AD域環境的組策略配置
1、域中配置組策略的好處有哪些?
1)、減小管理成本,因爲只需設置一次,相應的用戶或計算機即可全部應用規定的設置。
2)、減少用戶單獨配置錯誤的可能性。
3)、可以針對特定的對象(用戶或計算機)實施特定的策略。
2、這裏要想使用組策略就先簡單設定幾個對計算機的要求,來通過組策略對域成員計算機進行控制!
1)、要求銷售部可以更改時間!
2)、要求市場部所有人登錄時密碼輸錯三次就鎖定!
3)、要求所有人不得使用開始菜單中的“運行”菜單!
4)、設置總經理可以在域控制器上登錄!
3、現在開始先創建實驗用的OU以及OU中的用戶
1)、首先在域控制器上鼠標分別點擊左下角“開始”→“管理工具”→“Active Directory 用戶和計算機”,右擊域名創建存放用戶的容器OU(組織單位)
2)、在每一個OU中創建一個用戶用來驗證。然後再在user中創建一個總經理賬戶用來驗證。
4、分別按照要求創建GPO(Group Policy Object,組策略對象)
1)、打開組策略:依次點擊左下角“開始”→“管理工具”→“組策略管理”
2)、組策略被視爲Active Dirctory中的一種特殊對象,可以將GPO和活動目錄的容器(站點、域和ou)鏈接起來,以影響容器中的用戶和計算機。
3)、默認的GPO有兩個:
◆Default Domain Policy(默認域策略)
依次展開“林:abc.com”→“域”→“abc.com”→“Default Domain Policy”,右鍵點擊編輯可以設置!此策略影響域中所有的用戶和計算機。
◆Default Domain Controllers Policy (默認域控制器策略)
展開Domain Controllers 可以看到默認域控制器策略,此策略影響域中組織單位“Domain Controllers”中的所有用戶和計算機!主要針對域控制器本機的策略!
4)、此時我們需要針對某一個OU來設置策略,就在這個OU下創建新的GPO。
右鍵OU,點擊第一項“在這個域中創建GPO並在此處鏈接”,然後點擊確定。
繼續創建銷售部的GPO。
5、開始設置相應策略
1)、右擊銷售部GPO,點擊編輯。並依次展開 “計算機配置”→“策略”→“Windows設置”→“安全設置”→“本地策略”→“用戶權限分配”,右側找到更改系統時間,雙擊。添加用戶銷售部員工!
這裏需要注意的是:因爲這個策略是對計算機上做的策略,所以要把OU “Computers”中一會兒用來登錄驗證的計算機也加到銷售部OU中。
2)、右擊市場部GPO選擇編輯,依次展開“計算機配置”→“策略”→“Windows設置”→“安全設置”→“賬戶策略”→“賬戶鎖定策略”,雙擊右側的“賬戶鎖定閾值”,定義次數爲3次。點擊確定!
此時由於還是對計算機做的配置,在驗證完銷售部的策略之後,把客戶端計算機再添加到市場部中,雙方刷新策略再驗證!
3)、右擊默認域策略(Default Domain Policy)點擊編輯,
依次展開“用戶配置”→“策略”→“管理模板”→““開始”菜單和任務欄”,雙擊右側的“從「開始」菜單中刪除“運行”菜單”,點選“已啓用”,點擊確定!
4.1)、想要總經理在域控制器上等錄就要針對域控制器設置策略,右擊“Default Domain Controllers Policy”選擇編輯!
4.2)、依次展開“計算機配置”→“策略”→“Windows設置”→“安全設置”→“本地策略”→“用戶權限分配”,在右側中找到“允許在本地登錄”並雙擊打開。
4.3)、打開“允許在本地登錄之後”,點擊“添加用戶或組”→“瀏覽”→“高級”→“立即查找”,在下邊找到總經理的賬號之後雙擊,一直點擊確定添加完成!
5)、設置完權限之後並不能馬上生效!打開命令提示符,輸入“gpupdate /force”回車,刷新組策略!
6.這時在一臺加了域的計算機上做驗證!
1)、先使用銷售部的用戶登錄,驗證發現,銷售部員工可以在客戶機上修改計算機時間,並且無法使用“運行”菜單(根本就沒有運行這個選項了)。(如果沒有生效就在客戶機上也運行“gpupdate /force”刷新組策略!)
2)、此時切換用戶,使用市場員工登錄計算機,故意輸錯三次密碼,觀察提示!此時提示賬戶被鎖定即爲成功!
3)、最後在域控制器上使用總經理賬戶查看能否登錄!
實驗結束!
這裏最後再講一下關於組策略無法生效的一些原因!
1.組策略衝突生效順序:其順序應爲“本地策略”→“站點策略”→“域策略”→“父OU策略”→“子OU策略”(子ou策略優先級最高);計算機設置高於用戶設置;同一容器鏈接的多個策略,鏈接順序最低的策略優先級最高。
2.組策略生效時間:在默認情況下,DC每五分鐘刷新一次組策略,客戶機每90分鐘刷新一次,其中含有30分鐘的時間偏移量。使用“gpupdate /force”命令可以刷新組策略,使其立即生效。
3.計算機配置或用戶配置:在設置組策略的時候要注意區分是需要使用計算機配置還是用戶配置。
關於域用戶漫遊和提升域功能級別的相關操作在我的另外兩篇博客中!