推荐点击下面图片,通过本站淘宝优惠价购买:
系统内置的两个组策略
Default Domain Policy:此GPO已经被连接到域,因此这个GPO内的设置值会被应用到域内的所有用户与计算机。
Default Domain Controllers Policy:此GPO已经被连接到组织单位Domain Controllers,因此这个GPO的设置值会被应用到Domain Controlers内的所有用户与计算机。Domain Controllers 内默认只有扮演域控制器角色的计算机。
策略设置和首选项设置
首选项
只有域的组策略才有首选项设置功能,本地计算机策略无此功能
首选项设置是非强制性的,客户端可以更改设置值
策略设置
策略设置是强制性设置,客户端应用后就不可更改(有些设置值虽然客户端可更改,但是下一次组策略更新时,仍然会被更改为组策略设置的值)
策略设置优先级比首选项高
GPO内的计算机配置和用户配置应用时间时机不相同
计算机应用的时机
开机会自动应用
若计算机已经开机:
域控制器默认5分钟自动应用
非域控制器默认90~120分钟自动应用
不论策略设置值是否发生变化,每隔16小时都会自动应用一次安全设置策略
手动:gpupdate /target:computer /force
用户配置的应用时机
用户登录时自动应用
若用户已经登录,默认90~120分钟自动应用一次
不论策略设置值是否发生变化,每隔16小时都会自动应用一次安全设置策略
手动应用:gpupdate /target:user /force
手动同时应用计算机和用户组策略配置:gpupdate /force
组策略的处理规则
一般的处理规则
组织单位GPO>域GPO>站点GPO>计算机本地策略
若将多个GPO链接到一处,则有效设置是这些GPO的设置总和;但若GPO间有冲突,则链接顺序排在前面的GPO设置优先
阻止继承和强制继承策略
强制继承策略优先级大于阻止继承策略
过滤组策略设置
当针对组织单位创建组策略后,该组策略设置会应用到该OU下的所有计算机和用户;若想设置“不应用到该OU下的特定用户或计算机”,可通过设置GPO委派权限达到该目的
选择GPO“委派”,点击“高级”
选择“添加”
添加对应的用户名
勾选拒接应用组策略,确定
拒绝权限优先于允许权限
更改组策略应用时间
设置计算机配置应用时间
编辑组策略—计算机—管理模板—系统—组策略— 计算机组策略刷新时间
若应用时间间隔设置为0的话,则7秒钟应用一次
若要更改域控制器之间的GPO应用时间,则需要在Domain Controllers内的GPO进行设置
设置用户配置应用时间
编辑组策略—用户—管理模板—系统—组策略— 用户组策略刷新时间
默认90~120分钟应用一次,若应用时间间隔设置为0的话,则7秒钟应用一次
账户策略
计算机配置—策略—Windows设置—安全设置—账户策略
1.针对域用户所设置的账户策略需要域级别的GPO设置才有效,通过站点或组织单位的GPO设置的账户策略对域账户无效(只会应用到此组织单位下的计算机的本地账户)
2.域级别GPO账户策略作用范围是:所有域账户和所有计算机本地账户
3.组织单位GPO和域GPO账户策略有冲突,则计算机本地账户会采用域的设置
4.计算机本地账户策略和域/组织单位账户策略有冲突,则采用域/组织单位账户策略设置
打开属性编辑器查看对象属性
打开AD用户和计算机——点击高级功能——点击对象,右键属性——点击属性编辑器
组策略委派管理
GPO链接委派
将GPO链接到站点、域或组织单位的权限
选择组织单位——点击委派——添加或删除
编辑GPO委派
编辑GPO 的权限
选择GPO——点击委派——添加或删除
新建GPO的委派
新建GPO的权限
系统默认的Group Policy Creator Owners 组只有对自己创建的GPO有编辑权限
组策略对象——点击委派——添加或删除
操作实例
设置指定组织单位的用户无法更改代理设置
1.设置代理服务器
打开IE浏览器,点击连接,选择局域网设置
2.创建组策略
编辑组策略:右键选中的组策略,选择编辑;选择用户配置,点击管理模板
展开Windows组件,选中IE,开启“阻止更改代理设置”,设置
3.更新组策略
运行命令:gpupdate /force
开放“允许本地登录的权限”
未设置该策略的情况:普通域账号不能登录
右键编辑Default Domain Controllers Policy
展开Windows设置,展开安全设置
选择本地策略,选择用户权限分配,点击“允许本地登录”,
选择添加用户或组
添加Domain Users组
更新组策略:gpupdate /force
使用组策略限制访问可移动存储设备
以组织单位来说,若是针对计算机配置来设置策略,则任何域用户登录这个组织单位的计算机都会受到限制;若针对用户配置来设置策略,则此组织单位下的所有用户登录任何一台服务器都会受到限制
选择计算机策略——管理模板——系统—— 可移动存储访问,开启“所有可移动存储类:拒绝所有权限”
使用组策略的首选项管理用户环境
1.自动为用户映射网络驱动器
域管理员登录域控,编辑组策略,新建映射驱动器
输入共享文件夹路径,选择驱动器号
选择常用,勾选项目级别目标,点击目标
新建项目,点击组织单位
选中sales组织单位,确认应用
2.将在成员计算机登录的域用户添加到本地Administrators组
域管理员登录域控
编辑组策略——用户配置——首选项——控制面板设置——本地用户和组——新建本地组
操作选择更新,选择Administrators组,勾选添加当前用户,然后应用
3.检查
以普通域用户登录成员计算机
计算机分配软件部署
1.创建sofaware共享目录
2.将需要安装的软件包拷贝至共享目录
3.编辑Defalult Domain Policy策略
选择计算机配置——策略——软件设置——软件安装
输入共享目录路径后选择安装包
选择已分配
等待软件分配
4.检查
使用域账号登录成员服务器,更新组策略后,发现软件已被安装
使用命令:gpresult -h c:\result.html,检查组策略更新状态
本文链接:https://hqyman.cn/post/4057.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下,本站随机推荐观看栏目:
