚本参数填入“//I”或是“//logo”参数,单击“确定”按钮,如图:

  • 注销步骤跟上述操作相同,关机、开机的脚本也以此类推,就不再赘述了,我们接下来测试一下客户的脚本运行效果,如图:

 

文章来源:虹网 www.taizihong.com

原文地址:http://article.taizihong.com/a/jishuzhishi/20110430/54.html

虹网(www.taizihong.com)版权所有,本文章原创出自虹网(www.taizihong.com)转载本文章必须保留本文章出处链接或虹网(www.taizihong.com)旗下网站发布本文章的出处链接。

转载不注明出处,虹网(www.taizihong.com)保留追究其一切责任的权利。



(责任编辑:虹网)
顶一下
(6)
100%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
栏目列表
推荐内容