HQY 一个和谐有爱的空间

系统内置的两个组策略

• Default Domain Policy：此GPO已经被连接到域，因此这个GPO内的设置值会被应用到域内的所有用户与计算机。

• Default Domain Controllers Policy：此GPO已经被连接到组织单位Domain Controllers，因此这个GPO的设置值会被应用到Domain Controlers内的所有用户与计算机。Domain Controllers 内默认只有扮演域控制器角色的计算机。

策略设置和首选项设置

首选项

只有域的组策略才有首选项设置功能，本地计算机策略无此功能

首选项设置是非强制性的，客户端可以更改设置值

策略设置

策略设置是强制性设置，客户端应用后就不可更改（有些设置值虽然客户端可更改，但是下一次组策略更新时，仍然会被更改为组策略设置的值）

策略设置优先级比首选项高

GPO内的计算机配置和用户配置应用时间时机不相同

计算机应用的时机

开机会自动应用

若计算机已经开机：

域控制器默认5分钟自动应用

非域控制器默认90~120分钟自动应用

不论策略设置值是否发生变化，每隔16小时都会自动应用一次安全设置策略

手动：gpupdate /target:computer /force

用户配置的应用时机

用户登录时自动应用

若用户已经登录，默认90~120分钟自动应用一次

不论策略设置值是否发生变化，每隔16小时都会自动应用一次安全设置策略

手动应用：gpupdate /target:user /force

手动同时应用计算机和用户组策略配置：gpupdate /force

组策略的处理规则

一般的处理规则

组织单位GPO>域GPO>站点GPO>计算机本地策略

若将多个GPO链接到一处，则有效设置是这些GPO的设置总和；但若GPO间有冲突，则链接顺序排在前面的GPO设置优先

阻止继承和强制继承策略

强制继承策略优先级大于阻止继承策略

过滤组策略设置

当针对组织单位创建组策略后，该组策略设置会应用到该OU下的所有计算机和用户；若想设置“不应用到该OU下的特定用户或计算机”，可通过设置GPO委派权限达到该目的

选择GPO“委派”，点击“高级”

选择“添加”

添加对应的用户名

勾选拒接应用组策略，确定

拒绝权限优先于允许权限

更改组策略应用时间

设置计算机配置应用时间

编辑组策略—计算机—管理模板—系统—组策略— 计算机组策略刷新时间

若应用时间间隔设置为0的话，则7秒钟应用一次

若要更改域控制器之间的GPO应用时间，则需要在Domain Controllers内的GPO进行设置

设置用户配置应用时间

编辑组策略—用户—管理模板—系统—组策略— 用户组策略刷新时间

默认90~120分钟应用一次，若应用时间间隔设置为0的话，则7秒钟应用一次

账户策略

计算机配置—策略—Windows设置—安全设置—账户策略

1.针对域用户所设置的账户策略需要域级别的GPO设置才有效，通过站点或组织单位的GPO设置的账户策略对域账户无效（只会应用到此组织单位下的计算机的本地账户）

2.域级别GPO账户策略作用范围是：所有域账户和所有计算机本地账户

3.组织单位GPO和域GPO账户策略有冲突，则计算机本地账户会采用域的设置

4.计算机本地账户策略和域/组织单位账户策略有冲突，则采用域/组织单位账户策略设置

打开属性编辑器查看对象属性

打开AD用户和计算机——点击高级功能——点击对象，右键属性——点击属性编辑器

组策略委派管理

GPO链接委派

将GPO链接到站点、域或组织单位的权限

选择组织单位——点击委派——添加或删除

编辑GPO委派

编辑GPO 的权限

选择GPO——点击委派——添加或删除

新建GPO的委派

新建GPO的权限

系统默认的Group Policy Creator Owners 组只有对自己创建的GPO有编辑权限

组策略对象——点击委派——添加或删除

操作实例

设置指定组织单位的用户无法更改代理设置

1.设置代理服务器

打开IE浏览器，点击连接，选择局域网设置

2.创建组策略

编辑组策略：右键选中的组策略，选择编辑；选择用户配置，点击管理模板

展开Windows组件，选中IE，开启“阻止更改代理设置”，设置

3.更新组策略

运行命令：gpupdate /force

开放“允许本地登录的权限”

未设置该策略的情况：普通域账号不能登录

右键编辑Default Domain Controllers Policy

展开Windows设置，展开安全设置

选择本地策略，选择用户权限分配，点击“允许本地登录”，

选择添加用户或组

添加Domain Users组

更新组策略：gpupdate /force

使用组策略限制访问可移动存储设备

以组织单位来说，若是针对计算机配置来设置策略，则任何域用户登录这个组织单位的计算机都会受到限制；若针对用户配置来设置策略，则此组织单位下的所有用户登录任何一台服务器都会受到限制

选择计算机策略——管理模板——系统—— 可移动存储访问，开启“所有可移动存储类：拒绝所有权限”

使用组策略的首选项管理用户环境

1.自动为用户映射网络驱动器

域管理员登录域控，编辑组策略，新建映射驱动器

输入共享文件夹路径，选择驱动器号

选择常用，勾选项目级别目标，点击目标

新建项目，点击组织单位

选中sales组织单位，确认应用

2.将在成员计算机登录的域用户添加到本地Administrators组

域管理员登录域控

编辑组策略——用户配置——首选项——控制面板设置——本地用户和组——新建本地组

操作选择更新，选择Administrators组，勾选添加当前用户，然后应用

3.检查

以普通域用户登录成员计算机

计算机分配软件部署

1.创建sofaware共享目录

2.将需要安装的软件包拷贝至共享目录

3.编辑Defalult Domain Policy策略

选择计算机配置——策略——软件设置——软件安装

输入共享目录路径后选择安装包

选择已分配

等待软件分配

4.检查

使用域账号登录成员服务器，更新组策略后，发现软件已被安装

使用命令：gpresult -h c:\result.html，检查组策略更新状态

推荐本站淘宝优惠价购买喜欢的宝贝:

本文链接：https://hqyman.cn/post/4057.html 非本站原创文章欢迎转载，原创文章需保留本站地址！

休息一下~~